Meilleures pratiques et solutions pour le partage des mots de passe

Je partage la responsabilité d'un certain nombre de systèmes avec les employés d'un de mes clients. Nous avons convenu d'utiliser un système de mots de passe pour les comptes les plus souvent utilisés. Les autres mots de passe sont stockés dans une liste papier de paires (numéro, mot de passe) tenue par le responsable informatique du client. Les noms d'utilisateur et les hôtes sont stockés dans une base de données facilement accessible. Les mots de passe sont distribués en fonction du besoin de savoir.

Pratique courante dans les petites et moyennes entreprises :

Dans trois endroits où j'ai travaillé, on utilisait des documents séparés pour détailler les mots de passe des différents systèmes. Un document pour les routeurs et les pare-feu, un autre pour l'accès aux serveurs, et un dernier pour les développeurs (par exemple, les détails de connexion aux bases de données). L'accès aux applications n'est généralement pas documenté (je suppose que pour la plupart d'entre elles, vous vous connectez en tant que vous-même avec des droits d'administrateur).

L'administrateur réseau ne voit que le document sur le mot de passe des routeurs, et les personnes qui ont accès à ce document sont listées dans ce fichier. Leurs conditions d'emploi stipulent que les logins et mots de passe auxquels ils ont accès sont privés et ne doivent pas être partagés avec d'autres. Il en va de même pour l'administrateur système et les développeurs.

La réalité est que le mot de passe est parfois partagé, mais vous pouvez identifier qui doit savoir (et pourquoi) et modifier ce qui doit l'être. Cela a bien fonctionné dans une entreprise (de logiciels) de 50 employés.

Pour les mots de passe rarement utilisés, comme les comptes d'administration locaux sur les serveurs, les mots de passe des routeurs et des pare-feu, etc. à mon dernier emploi, un atelier d'une cinquantaine de personnes, seul l'administrateur système connaissait les mots de passe. Ils étaient écrits sur une feuille de papier dans une enveloppe. Il y avait, je crois, trois enveloppes qui étaient scellées et signées par le patron, l'administrateur système et le programmeur en chef. Chaque personne avait une copie des documents. Dans le cas où les mots de passe étaient utilisés, nous les changions et faisions de nouvelles enveloppes.

Dans mon travail actuel, dans une organisation beaucoup plus grande, nous avons 15 administrateurs système à nous seuls, et quelques milliers d'utilisateurs, nous avons une méthode pour calculer les mots de passe sur la base du nom d'un serveur. Cela inclut un préfixe connu et une méthode de hachage qui est assez simple à réaliser sur papier. Lorsque les mots de passe doivent être changés parce que quelqu'un part ou autre chose, nous changeons le préfixe ou le hachage ou les deux. Ainsi, même si je ne connais pas le mot de passe de chaque machine ou appareil autour de moi, je peux le calculer si j'en ai besoin pour une raison quelconque.

Il y a un Lifehacker post d'aujourd'hui sur Passpack cela peut valoir la peine de jeter un coup d'œil.

J'ai déjà eu le même problème. J'ai fini par construire un système pour gérer ça moi-même. Il stocke le nom d'utilisateur et le mot de passe sous une forme hautement cryptée dans une base de données avec une interface Web qui vous permet d'entrer les informations du compte et de définir la sécurité de sorte que seules les personnes ou les groupes appropriés puissent accéder aux données.

Il n'y avait pas d'invite pour savoir quand il était temps de changer les mots de passe, car des services sur des dizaines de serveurs utilisaient le même login et les changements de mots de passe devaient être configurés longtemps à l'avance.

Je l'ai construit avec une fonction d'audit complète de sorte que chaque fois qu'un employé regarde une connexion, elle est enregistrée et nous pouvons extraire le journal d'audit vers Excel pour les auditeurs SOX.