साझा पासवर्ड के लिए सर्वोत्तम अभ्यास और समाधान [बंद]


62

हमारे पास विभिन्न पासवर्ड हैं जिन्हें हमारी कंपनी में एक से अधिक लोगों को जानने की आवश्यकता है। उदाहरण के लिए, हमारे इंटरनेट राउटर के लिए व्यवस्थापक पासवर्ड, हमारे वेब-होस्ट के लिए पासवर्ड, और सुरक्षित कोड के लिए कुछ "गैर-आईटी" पासवर्ड भी।

वर्तमान में, हम कम-मूल्य प्रणालियों के लिए "मानक पासवर्ड" की एक तदर्थ प्रणाली का उपयोग करते हैं , और अधिक महत्वपूर्ण / संभावित हानिकारक प्रणालियों के लिए पासवर्ड का मौखिक साझाकरण करते हैं। मुझे लगता है कि ज्यादातर लोग इस बात से सहमत होंगे कि यह एक अच्छी प्रणाली नहीं है।

हम जो "साझा" पासवर्ड संग्रहीत करने के लिए एक सॉफ़्टवेयर समाधान चाहते हैं, प्रत्येक सीमित लोगों के लिए उपयोग के साथ जो वास्तव में इसकी आवश्यकता है। आदर्श रूप से, यह समय-समय पर पासवर्ड बदलता रहेगा। यह यह भी इंगित करने में सक्षम होना चाहिए कि किसी विशेष पासवर्ड की पहुंच किसके पास है ( जैसे , सर्वर XYZ के लिए रूट पासवर्ड कौन जानता है)?

क्या आप पासवर्ड संग्रहीत करने और साझा करने के लिए कोई सॉफ़्टवेयर समाधान सुझा सकते हैं? क्या सावधान रहने के लिए कुछ खास है?

इसके लिए छोटी-मध्यम आकार की कंपनियों में आम प्रचलन क्या है?


मेरे समान में से कुछ उत्तरों की जाँच करें, भले ही खराब शब्द है, प्रश्न: serverfault.com/questions/3696/…
boflynn

"क्या आप पासवर्ड संग्रहीत करने और साझा करने के लिए कोई सॉफ़्टवेयर समाधान सुझा सकते हैं?" के अंतर्गत आता है सॉफ्टवेयर सिफारिशें स्टैक एक्सचेंज
क्रिस्टियन सियुपिटु

जवाबों:


26

जब भी मैं किसी नए स्टार्टअप पर जाता हूं तो मुझे इस समस्या का सामना करना पड़ता है। पहली चीज जो मैं करता हूं वह इस तरह के एक (या इसके डेरिवेटिव में से एक) के साथ एक कार्यक्रम के साथ "पासवर्ड सेफ़्स" का एक जोड़ा है:

http://passwordsafe.sourceforge.net/

मजबूत संयोजनों को सेट करें और उन्हें नेटवर्क शेयर पर फेंक दें। जिम्मेदारी के क्षेत्र के अनुसार सेगमेंट ... केंद्रीय अवसंरचना, उत्पादन सर्वर, देव / QA, आदि।

एक बार पर्याप्त गति हो जाने के बाद, और मुझे लगता है कि मेरे पास उचित विंडोज वातावरण निर्भरताएं हैं, मुझे हर किसी को इस ओर बढ़ना पसंद है:

http://www.clickstudios.com.au/passwordstate.html

इसमें साझा और व्यक्तिगत साख दोनों के लिए सुविधाएँ हैं।


क्या कोई लिनक्स या मैक प्रोग्राम है जो पासवर्डस्फीयर फ़ाइलों को पढ़ सकता है? ऐसे वातावरण के लिए एक अच्छा समाधान होना अच्छा होगा जहां लोग विभिन्न ऑपरेटिंग सिस्टम का उपयोग करते हैं। अब तक मैंने जो सबसे अच्छा पाया है वह है gpg एन्क्रिप्टेड टेक्स्ट फाइल्स।
मार्क


मैंने पासवर्डस्टेट की जाँच की, लेकिन समाधान के लिए भुगतान किए गए अन्य की तुलना में यह बहुत सीमित लगता है। एक बात के लिए, पासवर्ड देखने के लिए श्रव्य नहीं हैं। हालाँकि यह अगली रिलीज़ में उपलब्ध होना चाहिए।
सेर्गेई

लगता है कि पासवर्डस्टेट के पास अब उचित ऑडिटिंग सुविधाएँ हैं। clickstudios.com.au/about/compliance-reporting.html
Nic

13

भूल जाने की ज़रूरत नहीं है कि अगर कर्मचारी छोड़ देता है / निकाल दिया जाता है, तो पासवर्ड को रद्द करने में सक्षम होने की आवश्यकता है। कर्मचारियों के लोकप्रिय मीडिया में कई मामलों को नोट किया गया है और पासवर्ड का उपयोग करके उनकी कंपनी में 'वापस' हो रहे हैं जो उनके जाने के बाद भी सक्रिय थे।

यह आम तौर पर 2 भागों में होता है:

  1. उन सभी पासवर्डों को जानना, जिन्हें बदलने की आवश्यकता है (अन्यथा आप सभी के लिए डिफ़ॉल्ट हैं जो थकाऊ है)
  2. मैन्युअल रूप से उन्हें बदलना या उपकरण या स्क्रिप्ट के साथ प्रक्रिया को स्वचालित करना।

एक अन्य महत्वपूर्ण कारक यह सुनिश्चित कर रहा है कि परिवर्तन किए जाने पर पासवर्ड नीति का पालन किया जाए - जैसे कि आप कैसे जानते हैं कि एक ही पासवर्ड का उपयोग कई खातों पर नहीं किया गया था या यह कि एक कमजोर पासवर्ड का उपयोग नहीं किया गया था?


14
अवलोकन के रूप में, मैं इसे टिप्पणी के रूप में, लेकिन उत्तर के रूप में नहीं, क्योंकि यह प्रश्न का समाधान नहीं करता है। फिर भी एक अच्छी बात है।
कारा मार्फिया

11

मैं एक छोटी सी आईटी शॉप में काम करता हूं और पिछले एक साल से सीक्रेट सर्वर का इस्तेमाल कर रहा हूं ताकि हमारे नेटवर्क डिवाइसेस और क्लाइंट की जरूरतों के लिए पासवर्ड का प्रबंधन किया जा सके।

वे "इंस्टॉल संस्करण" या ऑनलाइन / होस्ट किए गए संस्करण प्रदान करते हैं। हम $ 100 / yr (5 उपयोगकर्ताओं) से कम के लिए होस्ट किए गए संस्करण का उपयोग करते हैं और इस पासवर्ड की जानकारी को वेब ब्राउज़र के माध्यम से सुरक्षित रूप से एक्सेस कर सकते हैं। यदि आप वास्तव में सुरक्षा के बारे में चिंतित हैं, तो इसे अपने स्वयं के सर्वर पर स्थापित करें और केवल LAN या VPN के माध्यम से एक्सेस करें।

इसके अतिरिक्त, मेरा पसंदीदा "व्यक्तिगत" वेब-आधारित पासवर्ड मैनेजर अब एक "व्यावसायिक संस्करण" प्रदान करता है - पासपैक

मुझे यकीन नहीं है कि यह सीक्रेट सर्वर बनाम इस परिदृश्य में कैसा प्रदर्शन करता है, लेकिन या तो समाधान बहुत अधिक बहुमुखी होना चाहिए और आपके सिर में चीजों को याद रखने वाले कागज, डेस्कटॉप एप्लिकेशन या ( हांफ ) के स्क्रैप की तुलना में सुरक्षित होना चाहिए । "विफलता के एकल बिंदु" चिंता के लिए, इनमें से कोई भी उत्पाद सीएसवी को आसान निर्यात की अनुमति देता है।




सीक्रेट सर्वर साफ दिखता है, लेकिन यह सस्ता नहीं है!
पूर्ण

4

मैं अभी कुछ समय से लास्टपास का इस्तेमाल कर रहा हूं और इसे प्यार करता हूं । मैंने पिछले साल इस सवाल पर शोध करने में थोड़ा समय बिताया और मुझे यह पसंद आया कि लास्टपास ने यह कैसे किया।

  • सभी जानकारी उनकी साइट (और एक स्थानीय प्रतिलिपि) पर एक एन्क्रिप्टेड बंडल में संग्रहीत होती है जो केवल आपके पास डिक्रिप्ट करने के लिए पासवर्ड है
  • सभी पासवर्ड साझा करने योग्य और प्रतिसंहरणीय हैं, आप उन्हें पासवर्ड तक पहुँच दिए बिना भी साझा कर सकते हैं (वेब ​​लॉगिन के लिए)
  • प्रमुख ब्राउज़रों के लिए प्लगइन्स
  • अन्य सुविधाओं के बहुत सारे

3

मैं एक नेटवर्क फ़ोल्डर पर डेटा के साथ पासवर्डसैफ़ की दूसरी एडम की सिफारिश करता हूं। इस क्षेत्र में मेरे दो विचार हैं। एक के पास एक ही संस्करण है, जिससे सभी को डेटा की आवश्यकता होती है जो वर्तमान डेटा प्राप्त कर रहे हैं।

1- पासवर्डसेफ़ फ़ाइल के लिए एक मानकीकृत प्रारूप का उपयोग करता है, इसलिए ऐसे अन्य समाधान हैं जो इसे पढ़ सकते हैं, जिसमें कीपास भी शामिल है।

2- पासवर्ड फ़ाइल को एक सुरक्षित शेयर पर रखें, और एक रात की स्क्रिप्ट है जो इसे नेटवर्क पर कुछ स्थानों पर कॉपी करता है। शायद इसे किसी अन्य सर्वर (संभव होने पर ऑफ-साइट) और सर्वर में छोड़े गए यूएसबी ड्राइव पर एक शेयर पर कॉपी करें। आप फ़ाइल को कम से कम एक जगह चाहते हैं जहाँ यह पासवर्ड द्वारा संरक्षित नहीं है कि यह स्टोर हो रहा है!

3- इंस्टॉलर (या प्रोग्राम के एक्जीक्यूटेबल वर्जन) को एक ही स्पॉट में की फाइल की तरह स्टोर करें, ताकि जरूरत पड़ने पर आप जल्दी से इसे प्राप्त कर सकें।

4- क्या लोगों ने READ-ON फाइल को तब तक खोला है, जब तक कि उन्हें कोई बदलाव नहीं करना है।

5- यदि आवश्यक हो, तो आप कई पासवर्ड फ़ाइलों को बना सकते हैं, एक उन क्रेडेंशियल्स के लिए जो टीम के सभी लोगों की जरूरत है, और एक वास्तव में संवेदनशील चीजों के लिए क्रेडेंशियल्स के लिए।

मैं वेब-आधारित समाधान पर जाने की सलाह नहीं दूंगा। आंतरिक रूप से होस्ट किया गया समाधान ठीक हो सकता है, लेकिन यह बहुत परेशानी की तरह लगता है। मैं इसके बारे में भी चिंतित हूं कि यह एक एकल बिंदु-विफलता है।


2

मैं अपने एक क्लाइंट के कर्मचारियों के साथ काफी कुछ सिस्टम की जिम्मेदारी साझा करता हूं। हम सबसे अधिक उपयोग किए जाने वाले खातों के लिए एक पासवर्ड योजना का उपयोग करने के लिए सहमत हुए हैं। अन्य पासवर्ड क्लाइंट के चीफ द्वारा आईटी द्वारा बनाए गए (संख्या, पासवर्ड) जोड़े की एक पेपर-आधारित सूची में संग्रहीत किए जाते हैं। उपयोगकर्ता नाम और मेजबानों को आसानी से सुलभ डेटाबेस में संग्रहीत किया जाता है। पासवर्ड जरूरत के आधार पर दिए जाते हैं।


2

लघु-मध्यम कंपनियों में सामान्य अभ्यास:

मैंने जिन तीन स्थानों पर काम किया है, उन्होंने अलग-अलग प्रणालियों के पासवर्डों के विवरण के लिए अलग-अलग दस्तावेजों का उपयोग किया है। राउटर और फायरवॉल के लिए एक दस्तावेज़, सर्वर तक पहुंच के लिए एक और डेवलपर्स के लिए एक (जैसे डेटाबेस कनेक्शन के लिए लॉगिन विवरण)। एप्लिकेशनों तक पहुंच का दस्तावेजीकरण नहीं होता (मेरा मानना ​​है कि ज्यादातर के लिए आप अपने आप को व्यवस्थापक अधिकारों के साथ लॉगिन करते हैं)।

नेटवर्क व्यवस्थापक केवल राउटर पासवर्ड दस्तावेज़ देखता है, और जिन व्यक्तियों के पास इस दस्तावेज़ तक पहुंच है, वे इस फ़ाइल में सूचीबद्ध हैं। रोजगार की उनकी शर्तें बताती हैं कि उनके पास लॉगिन और पासवर्ड निजी हैं और उन्हें दूसरों के साथ साझा नहीं किया जाना चाहिए। सिस्टम व्यवस्थापक और डेवलपर्स के लिए समान है।

वास्तविकता कभी-कभी पासवर्ड साझा हो जाती है, लेकिन आप यह पहचान सकते हैं कि किसे पता होना चाहिए (और क्यों) और क्या बदलना है। इसने (सॉफ्टवेयर) 50 कर्मचारियों की कंपनी में अच्छा काम किया।


2

शायद ही कभी इस्तेमाल किए गए पासवर्ड जैसे कि स्थानीय व्यवस्थापक सर्वर पर खाते, राउटर और फ़ायरवॉल पासवर्ड और मेरी पिछली नौकरी की तरह, लगभग 50 या तो की दुकान, केवल sysadmin वास्तव में पासवर्ड जानता था। वे एक लिफाफे में कागज के एक टुकड़े पर लिखे गए थे। मुझे विश्वास था कि तीन लिफाफे सील किए गए थे और उन पर बॉस, एसआईएसएडमिन और हेड प्रोग्रामर ने हस्ताक्षर किए थे। प्रत्येक व्यक्ति के पास दस्तावेजों की एक प्रति थी। घटना में पासवर्ड का उपयोग किया गया था हमने उन्हें बदल दिया और नए लिफाफे बनाए।

मेरी वर्तमान नौकरी में, एक बहुत बड़े संगठन में हमारे पास अकेले 15 sysadmins हैं, और कुछ हज़ार उपयोगकर्ताओं के पास हमारे पास सर्वर नाम के आधार पर पासवर्ड की गणना करने की एक विधि है। इसमें एक ज्ञात उपसर्ग और एक हैश विधि शामिल है जो कागज पर करने के लिए पर्याप्त सरल है। जब पासवर्ड बदलने की आवश्यकता होती है क्योंकि कोई व्यक्ति छोड़ता है या हम उपसर्ग या हैश या दोनों को नहीं बदलते हैं। इस तरह जब मैं अपने आस-पास की हर मशीन या डिवाइस का पासवर्ड नहीं जानता, अगर मुझे किसी कारण से इसकी आवश्यकता होती है, तो मैं इसकी गणना कर सकता हूं।


स्वच्छ विचार, क्या आप ऐसी आसान गणना योग्य हैश विधि का उदाहरण प्रदान कर सकते हैं?
अलेक्जेंडर इवानिसविच

आप ROT उर्फ ​​सीज़र सिफर का उपयोग कर सकते हैं, लेकिन ऑफसेट के लिए 1 और 26 के बीच एक यादृच्छिक रूप से चयनित संख्या का उपयोग कर सकते हैं। उदाहरण के लिए यदि आपके सर्वर का नाम fileserver2 था और उपसर्ग Le84D था और ऑफसेट 18 था तो पासवर्ड Le84Dxadwkwjnwj20 होगा
लौरा थॉमस


1

मुझे पहले भी यही समस्या रही है। मैंने खुद को संभालने के लिए एक प्रणाली का निर्माण किया। इसने वेब इंटरफेस के साथ एक डेटाबेस के भीतर अत्यधिक एन्क्रिप्टेड रूप में उपयोगकर्ता नाम और पासवर्ड संग्रहीत किया है जो आपको खाता जानकारी दर्ज करने की अनुमति देगा, और उस पर सुरक्षा सेट करेगा ताकि केवल सही लोग या समूह डेटा तक पहुंच सकें।

जब यह पासवर्ड बदलने का समय था, तो इसके लिए संकेत नहीं दिया क्योंकि दर्जनों सर्वरों पर सेवाओं ने एक ही लॉगिन का उपयोग किया था और पासवर्ड में परिवर्तन को पहले से अच्छी तरह से सेटअप करना पड़ा था।

मैंने इसे पूरी ऑडिटिंग सुविधा के साथ बनाया है ताकि जब भी कोई कर्मचारी लॉगऑन को देखे तो उसे लॉग इन किया जाए ताकि हम SOX ऑडिटर्स के लिए एक्सेल में ऑडिट लॉग को डंप कर सकें।


1

इसमें सभी पासवर्ड वाले टेक्स्ट फ़ाइल को एन्क्रिप्ट करने के लिए सिमेट्रिक विकल्प के साथ GPG का उपयोग करें। फिर आपको बस इतना करने की जरूरत है कि दूसरे पासिंस को एक पास-वाक्यांश प्रदान करें। जब कोई व्यवस्थापक कंपनी छोड़ता है, तो नए पास-वाक्यांश के साथ पाठ फ़ाइल को फिर से एन्क्रिप्ट करें।


... और सभी पासवर्डों को सही में सम्‍मिलित करें?
ingmar Hupp


1

वाह, अच्छा धागा! किसी ने भी मेरे पसंदीदा समाधान का उल्लेख नहीं किया है (पास करने के अलावा), इसलिए मैं KeePass को चिल्लाऊंगा। पासवर्ड-, कुंजी- या AD- आधारित प्रमाणीकरण के साथ अच्छी तरह से विस्तार योग्य। हमारे लिए अच्छी तरह से काम करता है।


1
एक क्रॉस-प्लेटफ़ॉर्म संस्करण के लिए KeePassX ( Keepassx.org )
Ingmar

1

सर्वर तक पहुँचने के लिए:

एक सर्वर तक पहुंच प्रदान करें और इसे जंपबॉक्स के रूप में उपयोग करें और जंप बॉक्स पर खातों का प्रबंधन करें। जम्पबॉक्स पर भरोसा करने वाले किसी भी व्यक्ति को दूरस्थ संसाधन पर भरोसा किया जाता है। इस तरह से सभी के पास अपना पासवर्ड होता है और विशेष खाते के लिए सर्वर पर पासवर्ड गुप्त रखा जा सकता है।

अन्य संसाधनों तक पहुँचने के लिए:

केवल आवश्यक कर्मियों तक पहुंच सीमित करें। विश्वसनीय उपयोगकर्ताओं की सूची का प्रबंधन करना सुनिश्चित करें। हर 90 दिनों में पासवर्ड बदलें और विश्वसनीय उपयोगकर्ताओं की सूची अपडेट करें। लोगों को लंबित परिवर्तन 15, 7 और 1 दिन पहले नोटिस दें। केवल प्रबंधकों को पासवर्ड वितरित करें और उन्हें यह निर्धारित करने की अनुमति दें कि किसको पहुंच की आवश्यकता है। उपयोग लॉग ऑन करने के लिए उपयोगिताओं और नियमित रूप से उपयोगकर्ताओं को बताएं कि वे बारीकी से निगरानी प्रणाली हैं। सर्वर पर कोई भी मजाकिया व्यापार एक ज्ञात अपराध होना चाहिए।


0

मुझे पता है कि यह ठीक वही उत्तर नहीं है जो आप चाहते हैं, लेकिन मेरे काम के स्थान पर इसके बिल्कुल समान, विश्वसनीय कर्मचारियों को संबंधित पासवर्ड दिए गए हैं, पासवर्ड उपकरणों के बीच साझा नहीं किए गए हैं और उन्हें नीचे नहीं लिखा गया है। यह प्रणाली बहुत अच्छी तरह से काम करती है क्योंकि उपकरणों का प्रशासन आमतौर पर केवल कुछ कर्मचारियों के सदस्यों की जिम्मेदारी है। हमारे पास एक बहुत अच्छा स्टाफ प्रतिधारण है, इसलिए ट्रस्ट को लंबे समय तक बनाया जा सकता है।


0

आप कुछ प्रकार के पासवर्ड वॉल्ट सॉफ़्टवेयर का उपयोग करना चाह सकते हैं - इस तरह से आप अधिकृत उपयोगकर्ताओं को अपनी पहुंच प्रदान कर सकते हैं और सुनिश्चित कर सकते हैं कि सूचना आसपास के लोगों को छोड़कर लीक न हो। एक अच्छा एक शायद पासवर्ड भी प्रदर्शित नहीं करता है, बस उसे क्लिपबोर्ड में कटन पेस्ट के लिए छोड़ देता है।


0

हमारे पास राष्ट्रपति और बम जैसी प्रणाली है - दो लोग प्रत्येक पासवर्ड का आधा हिस्सा जानते हैं। इस तरह से आपको कभी भी ऐसी स्थिति नहीं मिलेगी जहां एक एकल बदमाश व्यवस्थापक बंद हो जाता है और अपने दम पर अनुचित परिवर्तन करता है।


दिलचस्प ... लेकिन कंपनी क्रेडिट कार्ड के लिए पिन के लिए बहुत व्यावहारिक नहीं ;-)
स्टीवर्ट

यह काफी दिलचस्प है। ऐसे कई उदाहरण हैं जब मेरे सहकर्मी (pw के दूसरे आधे के साथ) और मैं एक साथ उठते हैं ... लेकिन मुझे यह विचार पसंद है।
कॉप 1152

1
अब आपने विफलता के एकल बिंदु को असफलता के दोहरे बिंदु में बदल दिया है। यह उन बाधाओं को दोगुना कर देता है जो पासवर्ड खो जाएंगे। इसके अलावा, यह पूरी तरह से अव्यावहारिक है - मैं कभी भी कुछ भी नहीं कर पाऊंगा अगर मुझे हर व्यवस्थापक पासवर्ड का केवल आधा पता था।
एरॉन ब्राउन

मुझे आशा है कि आप इसका मतलब यह नहीं है कि आप सामान्य व्यवस्थापक खातों का उपयोग करते हैं ... कोई ऑडिट ट्रेल नहीं।
मैक्सिमस मिनिमस

0

मैं एक आईटी कंपनी में काम करता हूं, हमारे पास कई ग्राहक हैं, आम तौर पर हम समस्या को दूर से परेशान करते हैं। हम समस्या निवारण के लिए लॉगिन करने के लिए ssh का उपयोग करते हैं। हमने अपने सभी क्लाइंट मशीनों के लिए एक मशीन ssh-key जोड़ी है, ताकि यह लॉगिन करने और समस्याओं का निवारण करने के लिए अन्य के लिए सहायक होगा, अगर मैं नहीं हूँ। लेकिन मशीन को जो हम ग्राहकों को लॉगिन करने के लिए उपयोग कर रहे हैं, इसकी अत्यधिक सुरक्षित कर लिया। यदि आप अच्छे पासवर्डों का बेहतर उपयोग करना चाहते हैं तो संख्याओं और अतिरिक्त चरित्र का उपयोग करें।

निम्नलिखित ssh कुंजियाँ जोड़ने के लिए:

1. ssh-keygen -t dsa (पर ssh कीज़ पाने के लिए .sh / id_dsa.pub

  1. scp .ssh / id_dsa.pub रूट @ रिमोट: ~ / tmp

  2. रिमोट मशीन पर

बिल्ली >> /tmp/id_dsa.pub .ssh / अधिकृत_कीs2

किसी अन्य कंसोल से ... macine को निकालने के लिए लॉगिन करने का प्रयास करें ... :) खुश shhhhhh


-1

पासवर्ड की आवश्यकता वाले सिस्टम का उपयोग करने से मना करें। किसी भी सर्वर को SSH कुंजियों के साथ, किसी भी वेबसाइट को OpenID के साथ प्रमाणित करना होगा। फ़ायरवॉल के अंदर एक OpenID प्रदाता चलाएं।

जाहिर है, इस परिदृश्य का अर्थ है कि आपके सभी सिस्टम SSH या HTTP के माध्यम से सुलभ हैं, लेकिन यह हमारे लिए काम करता है।


मैं यह नहीं देखता कि राउटर, सेफ कोड, क्रेडिट कार्ड पिन आदि के लिए कैसे काम करता है
स्टीवर्ट

"ऐसे सिस्टम का उपयोग करने से मना करें जिनके लिए पासवर्ड की आवश्यकता होती है" - पीटीबी जैसी चीजें हैं इसलिए 'मना' हमेशा काम नहीं करता है ...
सर्गेई
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.