Методология

Организация хранения и обмена паролями

kparfenteva.JPGКристина Парфентьева
osenchenko.jpgОлег Сенченко

В зависимости от сценариев использования, учетные записи и связанные с ними реквизиты доступа можно разделить на личные и общие. 

Рисунок 1. Личные реквизиты доступа

Рисунок 2. Общие реквизиты доступа

Хранение личных паролей

Для хранения личных паролей используйте кроссплатформенный менеджер паролей KeePass.

Важно! При использовании менеджера паролей помните, что от сложности мастер-пароля зависит безопасность всех хранимых данных.

Настройка KeePass

При определенных условиях (если база данных разблокирована мастер паролем) есть возможность извлечь мастер-пароль из памяти KeePass. Для этого существуют специальные инструменты KeeFarce и KeeTheft.

Проблема защиты кэшированных паролей и данных из памяти не является специфичной только для KeePass и характерна для любых приложений, которые используют кэшированные учетные данные для доступа к данным. Описание этих проблем и мер защиты содержится на сайтах KeePassXC и KeePassHelpCenter.

Чтобы снизить вероятность кражи мастер-пароля, настройте автоматическую блокировку базы данных KeePass в случае неактивности, блокировки экрана и т. д. Хорошей практикой является закрытие приложения KeePass после использования учетных данных.

В настройках KeePass установите следующий параметр:

  • Lock while idle — 5 минут

Установите галочки напротив параметров:

  • Lock after sleep
  • Lock after log out
  • Lock after screen sleep

Хранение общих паролей

Для хранения общих паролей можно использовать менеджер паролей «Пассворк».

Важно!

  • Обязательно настройте второй фактор аутентификации (MFA) при подключении к парольному менеджеру. Использование любого общего менеджера паролей без MFA не допускается.
  • Менеджер паролей не должен быть доступен на внешнем периметре ни при каких обстоятельствах.
  • Доступ к менеджеру паролей организуется через доменные группы подразделений информационных технологий или информационной безопасности.

Если менеджер паролей внедряется для всех пользователей организации, то необходимо создать несколько отдельных серверов для разных подразделений в зависимости от степени важности информации или уровня доступов к управлению инфраструктурой. Как минимум необходимо создать независимые серверы для каждого подразделения (ИТ, ИБ, DevOps, разработки и других). При этом дополнительно необходимо ограничить сетевой доступ к этим серверам только соответствующими подразделениями.

Внутри Passwork используйте разделение прав доступа к разным данным в зависимости от назначения. Например, на сервере для ИТ-подразделения создайте отдельные «сейфы» для инженеров технической поддержки пользователей и для системных администраторов.