Solutii pentru securizarea parolelor in cadrul propriei companii?

Salutari,

Exemplu: Sunt proprietarul unei companii care in ultimii 2 ani a crescut de la 10 la 100 de angajati. Pana acum, eu am gestionat datacenter, backup, website, toate software-urile. Intre cei 100 de angajati eu am unul pe care l-am pus director IT si cunoaste toata infrastructura, el administreaza parole, le schimba conform politicii, etc.Evident, avand parte de o asemenea crestere, IT-ul beneficiaza de update-uri si modificari tehnologice pe care le gestioneaza directorul IT. Eu nu am cum sa gestionez situatii precum parole, creare de conturi, etc. deoarece nu pot oferi viteza de reactie necesare.

Ce solutii vedeti voi in zona asta a.i sa fiu protejat de cazurile in care directorul IT se enerveaza/ ma santajeaza/ decedeaza/ etc.?

Tot stau si ma gandesc ce se intampla cu software-ul care nu este legat de o adresa de email care sa ma ajute la recuperare de parola.

Multumesc anticipat pentru idei.

2 Likes

Mai serios :

Pe scurt serverele pe care sunt LDAP si/sau Kerberos se administreaza cu chei SSH detinute doar de cei in functii de conducere. Tu nu ii dai acces directorului tau direct la serverul kerberos ci doar la un cont care are permisiuni sa creeze/modifice alte conturi (inafara de al tau). Pe aceste servere se logheaza prin windows/linux la login (active directory sau alt client), dupa nu e necesar alt login. Daca folositi doar Windows atunci Active Directory cu contul Microsoft e cel mai logic de implementat.

Toti ceilalti se logheaza prin token-uri configurate si setate de sistemul Kerberos dupa ce se logheaza, chiar si cheile ssh se emit de ele pe root cu expirare. (ca cineva sa poata intra pe servere daca cade de exemplu Kerberos)

Tot stau si ma gandesc ce se intampla cu software-ul care nu este legat de o adresa de email care sa ma ajute la recuperare de parola.

Cel mai logic e ca fiecare utilizator sa fie o adresa de email interna sau pe domeniul organizatiei.

Practic fiecare site/server trebuie schimbat sa functioneze cu login prin kerberos/ldap, iar login-ul pe ele sa se faca printr-un vpn intr-o retea interna cu un server ldap/kerberos.

Daca vrei ceva orientat pe internet fara un vpn ai putea crea un server de autentificare central pe care sa il administrezi tu si acela sa iti dea token-uri JWT pe baza permisiunilor, acces la un server cu o cheie ssh generata si autorizata temporar, etc.

Cheile SSH ale serverelor vor fi administrate automat printr-o alta platforma la care este necesar login-ul prin JWT/Kerberos/LDAP, acesta iti da o cheie ssh pe care o pui si dupa ai automat acces unde ai permisiuni. Daca retragi cheia JWT si stergi/expira cheia ssh atunci omul nu mai are acces la sistem.

https://auth0.com - O implementare pentru token-uri JWT emise de o sursa sigura.
GitHub - operasoftware/ssh-key-authority: A tool for managing SSH key access to any number of servers. O implementare pentru key management pentru ssh.

In acest caz e necesara autentificarea undeva de unde utilizatorii admini vor fi trimisi la o pagina speciala unde se vor loga (chiar si cu sms prin telefon), iar cand se logheaza li se seteaza un token. Dupa cand intra pe orice site daca au permisiunile necesare nu mai trebuie sa se logheze. Tu administrezi acesti utilizatori printr-o platforma in care esti fondator, iar directorul tau de IT e doar admin care nu poate sa iti modifice parola sau sa te inlocuieasca. Iar totul se face cu log-uri si fara acces la stergerea log-urilor. (exista si solutii cu ethereum/bitcoin in cazul in care daca mori sau se intampla ceva cheia ta sa fie trimisa cuiva fara sa apelezi la un avocat care nu e 100% sigur)

Gata facut : https://auth0.com/, https://www.pingidentity.com, https://www.bitium.com/, Identity and Access Management (IAM) | Oracle si https://www.okta.com/

Gratuite si open-source : http://www.keycloak.org/, Products - Shibboleth Consortium, Apache Syncope – IAM Scenario

3 Likes

Adica active directory pt Windows !
Calculatoare intr-un domeniu
:smiley:

LE: ar fi o idee sa dansezi ca sa te loghezi
:joy:

LE2: +1 pt explicatii !

Active Directory pt Windows !
Cam toate firmele au asa ceva

Ontopic: Exista solutii foarte bune (unele chiar open-source) de management al parolelor care sunt agnostice la sistemul de operare folosit in companie. Acelasi lucru il folosesc si eu pentru nevoile mele, mai ales ca am de gestionat parole de la diferiti clienti si trebuie sa am granularitate la nivelul echipei (de ex doar colegii care au semnat un anume NDA primesc acces la anumite parole, neexistand posibilitatea sa primeasca acces de la un coleg. Practic, daca un coleg pleaca din echipa, pentru mine e o chestiune de minute sa nu mai aiba acces la sisteme, si asta pentru ca nu lucreaza direct cu acele parole.

Offtopic: @Alexandru_Harabagiu are nevoie de consultanta specializata, daca directorul lui IT nu e in stare sa rezolve o astfel de problema, iar astfel de solutii nu vin de pe un forum, ci dintr-o analiza atenta a nevoilor si furnizarea unei solutii care sa ii rezolve problema reala. Pentru ca am colaborat o sccurta perioada in trecut, pot sa va spun ca nevoile pe care le descrie nu sunt neaparat nevoile de business, si nu ma refer aici doar la problema enuntata mai sus.

3 Likes

Multumesc tuturor pentru raspunsuri.

Istvan - Da, am gasit acolo ce imi trebuie ca sa merg mai departe.

2 Likes