Question Gestion de mot de passe locale


Dans notre bureau (et j'en suis sûr, beaucoup d'autres), nous accédons à divers sites Web et avons tendance à partager un compte avec notre équipe. Par exemple, nous partageons les informations d'identification avec Ebay et nous les modifions toutes les quelques semaines afin de maintenir un certain sentiment de sécurité. Cependant, nous savons que cela ne permet aucun type de responsabilité pour les changements majeurs.

Après quelques discussions, nous voulons essayer de gérer la manière dont nous distribuons les informations d'identification pour les sites qui ne proposent pas de comptes enfants. Y at-il un moyen intelligent et sûr de le faire? Si oui, comment faites-vous?


6
2018-01-19 20:19


origine




Réponses:


Ici c'est une idée un peu folle, mais qui répondrait à l'exigence:

Créez un système simple (mais sécurisé!) Contenant tous les mots de passe des différents services. Donnez à chacun un accès individuel à ce système. Le système fournit le mot de passe du service auquel l'utilisateur souhaite accéder. Lorsqu'un utilisateur demande un mot de passe à un site, par exemple eBay, cette demande est consignée. L'utilisateur reçoit le mot de passe eBay actuel, et un nouveau mot de passe généré de manière aléatoire. L'utilisateur doit alors immédiatement changer le mot de passe eBay pour le nouveau, qu'elle décide ou non d'utiliser le service.

De cette façon, l'utilisateur A est responsable de tout ce qui a été fait dans la période à partir de l'obtention du mot de passe et de la fin d'une nouvelle demande de mot de passe. Lorsque l'utilisateur B demande un mot de passe, il obtient le même mot de passe que l'utilisateur A, mais B devient alors responsable et doit donc immédiatement changer le mot de passe pour refuser l'accès à l'utilisateur A.

L'historique complet des mots de passe doit être stocké pour que les administrateurs puissent accéder au service si un utilisateur ne modifie pas le mot de passe.

Ce n'est pas du tout à l'épreuve des balles, bien sûr. Il y a une brève période de temps avant le changement de mot de passe où l'utilisateur A pourrait accéder au service alors que B est réellement responsable. De plus, si B demande un mot de passe, commet une faute et change ensuite le mot de passe pour quelque chose de complètement différent, elle pourrait vraisemblablement affirmer que A a changé le mot de passe et que celui-ci n'a jamais fonctionné. Mais je ne pense pas que ce genre d’activité était une préoccupation dans votre cas.


1
2017-07-22 07:31





De toute évidence, la situation idéale serait d'avoir des comptes séparés pour tout le monde et tout.

Si cela n'est pas possible, il me semble que vous devriez nommer quelqu'un comme une sorte de "gardien de mot de passe", quelqu'un qui pourrait être en charge de la gestion. Cette personne peut suivre tous les mots de passe, les prêter au personnel qui en a besoin, puis, lorsque le membre du personnel a terminé, le responsable du mot de passe peut modifier le mot de passe.

De cette façon, vous avez la sécurité et la responsabilité, le gardien de mot de passe sait que si quelque chose d'inhabituel se produit, qui avait accès aux comptes à ce moment-là.


0
2018-01-19 23:21





La voie à suivre est bien sûr la scission des comptes; Généralement, la partie responsabilité est uniquement de l'argent, et une partie de la méthode consiste à autoriser différents comptes en utilisant des cartes de crédit «supplémentaires», et toutes les cartes appartiennent à un seul compte. Ceci est généralement gratuit pour les banques. et ils vous permettent souvent de définir des limites de crédit différentes pour chaque compte.

Rappelez-vous cependant que la voie à suivre pour la responsabilité est d'avoir chacun des utilisateurs tenir le mot de passe de leur propre compte pour que les autres ne sachent pas, et cela permet la meilleure responsabilisation.


0
2018-06-24 07:08





Il existe un service en ligne qui fait ce dont vous avez besoin: Dernier passage. Vous pouvez créer un compte et partager le mot de passe principal. Chaque fois que quelqu'un modifie votre mot de passe pour un compte en ligne, il met automatiquement à jour le système lastpass afin que la prochaine personne à utiliser ce site utilise automatiquement le nouveau mot de passe.

Comme lastpass prend en charge l'ajout manuel d'entrées de mot de passe, vous pouvez créer des entrées pour des applications non Web.

J'ai utilisé leur service pendant des années et je l'adore. Je peux modifier un mot de passe ou créer une connexion n'importe où (ordinateur portable, PC domestique, Linux, IE, Firefox, où que ce soit) et tous mes "systèmes" voient le changement.


0
2017-07-30 19:42





Cela dépend du degré de rigueur dont vous avez besoin et de votre confiance mutuelle. Lorsque je travaillais dans un bureau (presque tous des développeurs), ce n'était pas un problème pour moi si plusieurs personnes connaissaient la plupart des mots de passe - ce qui était plus important que tout le monde puisse se procurer ceux dont ils avaient besoin.

À cette fin, nous avons utilisé une application de base de données de mots de passe partagée en réseau, en particulier Password Manager XP:

http://www.cp-lab.com/ 

Vous avez la possibilité de verrouiller les choses plus que par base de données - et de façon réaliste, il s'agit de savoir combien vous faites confiance à quel groupe, vous devez presque y arriver à partir de l'autre bout. cette puis Allez chercher les outils qui vous permettront de réaliser ce que vous voulez.

(Parce que mon bureau était plein de développeurs, nous n’avions pas trop de soucis parce que j’espérais qu’ils devraient pouvoir faire le tour de toute sécurité qui ne nécessitait pas de gros efforts de maintenance).


0
2017-07-30 20:01