Passwords 为小型组存储生产密码的最佳做法
这不是一个技术问题。小型组织如何确保必须在多个人之间共享的敏感信息(如生产服务器的根密码)的安全?并非所有需要访问权限的人员都在同一位置工作。。新密码可以通过电话分发,但是团队成员在存储密码时应该执行哪些规则Passwords 为小型组存储生产密码的最佳做法,passwords,storage,store,Passwords,Storage,Store,这不是一个技术问题。小型组织如何确保必须在多个人之间共享的敏感信息(如生产服务器的根密码)的安全?并非所有需要访问权限的人员都在同一位置工作。。新密码可以通过电话分发,但是团队成员在存储密码时应该执行哪些规则 更新:这个问题不是关于根密码的正确使用——这只是一个例子。可能更好的示例是SSL密码短语或任何其他必须在执行管理任务的人员之间共享的密码。事实上,需要生成和存储根密码等,通常需要不止一个人访问,有时这些人在不同的位置工作。问题在于存储协议。谢谢。我个人建议面临类似问题的人使用keepass
更新:这个问题不是关于根密码的正确使用——这只是一个例子。可能更好的示例是SSL密码短语或任何其他必须在执行管理任务的人员之间共享的密码。事实上,需要生成和存储根密码等,通常需要不止一个人访问,有时这些人在不同的位置工作。问题在于存储协议。谢谢。我个人建议面临类似问题的人使用keepass或roboform之类的工具来存储密码。这些程序使用个人记忆的主密码在thumbdrive上加密您的密码,这样他们只需要记住主密码。如果有人松开了thumbdrive,他们将有一个时间窗口,在该时间窗口内,他们可以报告受损的thumbdrive,并允许您更改密码。根据主密码的强度,盗取thumb drive的人需要一点时间才能强行使用主密码获取所有其他存储的密码 此外,避免任何帐户被3人以上共享,(如果有的话)!相反,考虑创建每个具有等价访问的帐户。如果恶意员工可以访问他们知道共享的帐户,那么他们可能更容易做出恶意行为,因为他们知道你不能追究他们的责任,因为可能是共享帐户的几个人中的任何一个 这也意味着你不必每次有人退出时都更改密码。相反,您只需禁用/删除他们的帐户。因此,尽管您需要管理更多的帐户,但当有人离开时,您的开销会减少,因为您不必通知所有人密码已更改
编辑:哦,Roboform还通过SSL提供在线密码同步服务。所以你可以让人们通过同步来检索密码。一旦你习惯了,它就有点酷了。你不应该向任何服务器、生产服务器或其他服务器分发(或使用)根密码。你不应该共享密码 人们应该以自己的身份登录(身份验证),使用自己的用户ID和密码;这是画面的一半 正确登录后,应酌情授予他们权限(图片的授权端)。您可以将
sudo这是两个不同的问题。不要越过小溪 随着
sudo这个系统可能是非常糟糕的专业实践,但在一个人人都认识的小商店里,它工作得很好。你可以使用像anypasswordpro这样的程序来共享密码。它是加密的,具有访问级别:)请现实一点。不管你喜欢与否,小团队中的人都会在便笺上写密码、发即时消息或发电子邮件给他们,尤其是当他们感觉不到威胁时 我发现一个对小团体有用的方法是建立一个模糊处理协议 例如,通过语音邮件、电子邮件、IM或纸张传递或存储的所有密码都将 1) 他们的角色顺序颠倒了 2) 置于每个密码字符之间的随机字符或单词 3) 语音发音的密码字符 例如: 密码:VMaccp@ss1 混淆:一个2 es df es 23在sd pee fd见dfs见fxz ay df EM sd VEE 关键是建立某种编码,如果不知道协议,人们几乎不可能理解这种编码,因为协议很容易记住
请记住,这适用于没有生死安全保障的小团体。显然,对于更大的群体或那些保护极其敏感的金融数据的群体,更强大、更麻烦的措施是合适的。在我以前工作过的一个原型研发实验室中,有一些“标准”实验室密码,例如root、对控制台、交换机的管理访问等。这些密码简单、易于记忆,并与任何需要它们的人口头分享。一般来说,如果你能亲自进入实验室,你就有权拥有这些密码 在制造工厂,为客户构建和配置了新系统。客户可以选择所有密码,并将它们打印在一组表单上,这些表单随系统一起附在机架上。根据需要提供远程访问,密码通过电子邮件发送或通过电话发送。完全可以预期,一旦系统交付给客户,客户将立即更改这些密码 对于IT和生产实验室,几乎没有人拥有root访问权限。几乎每个人都有sudo访问权限,没有限制,只能装载虚拟文件系统……这取决于个人和系统。获得sudo访问权限以root身份启动shell是非常罕见的。这留下了一个非常清晰的日志记录,记录了您作为root用户运行的所有命令。那日志是