it-swarm-korea.com

조직 내 비밀번호 관리

조직 내에는 서버의 루트 계정, 호스팅 계정, 라우터 로그인 및 기타 추적해야 할 암호와 같은 많은 암호가 있습니다.

일부 조직에서는 IT 책임자 중 한 명이 이러한 비밀번호 만 알고 있으며 비밀번호는 일부 위치에 기록되어 있으며 로그인 뒤에 위키에 저장되거나 비밀번호는 서버의 파일 (아마도 암호화 됨)에 저장되어 있습니다.

내 질문은 단순히 이러한 암호를 관리하고 안전한 방법으로 암호를 저장하는 가장 효과적인 방법입니다. 나는이 주제가 가정 사용자 here 와 관련하여 이전에 논의되었지만 알고 싶습니다. 대기업. 또한 가장 효과적이지는 않지만 다른 사람들의 조직에서 어떤 접근법이 사용되었는지 듣고 싶습니다.

34
Mark Davidson

이 문제에 대한 많은 솔루션 구현을 보았지만 가장 편리한 것은 아니지만 가장 완벽한 것은 Git 리포지토리가 환경별로 암호의 암호화 된 텍스트 파일 만 포함하는 슈퍼 사용자로 제한되어 있다고 생각합니다. 장치, 혼합 서버 및 모뎀과 같은 전용 장치의 암호 교체 관리는 별도로 처리되었습니다.

이 솔루션은 사용자가 최신 비밀번호 개정을 수신하고 레코드 유지를 위해 이전 비밀번호의 추적 가능한 히스토리를 제공하기 위해 사용자가 수행해야하는 간단한 업데이트로 새 비밀번호 분배를 크게 단순화했습니다.

필자가 파일을 GPG로 암호화했지만 파일 자체를 처리하는 여러 가지 솔루션과 실행 가능한 방법이 있습니다.

이 접근 방식의 명백한 단점은 특히 비밀번호가 변경된 경우 필요한 비밀번호를 검색하는 하나 이상의 파일을 해독한다는 것입니다. 물론 어떤 경우와 마찬가지로 암호를 자주 사용하면 암호를 기억할 가능성이 높아지고 해당 장치에 따라 액세스가 자주 발생하지 않는 경우가 많지 않은 경우가 있습니다. 적절한 암호를 얻기 위해 다소 긴 프로세스입니다.

서버 및/또는 기타 장치에서 암호를 생성 및/또는 변경하기위한 전략 및/또는 스크립트에 관심이있는 경우 본인이 사용하는 암호를 공유하게되어 기쁩니다.

-

기쁠 것입니다.

파일 암호화, PGP 등에 익숙하다고 가정하겠습니다. 이것이 잘못된 경우 언제든지 문의 해 주시면 기꺼이 몇 가지 예를 제공해 드리겠습니다.

Git 리포지토리 설정은 비교적 간단하며 경험할 수있는 대부분의 콘텐츠 관리 솔루션과 유사합니다. Git의 한 가지 참고 사항 : 설계 상 완전히 열리므로 특정 파일 또는 저장소에 대한 액세스를 제한하기 위해 추가 단계가 필요합니다. 이것은 파일 시스템 acl (단 하나의 가능한 솔루션)을 활용하여 비교적 간단하게 달성 할 수 있습니다. 즉, 특히 대체 콘텐츠 관리 솔루션이 조직에서 이미 사용중인 경우 편안하고 친숙한 솔루션을 사용하는 것이 좋습니다.

파일은 정의에 따라 호스트 이름과 같은 장치 식별자를 암호 및 잠재적으로 사용자 이름과 상관시키는 암호 데이터베이스를 나타냅니다. 예를 들면 다음과 같습니다. router-1.internetdomainwebsite.com administrator soopersekretpasswerd. 이상적으로는 파일을 암호화되지 않은 상태로 저장하지는 않지만이 전략을 따르면 비밀번호 검색이 상대적으로 불편합니다. 이러한 이유로 접근자를 스크립팅하여 암호화 프레임 워크 내에서 작동하도록 지정하는 것이 좋습니다. 식별자를 검색어로 사용하고 요청자가 비밀번호를 파일에 한 번만 사용하여 요청자가 한 번만 사용할 수 있습니다.

암호 변경을 지원하는 모든 장치를 스크립팅 할 수 있습니다. 대부분의 장치는 CLI에서 암호 변경을 지원하므로 Perl, Python 또는 선택한 언어에 대한 Expect 언어 및/또는 해당 라이브러리를 살펴 보는 것이 좋습니다. 필자는 개인적으로 원하는 사용자 이름을 수락하고 현재 암호를 수락하며 원하는 암호를 수락 및 확인한 다음 메시지가 표시되면 전달되거나 제공된 모든 호스트의 변경 사항을 확인하고 변경하는 스크립트를 사용합니다. 상당히 기대되는 펄입니다.

14
Tok

저는 디지털 대행사를 운영하고 있으며 종종 다양한 암호를 관리하고 개발자/관리자 팀간에 암호를 공유해야하므로이를 관리하는 가장 좋은 방법에 대한 연구를 수행하고 있습니다. 이전에 Dropbox에서 동기화 된 KeePass를 사용했지만 관리가 불가능 해졌습니다.

우리는 사무실 밖에있을 때 컴퓨터와 모바일 장치에서 액세스 할 수있는 클라우드/호스팅 솔루션 을 결정했습니다.

다음은 우리의 명단을 만든 몇 가지 옵션입니다.

  • LastPass
    개별 항목을 무료 계정과 공유 할 수 있지만 단일 폴더를 공유하려면 프리미엄 ($ 12/년) 계정 또는 여러 폴더를 공유하려면 엔터프라이즈 계정 ($ 24/년)이 필요합니다.

  • 1 암호
    계획에 따라 매월 사용자 당 3-8 달러

  • 패스 팩
    1 명의 사용자에게는 무료, 3 명의 사용자에게는 $ 18/year, 15 명의 사용자에게는 $ 48/year.
    불행히도 사용자 인터페이스는 친숙하지 않지만 2014 년에 재 설계가 진행될 것으로 보입니다.

  • 대 시선
    무료 기본 계정 또는 기기간에 동기화하고 5 개 이상의 항목을 공유하려면 사용자 당 월 $ 40입니다.

    참조 : Dashlane의 보안 분석

  • CommonKey
    회사/엔터프라이즈 기능의 경우 3 명으로 구성된 팀의 경우 무료 또는 월 $ 20/사용자 + 월 $ 2/사용자의 경우 무료입니다.

  • 미트로
    무료이며 훌륭한 UI이지만 기능이 부족합니다.

  • Meldium (현재 LogMeIn 소유)
    20 명의 사용자를 위해 $ 29/month에서 시작합니다.

  • RoboForm Enterprise
    일회성 라이센스 당 $ 37.95.

각각의 보안에 대해서는 언급 할 수 없지만 대부분의 경우 지금은 클라이언트 측에서 암호화를 수행하므로 개발자와 회사 관리자도 암호에 액세스 할 수 없습니다.

LastPass는 대부분의 요구를 충족하는 것으로 보이므로 현재 시험 중입니다. 우리는 원래 Passpack을 우리에게 추천했지만 인터페이스가 매우 어색하다는 것을 알았고 수백 개의 계정이 포함 된 KeePass 파일 가져 오기를 거부했습니다.

이 목록에 추가 정보 나 가치있는 추가 사항이 있으면 의견을 말하고 업데이트 해 보겠습니다.

LastPass와 같은 암호 관리자는 얼마나 안전합니까?

9
Simon East

귀하의 의견에 따르면 공유 사용자/단일 사용자 모드를 주장하는 시스템 및 장치에 대해 이야기하고 있습니다.

우선, 가능한 한 이것을 피하고 최소화하십시오.

둘째, 가능한 한 피하고 최소화하십시오.

셋째, 제품/서비스를 평가할 때 반드시 고려해야 할 사항입니다. 이러한 고유 한 불안감이 있다면 결국 원하지 않을 수 있습니다. 다른 문제도있을 수 있습니다 ...

넷째, 공급 업체/제공자에게 다시 구성하여 안전하게 구성 할 수 있는지 확인하십시오.

다섯 번째로, 얇은 "프록시"유형의 응용 프로그램을 구축하여 사용자 인증을 시행 한 다음 자체 내부 임의 암호를 사용하여 장치에 대해 단일 계정을 사용하는 것을 고려하십시오.

여섯 번째-위의 내용이 관련이 없거나 작동하지 않는 경우 (심각하게 ??)-관리자에게만 액세스 권한이 부여 된 ACL이 있고 암호화 된 폴더 또는 더 나은 cryptosafe가있는 장소를 보았습니다. 임의로 생성 된 비밀번호를 가진 파일.
귀하의 문화/유형에 따라 비밀번호를 인쇄하여 ACTUAL Safe에 보관하고 보안 담당자가 보호하는 조합과 관리자에게만 주어진 조합으로 저장하는 것이 좋습니다 ....

8
AviD

암호는 해결책이 아니라 문제입니다. 일반적인 문제는 보안 인증 및 권한 부여이며 종종 "ID 관리"의 일부로 간주됩니다.

LDAP 또는 Kerberos/AD를 사용하여 인증을 중앙 집중화하고 비밀번호를 동기화 상태로 유지할 수 있습니다. SSH 및 공개/개인 키 인증을 사용하는 것도 좋은 방법입니다.

가장 현대적인 접근 방식은이 문제를보다 일반적이고 편리한 방식으로 해결하는 것입니다. 이는 사람들이 암호에서 보안 토큰으로 또는 다른보다 강력한 인증 방법으로 이동할 수 있도록 도와줍니다. 사람들이 한 번 인증 한 다음 해당 인증을 활용하여 다른 서비스에 액세스 할 수 있도록하는 싱글 사인온 시스템은 일반적인 솔루션입니다.

이를 수행하기위한 기술적 접근 방식에는 OAuth, SAML, Shibboleth 및 InfoCard가 포함됩니다.

5
nealmcb

모든 유형의 루트 비밀번호와 관리자 계정은 다음과 같은 방식으로 수행해야합니다.

3 명의 주요 이해 관계자는 최대 크기의 의사 난수로 구성된 문자를 무작위로 할당합니다.

그것들을 (암기하지 않고) 기록하고 봉투에 넣고 안전하게 보관/보안합니다. 그들은 매년 새로운 암호로 그들을 회전시킵니다.

매일 사용하는 것은 실제 이름과 연결된 그룹 관리자 계정을 통해 이루어지며 계약 업체를 계정 이름 (예 : admjsmith 대신 admcjsmith)과 도메인 (가능한 경우)으로 구분합니다. 유닉스/LDAP는 비슷한 방식으로 수행됩니다. Sudo를 통해.

Root 및 Administrator와 같은 명명 된 계정은 사용하거나 알 수 없습니다. 비슷한 방식으로 클라우드 액세스 키/API 키 계정을 구획화하고 보호해야합니다.

4
atdre

암호를 저장하기 위해 KeePass를 사용합니다. IT (보안, 시스템, 임상, 비즈니스, 보조)의 각 팀 리더는 팀 KeePass 데이터베이스 및 컨텐츠 유지 관리를 담당합니다. 주어진 데이터베이스에 액세스 할 수있는 사람이 부서 나 조직을 떠나면 해당 데이터베이스의 모든 비밀번호를 변경해야합니다.

감사 및 암호 관리를 지원하기 위해 인증을 프록시하는 응용 프로그램을보고 검토했습니다. 이들은보다 일반적인 일부 응용 프로그램에서 작동했지만 사용하는 산업별 응용 프로그램에는 적용되지 않았습니다.

3
Wayne

http://www.thycotic.com/ 의 "Secret Server"와 함께 작업했습니다. 단일 비밀번호를 프로비저닝하여 원하는만큼 개인이나 소수의 개인에게 공유 할 수 있습니다.

감사 추적 및 웹 응용 프로그램에 내장 된 훌륭한 검색 기능이 있습니다. 한 명의 사용자에게 무료로 제공되는 온라인 "클라우드"버전의 응용 프로그램도 있습니다.

소유하고있는 각 장치에 대해 새 암호를 만들고 필요에 따라 고유 한 암호를 추가 할 수 있습니다.

Security Choices

이 데이터베이스에 대한 모든 액세스는 로컬 또는 Active Directory 자격 증명으로 보호됩니다. 그렇게하기로 선택한 경우, Kerberos/NTLM을 통해 현재 로그인 한 사용자의 데이터베이스에 액세스하기 위해 SSO (Seamless Login)를 가질 수 있습니다.

전반적으로 이것은 팀 및 회사 보안 정보의 일반 저장소에 적합한 선택이라고 생각합니다.

3
goodguys_activate

본인은 유능한 관리자가있는 통제 된 환경에서 싱글 사인온 솔루션이 아마도 최고라는 nealmcb에 동의합니다.

타사 웹 사이트 또는 서비스의 자격 증명을 추적하려면 사용자 및 특정 역할과 로그온 자격 증명을 공유 할 수있는 lastpass.com의 엔터프라이즈 솔루션을 살펴볼 수 있습니다.

나는 또한이 문맥에서 "Clipperz"가 언급 된 것을들은 적이 있지만 그것에 대한 경험은 없다.

2
snth

Password Manager Pro 를 정말 좋아합니다. 귀하의 광고/ldap에 연결되어 원하는 그룹으로 비밀번호를 공유하는 웹 사이트는 사람들이 자신의 비밀번호를 저장할 수도 있습니다.

그것은 확실한 정책 작업, 역사, 감사 및 그 밖의 것들을 할 것입니다.

또한 변경 기능이 있습니다. Nice pam 스크립트를 연결하여 PMP에서 변경을 수행하는 데 어려움을 겪었습니다.

네트워크 솔루션 비밀번호와 같은 일부 하드 비밀번호는 원격 데이터 센터 비밀번호 및 이와 유사한 것들을 돕는데, 조정 가능한 논리가 있습니다. 얼마나 많은 시간을 보내고 얼마나 많은/다수의 사용자 등을 보유해야하는지 확인하기 위해 모든 작업을 수행하면 놀랍습니다.

1
hpavc

주로 회사의 정책 및 요구 사항에 따라 다릅니다.

예를 들어 대부분의 자격 증명이 자동화 된 도구에 의해 사용되는 경우 (연속 통합을 위해) 중요한 데이터를 유지할 수있는 Ansible Vault 기능을 사용할 수 있습니다 암호화 된 파일의 비밀번호 또는 키와 같은 이 파일들은 버전 관리가 가능하며 파일에 접근하는 사람들은 항상 ansible-vault view some-encrypted-file.

Ansible 을 사용하지 않으려면 GPG Tools 를 사용하고 암호화 된 파일을 코드 저장소에 커밋하면됩니다.

클라우드 서비스를 광범위하게 사용하는 경우 (예 : Amazon Services) 특정 클라우드 관리 플랫폼 (예 : Scalr )을 사용하면 온라인으로 비밀번호와 개인 키를 구성 할 수 있습니다.

비밀번호를 사람이 관리해야하는 경우 다른 답변 에서 언급 한대로 Dashlane 과 같이 비밀번호 동기화 및 공유를 지원하는 비밀번호 관리자를 사용할 수 있습니다 안전하게 . 무료 및 오픈 소스 솔루션을 사용하는 경우 KeePass 와 같은 도구를 사용해보십시오.

0
kenorb