例如十人的小團隊,或是小部門。你們有 iOS、Android 產品要上架,無可必免的需要申請一個 itune/google play 的帳號。理論上是可以讓一個人去處理這個帳號就好。但實際工作時,每次改東西都要透過一個人再去做會很慢,到了最後,為了方便,這帳密全團隊的人都會知道。
後來有人事異動,那這個帳密就流出去了,你也不可能每次有人異動就要重改一次密碼,很累的。
我的問題是,這類外部服務的帳密,大家有什麼方法有效管理?(公司內部的自然有辦法統一管理,不在此問)
今天剛替朋友處理一件資安事件,我朋友去附近某國創業,當地雇用的IT把自己的帳號設定成super admin,後來因故離職之後,不時上線搗亂替同事重設密碼藉以要脅。甚至還打越洋電話來騙我把DNS hosting轉給他。好在我做了double confirm,不然我朋友公司的網路就崩潰了。
團隊密碼管理確實是大問題,在使用者端、服務提供者/網站、應用開發者跟設備生產商雖然性質有些差異,但情況類似。很多公司生產資訊產品都留了後門,隨著人員來來去去,後門成了大門。
傳統資安專家建議不要把密碼寫下來,然而雲端密碼管理產品大成功,可見保存密碼很辛苦,在方便跟安全之間,主流趨勢是方便使用,相對而言安全不是主要考量。以我自己將近200條的密碼紀錄表為例,要靠腦袋記億是不可能的。
密碼問題因為歸因於「不守規則」的個人問題,不是公司的問題,公司沒有花錢的正當性,預算難過關,內部意見難整合。IT最常幹的事情就是替同事重設密碼。有IT人員可幹這事,公司老闆傾向不重複投資,免得讓IT閒閒沒事幹。
密碼管理問題有技術層面、有人性層面,通常是人性勝。因為人性勝,所以沒多久就轉勝為敗。然而,人性卻不能不勝,要事事都把安全擺第一,大概只能回去用算盤。
(抱歉,昨晚喝多了,早上起來重新改寫一番)
IngramChen
積分 1
沒有人有相關的經驗嗎? 還是就讓大家知道帳密就好了,反正從來也沒出過事。
我有想找類似 1password1 之類的 solution,但不曉得適不適合團隊管理。
haocheng
積分 0
LastPass 有 Enterprise: https://lastpass.com/enterprise_overview.php
IngramChen
積分 1
有點貴,不過要把密碼給別人管是有點危險的,我得查查 LastPass 過去的記錄,還有他們加密的方式。
如果有那種自己可以裝的 server 就好很多。
haocheng
積分 0
存在 server 上的密碼都是加密過的,加解密都在 client 處理,所以只有你可以解開。
它會自動替用戶填上密碼表示他的實際意義是存明碼,在server上加密用的是它的key,不是用戶的key,是它在防外界(包括用戶)。但用戶應該擔心的是如何信任它,所以是用戶怎麼防它的問題。就算key pair是用戶提供的,只要明文密碼是它替用戶填的,它是經手人,這就有men-in-the-middle的風險,(它既加密又解密,表示它兩把key都拿得到,這key pair是誰提供的無關緊要,以此看來它似乎不需要搞兩把key)。如果要使用別人做的系統來管理資安很難禁得起無限上綱的拷問而不崩潰的,但風險的性質是要有所了解的。
再說後台那個大資料庫。一定是所有用戶的加密後的密碼放在上面,它肯定有public IP,否則他不能作BYOD。這就等於是一大群聚集在一起的小魚,自然會吸引鯨魚跟鯊魚來捕食。而且,如果它能pass decryption key到mobile device上(BYOD),那表示一定還有更肥的一群魚在那裡(key 資料庫)。如果是decryption key是離線安裝的,那在deployment上會很麻煩,員工離職時也有解除的困擾。(當然,為了安全麻煩一點有時無法避免)
這家公司的資安是必須稽核的重點,如果要使用這樣的方案,平常就要準備好替這家公司資安辯護的資料,免得大老闆一來,一句話就被考倒了。那種平常在商場上打滾的人,對別家公司的信任度很低(或說敏感性很高),最愛拷問這類問題,但通常一問就是大哉問的好問題,因為資安不能不考慮到信任。
https://lastpass.com/how-it-works 裡面有寫: "All sensitive data is encrypted and decrypted locally before syncing with LastPass. Your key never leaves your device, and is never shared with LastPass. Your data stays accessible only to you."
可以幫忙填密碼是因為 Chrome 有 plugin 幫你記住你的 master password,這樣比較方便 (當然是用安全性換來的,就看怎麼取捨),server 上存的資料都是用你的 master password 加密過的
可能我的第一句話有點語病,讓人讀起來誤以為我說他在server上存放明碼,不是這樣,看我的第二句話有說「在server上加密...」也可以佐證那不是我的意思。我不致於認為LassPass這麼stupid。
我想表達的是,用戶必須把明碼交給LassPass管理跟使用,所以LassPass是否值得信任是一個重點,問題不在加解密在哪裡做的,而在於是誰做的。如果今天LassPass是小米,那就免談了。問題是,LassPass是誰,又有誰知道呢,沒有FBI的壓力嗎,這都是無法知道的。所以,的確,這是取捨的問題。
話說為來,它說「 Your key never leaves your device」這句話應該也是有語病的,如果是這樣不可能做到BYOD,跨device分享password的功能,一定要把key depoly過去吧,這樣就leave device了。
IngramChen
積分 1
理論上而已,誰知道它做了什麼?密碼是最重要的門口,基本上沒有妥協的空間。
haocheng
積分 0
正因為他們是專門做這行的,很多人會用放大鏡檢視他們的作法是否安全,這年頭只是網頁上說說就想騙過大家沒這麼容易
IngramChen
積分 0
嘛... 沒有 open source 的話很難說服人... 個人使用我覺得還好,反正風險自負。
anyway ,我大概知道往哪個方向找了: stackexchange1
乍看之下,LassPass的方式像是一個集中管理密碼明文的資料庫系統,原理單純。使用者還是會接觸到密碼,所以應該是管理密碼明文,統一管理的好處是可以把哪些不守規矩沒有遵守密碼設定原則的傢伙揪出來,他不少功能是屬於糾察隊性質的功能,所以這系統的著眼點在「管理」。共用帳號的問題不是這系統要處理核心問題。但如果離職不是經常發生,每次有人離職就強制所有人換密碼,並且監看是否有人不合群一直提醒他,用這種管理方式來處理,或許這種系統就可以派上用場。
如果不是大型公司或機構,大概用不到那些safety guideline enforcement跟BYOD這一類抬高價格的花邊功能,這似乎是一個讓新手當練習的好題目。
發現 quora 上 What is the best password manager for a startup?1 這題也 沒有被回答(果真是難題)
我「個人」的習慣是全都用 reset password,並且密碼都用很難猜的,反正也沒有人腦記憶的必要(如果 browser 能幫忙記,就讓它先記著), cookie 過時後,只要知道去哪收 email 然後重設它就好了。這樣只要單純到只記 email 的 password 就行了,這樣需要記憶的、異動的 password 就會減少許多。
seathief
積分 0
突然想到可以在 command line1 上面產密碼,希望對有需要的人有幫助囉 ;) 因為我是用lastpass或1password, 所以就順手使用上面的password generator
IngramChen
積分 0
用 date 還蠻容易的:
date | md5sum #linux
date | md5 #mac
openssl rand -base64 32
openssl 產生的就更亂數了,指令也夠簡單
itunes, google play 都可以加協作帳號唷。因此把大家加到 subaccount 就可以了吧。離職的就把他的帳號移除,就沒事了。