Управление локальными паролями

В нашем офисе (и я уверен, что многие другие) мы обращаемся к различным веб-сайтам и стремимся делиться одним аккаунтом с нашей командой. Например, мы предоставляем учетные данные Ebay и меняем их каждые несколько недель, чтобы сохранить чувство безопасности. Тем не менее, мы знаем, что это не допускает какой-либо ответственности за серьезные изменения.

После некоторого обсуждения мы хотим попытаться управлять тем, как мы распространяем учетные данные для сайтов, которые могут не предлагать дочерние учетные записи. Есть ли какой-нибудь умный и безопасный способ сделать это? Если так, то как ты это делаешь?

Вот немного сумасшедшая идея , но тот, который будет соответствовать требованию:

Создайте простую (но безопасную!) Систему, которая содержит все пароли для разных сервисов. Предоставьте каждому индивидуальный доступ к этой системе. Система предоставляет пароль для службы, к которой пользователь запрашивает доступ. Всякий раз, когда пользователь запрашивает пароль для сайта, например, eBay, этот запрос регистрируется. Пользователь получает текущий пароль eBay, а также случайно сгенерированный новый пароль. Затем пользователь должен немедленно сменить пароль eBay на новый, независимо от того, решит ли он использовать службу.

Таким образом, пользователь A несет ответственность за все, что было сделано в период, начиная с получения пароля и заканчивая запросом нового пароля. Когда пользователь B запрашивает пароль, он получает тот же пароль, который знает пользователь A, но затем B становится ответственным и, следовательно, должен немедленно изменить пароль, чтобы запретить пользователю A доступ.

Полная история паролей должна храниться для администраторов, чтобы получить доступ к сервису в случае, если какой-либо пользователь не меняет пароль.

Это не пуленепробиваемый, конечно. Перед сменой пароля существует короткий промежуток времени, когда пользователь А мог доступ к услуге, в то время как B на самом деле подотчетен. Кроме того, если B запрашивает пароль, делает что-то нечистое и впоследствии меняет пароль на что-то совершенно другое, она может правдоподобно утверждать, что A изменил пароль, а тот, который B получил, никогда не работал. Но я не думаю, что такого рода деятельность была проблемой в вашем случае.

Очевидно, что идеальной ситуацией было бы иметь отдельные учетные записи для всех и всего.

Если это невозможно, мне кажется, что вы должны назначить кого-то как своего рода «хранителя паролей», возможно, кто-то на руководящей должности. Этот человек может отслеживать все пароли, отдавать их сотрудникам, которые в них нуждаются, а затем, когда сотрудник закончил, хранитель паролей может сменить пароль.

Таким образом, вы получаете безопасность и ответственность, а хранитель паролей знает, что если произойдет что-то нехорошее, у кого был доступ к учетным записям в то время.

Разумеется, есть путь к разделению счетов; обычно часть подотчетности - это только деньги, а часть метода состоит в том, чтобы учесть разные учетные записи, использующие «дополнительные» кредитные карты, и все карты принадлежат одному счету. Обычно это бесплатно для банков. и они часто позволяют вам устанавливать разные кредитные лимиты для каждой учетной записи.

Помните, однако, что путь к ответственности, это иметь каждого пользователя держать пароль своей учетной записи, чтобы другие не знали, и это обеспечивает лучшую ответственность.

Существует онлайн-сервис, который делает то, что вам нужно: LastPass , Вы можете создать одну учетную запись и поделиться мастер-паролем. Всякий раз, когда кто-либо меняет ваш пароль для сетевой учетной записи, он автоматически обновляет систему lastpass, чтобы следующий пользователь, автоматически использующий этот сайт, автоматически использовал новый пароль.

Поскольку lastpass поддерживает ручное добавление записей пароля, вы можете создавать записи для не веб-приложений.

Я использовал их услуги в течение многих лет, и мне это нравится. Я могу изменить пароль или создать логин где угодно (ноутбук, домашний ПК, Linux, IE, Firefox, где угодно), и все мои «системы» видят изменения.

Зависит от того, насколько вам нужно быть крепким и насколько вы доверяете друг другу. Когда я работал в офисе (почти все разработчики), для меня не было проблемой, если бы многие пароли знали большинство паролей - что было более важно, чтобы каждый мог получить те, которые им нужны.

Для этого мы использовали сетевое приложение базы данных общих паролей, в частности Password Manager XP:

http://www.cp-lab.com/

У вас есть возможность блокировать вещи больше, чем просто для каждой базы данных - и на самом деле вопрос в том, насколько вы доверяете какой-либо группе, вам почти нужно прийти к этому с другого конца - что вам нужно сделать и, решив тот затем иди охотиться на инструменты, которые позволят вам достичь того, что вы хотите.

(Поскольку мой офис был полон разработчиков, мы не сильно закрывались, потому что я ожидал, что они смогут обойти любую охрану, которая не требует серьезных усилий для обслуживания).