Кристина Парфентьева
Олег СенченкоВ зависимости от сценариев использования, учетные записи и связанные с ними реквизиты доступа можно разделить на личные и общие.
Рисунок 1. Личные реквизиты доступа
Рисунок 2. Общие реквизиты доступа
Для хранения личных паролей используйте кроссплатформенный менеджер паролей KeePass.
Важно! При использовании менеджера паролей помните, что от сложности мастер-пароля зависит безопасность всех хранимых данных.
При определенных условиях (если база данных разблокирована мастер паролем) есть возможность извлечь мастер-пароль из памяти KeePass. Для этого существуют специальные инструменты KeeFarce и KeeTheft.
Проблема защиты кэшированных паролей и данных из памяти не является специфичной только для KeePass и характерна для любых приложений, которые используют кэшированные учетные данные для доступа к данным. Описание этих проблем и мер защиты содержится на сайтах KeePassXC и KeePassHelpCenter.
Чтобы снизить вероятность кражи мастер-пароля, настройте автоматическую блокировку базы данных KeePass в случае неактивности, блокировки экрана и т. д. Хорошей практикой является закрытие приложения KeePass после использования учетных данных.
В настройках KeePass установите следующий параметр:
Установите галочки напротив параметров:
Для хранения общих паролей можно использовать менеджер паролей «Пассворк».
Важно!
Если менеджер паролей внедряется для всех пользователей организации, то необходимо создать несколько отдельных серверов для разных подразделений в зависимости от степени важности информации или уровня доступов к управлению инфраструктурой. Как минимум необходимо создать независимые серверы для каждого подразделения (ИТ, ИБ, DevOps, разработки и других). При этом дополнительно необходимо ограничить сетевой доступ к этим серверам только соответствующими подразделениями.
Внутри Passwork используйте разделение прав доступа к разным данным в зависимости от назначения. Например, на сервере для ИТ-подразделения создайте отдельные «сейфы» для инженеров технической поддержки пользователей и для системных администраторов.