あなたの会社では「エンタープライズ」パスワード管理をどのように行っていますか?
-
06-07-2019 - |
質問
について話しました 個人的 パスワード管理 ここ しかし、会社全体のレベルでパスワードをどのように管理していますか?
解決
当社のアプリケーションは、主にWebベースでオープンソースまたは社内で開発されるように計画できました。これにより、LDAPを使用して、イントラネットにログインするためのアクティブディレクトリにフックできました。そこから、ログインを使用するさまざまな製品(MediaWiki、Wordpress、SugarCRMなど)に変更し、ユーザーがイントラネットで認証された場合、これらの他の製品にも自動的にログインするようにしました。
これには、プロセスのセットアップとスクリプトの作成に時間がかかり、誰かが会社に参加したときに各システムに適切なユーザーの詳細をすべて設定しますが、今では誰もが1つのパスワードを覚えるだけで済むようになりました。増え続けるパスワードのリストを管理するため。
明らかにこれは多くの企業で実行可能ではないかもしれませんが、セットアップが完了したので、努力する価値がありました。
他のヒント
一週間の探索が終わったらまた報告しようと思ったのですが…
私はそれに落ち着きました パスパック 私はここ数日間、個人のパスワードにこれを使用していますが、完全にファンボーイです。
彼らは、 ホスト耐性のあるホスティング したがって、あなたのものにアクセスできるのはあなただけであり、パスワードを忘れた場合、彼らはあなたを助けることができません。
Adobe AIR と Google Gears で書かれた素晴らしいオフライン アプリがいくつかあります。
しかし、何よりも、今後のリリースでサポートされるため、これらは私の「エンタープライズ」要件に適合します。 共有 信頼できるグループ内で。
さらに、私が学んだことは、 「不要な」引用符の「ブログ」 彼らのフォーラムで。
パスワードエージェントを使用します: http://www.moonsoftware.com/pwagent.asp
PC管理者ログインからWebサイトログイン、すべて使用する製品のプロダクトキーまで、すべてを保存します。
Active Directoryを使用してユーザー資格情報を保存し、デスクトップおよびWeb用のカスタムライブラリを開発しました
私たちが使用しているのは キーパス アプリケーションは成功しました。プロジェクトごと、ビジネス ドメインごとにファイルを作成します。アクセス権を持つ必要がある人々の間で、適切な KeePass ファイルへのパスワードを共有します。
それは最善の解決策ではありません。また、Cyber-Ark ソフトウェアを全社的にインストールしていますが、いくつかの奇妙な構成ルールのため、以前のソリューションほどうまく機能しません。バージョンが古いことも関係しているのかもしれません。
パスワードからサーバー変更レコードまで、すべてを完全に保存する社内Lotus Notesデータベースを維持しています。それは大きくて扱いにくく、ロードするのに時間がかかり、一般的にはいいことではありません。
いいえ、これは正しい方法ではありません。 :-|
私はそこで働いているので明らかに偏っていますが、 Lieberman Software のエンタープライズランダムパスワードマネージャーを使用しています。はい、私たちは実際に独自のネットワークで独自のツールをドッグフードします。委任によるWebアクセシビリティ、再試行によるスケジュールされた操作、アカウント(サービス、COM +アプリなど)を使用した他のものへの伝播、システム/アカウントの発見、Linux / Unixアカウント管理などのような、いくつかの素晴らしい機能があります。
営業担当者はより良い提案をすることができると確信していますが、そうではありません。ぜひチェックしてみてください。 :)
仕事に関連するパスワードについては、会社のメインファイルサーバーのユーザーストレージ領域にある暗号化されていない passwords.txt
ファイルに保存します。通常、社内の他のユーザーはユーザーストレージ領域のファイルを読み取ることができないため、露出のリスクはほとんどありません。ただし、私に何かが起こった場合、会社関連のアクティビティのすべてのパスワードは社内の他の人にも簡単に利用できます。MISに問い合わせてください。
これは、もちろん私が個人パスワードに使用するものとは非常に異なるセキュリティモデルです。
ちょっと前に:Microsoftには、さまざまなシステムで資格情報/パスワード/ IDを管理する製品があります: Identity Lifecycle Manager
Secret Serverは、社内のニーズ(ソフトウェア会社内)から現在世界中で使用されている実行可能な製品に成長したものです。 Webベースであり、パスワードを保存して、他のユーザーやグループ(ADユーザーやグループも含む)と安全に共有できます。また、自動スケジュールでパスワードに積極的にアクセスして変更し、サービスアカウントのWindowsサービスなどの関連する依存関係を処理することもできます。
エンタープライズパスワード管理(30日間無料トライアル)。
Apache Directory Server を使用します。これは LDAP -標準実装。
Apache Directory Studio を使用してディレクトリデータベースを管理できます。非常にユーザーフレンドリー(または、少なくとも、管理者フレンドリー)。
資格情報へのアクセスを必要とするアプリケーションにディレクトリをプログラムでフックできます。LDAPクライアントライブラリは、Java、C ++、PHP、Rubyなどの一般的なプログラミングプラットフォームで広く利用可能です。
私のビジネスの友人は、Passwork( https://passwork.me )をチェックするようにアドバイスしました。彼らは自分のサーバーで自己ホスト型を使用しているので、PassworkにもSaaSがあることがわかりました。 そのため、私と同僚は会社のパスワードをPassworkに保存します。
以前に別のエンタープライズpwマネージャーを試しましたが、信頼できませんでした。
これらの機能を備えた製品を見ました:
- ロールを使用してパスワードにアクセス権限を付与できます。
- 委任を処理します。
- パスワードへのアクセスを記録します。
- パスワードをランダム化できます。
- パスワードにアクセスしてからX日後にパスワードを自動的に再ランダム化できます。
残念ながら、これを投稿したときは名前を知ることができませんでした。それは「シークレットサーバー」でした