这与
Password Best Practices有关,但更具体.
您是否对组织中的所有服务器使用相同的root密码?对于一类设备?
解决方法
我想说“是的,无处不在”,但在某些情况下它仍然是“不”.我的公司正在使用
Password Safe为我们的客户管理密码,在逐个客户的基础上创建“保险箱”.许多客户为根,本地管理员,设备等提供了独特的随机分配密码.不幸的是,一些(由于先前供应商的工作或我们的懒惰)可能在多个设备或多个设备上使用相同的密码服务器电脑.
Password Safe为我们的客户管理密码,在逐个客户的基础上创建“保险箱”.许多客户为根,本地管理员,设备等提供了独特的随机分配密码.不幸的是,一些(由于先前供应商的工作或我们的懒惰)可能在多个设备或多个设备上使用相同的密码服务器电脑.
对于我的个人密码,我已经转移到像Passwordmaker这样的实用程序,它采用“主密码”和其他一些事实(网站名称,用户名等)并从安全散列函数创建随机密码.只要您知道“主密码”和“其他事实”,就可以在每次需要时使用该软件重新设置密码(即密码永远不会存储在任何地方,加密,明文或其他地方).
我还没有找到一个公司密码“vaulting”工具,可以完成我想要的一切:
>来自浏览器的基于SSL的访问作为UI
> LDAP身份验证,基于LDAP组成员身份访问数据库中密码的权限.
>维护每个用户访问的密码的审计跟踪(所以我知道当有人离开公司时要改变什么).
>基于用户的密码到期的可配置通知(即“使我们解雇他以来所使用的每个密码都过期”),基于最后设置的日期密码,或者基于访问密码的唯一用户的数量( “整个服务台,IT部门和清洁工人都访问了这个密码 – 过期了.”)
>每个密码的元数据,包括在到期,创建日期,最后更改日期,备注时通过电子邮件通知的一方.
>可选的插件系统,允许密码系统自身连接到系统并自动更新过期的密码.
>理想情况下,可以在基于Windows或Linux的Web服务器上运行,可能使用sqlite作为后端.
我愿意在这样的项目上投入资金或开发时间,但我从来没有发现任何接近或想要花时间来实现它的东西.