我们有各种密码,需要让公司中的多个人知道。例如,我们互联网路由器的管理员密码、我们网络主机的密码,以及一些“非 IT”密码,如安全代码。
目前,我们对低价值系统使用“标准密码”的临时系统,对更重要/可能具有破坏性的系统使用口头共享密码。我想大多数人都会同意这不是一个好的系统。
我们想要的是一种用于存储“共享”密码的软件解决方案,每个密码的访问权限仅限于真正需要它的人。理想情况下,这将提示或强制定期更改密码。它还应该能够指示谁有权访问特定密码(例如,谁知道服务器 XYZ 的根密码?)
您能推荐任何用于存储和共享密码的软件解决方案吗? 有什么特别需要注意的吗?
中小型公司对此的常见做法是什么?
Ada*_*ico 26
每次我去一个新的创业公司时,我都会遇到这个问题。我做的第一件事是用这样的程序(或它的一个衍生物)制作几个“密码保险箱”:
http://passwordsafe.sourceforge.net/
设置强大的组合并将它们放在网络共享上。按职责范围划分……中央基础设施、生产服务器、开发/质量保证等。
一旦有足够的动力,并假设我有适当的 Windows 环境依赖项,我喜欢让每个人都这样做:
http://www.clickstudios.com.au/passwordstate.html
它具有共享和个人凭据的功能。
Sec*_*ond 13
不要忘记,如果员工离职/被解雇,需要能够撤销密码。在流行媒体中,有几起员工被解雇并使用离开后仍然有效的密码“重返”公司的案例。
这通常是 2 个部分:
另一个重要因素是确保在进行更改时遵循密码策略 - 例如,您如何知道多个帐户未使用相同的密码或未使用弱密码?
小智 11
我在一家小型 IT 商店工作,过去一年我们一直在使用Secret Server来管理我们的网络设备和客户需求的密码。
他们提供“安装版”或在线/托管版。我们以低于 100 美元/年(5 个用户)的价格使用托管版本,并且可以随时随地通过网络浏览器安全地访问此密码信息。如果您真的担心安全性,请将其安装在您自己的服务器上,并且只能通过 LAN 或 VPN 访问。
此外,我最喜欢的“个人”基于网络的密码管理器现在提供“商业版” - PassPack。
我不确定它在这种情况下与 Secret Server 相比的表现如何,但任何一种解决方案都应该比纸屑、桌面应用程序或 ( gasp ) 记住你头脑中的东西更加通用和安全。对于“单点故障”问题,这些产品中的任何一个都可以轻松导出到 CSV。