您是否为每台设备使用相同的 root 密码？

Question

这与密码最佳实践有关，但更具体。

您是否对组织中的所有服务器使用相同的 root 密码？对于一类设备内？

Answer 1

我想说“是的，无处不在”，但在某些情况下仍然是“否”。我的公司正在使用 Password Safe来管理我们客户的密码，在逐个客户的基础上创建“保险箱”。许多客户都有随机分配的唯一密码，用于 root、本地管理员、设备等。不幸的是，有些客户（由于先前供应商所做的工作，或由于我们的懒惰）可能在多个设备或多个设备上使用相同的密码服务器计算机。

对于我的个人密码，我对迁移到像Passwordmaker这样的实用程序很感兴趣，它需要一个“主密码”和一些其他事实（网站名称、用户名等），并从安全的哈希函数中创建一个随机密码。只要您知道您的“主密码”和“其他事实”，您就可以在每次需要时使用该软件重新生成密码（即密码永远不会存储在任何地方，无论是加密的、明文的还是其他方式）。

我还没有找到可以做我想做的一切的公司密码“保管”工具：

• 来自浏览器的基于 SSL 的访问作为 UI
• LDAP 身份验证，基于 LDAP 组成员身份访问数据库中密码的权限。
• 维护每个用户访问的密码的审计跟踪（所以我知道当有人离开公司时要更改什么）。
• 可配置的密码过期通知基于用户（即“使‘bob’自从我们解雇他以来使用过的每个密码过期”），基于密码最后设置的日期，或基于访问密码的唯一用户数量（“整个服务台、IT 部门和清洁人员都访问了这个密码——让它过期。”）
• 每个密码的元数据，包括在到期时通过电子邮件通知的一方、创建日期、最后更改日期、注释。
• 可选插件系统，允许密码系统本身连接到系统并自动更新过期密码。
• 理想情况下运行在基于 Windows 或 Linux 的网络服务器上，可能使用 sqlite 作为后端。

我愿意在这样的项目上投入资金或开发时间，但我从来没有发现任何接近或想要花时间让它启动的东西。