WikiDer > Управление паролями

Существует несколько форм программного обеспечения, которое помогает пользователям или организациям лучше управлять пароли:

• Предназначен для использования одним пользователем:
  • Менеджер паролей Программное обеспечение используется отдельными лицами для организации и шифрования множества личных паролей с использованием единого входа в систему. Это часто связано с использованием ключ шифрования также. Менеджеры паролей также называются кошельки с паролями.
• Предназначен для использования несколькими пользователями / группами пользователей:
  • Синхронизация паролей Программное обеспечение используется организациями для того, чтобы разные пароли в разных системах имели одинаковую ценность, когда они принадлежат одному и тому же человеку.
  • Самостоятельный сброс пароля Программное обеспечение позволяет пользователям, которые забыли свой пароль или активировали блокировку злоумышленников, пройти аутентификацию с помощью другого механизма и решить свою проблему, не обращаясь в службу поддержки ИТ.
  • Предприятие Единая точка входа программное обеспечение контролирует приложения, запускаемые пользователем, и автоматически подставляет идентификаторы входа и пароли.
  • Интернет Единая точка входа программное обеспечение перехватывает доступ пользователя к веб-приложениям и либо вставляет информацию аутентификации в поток HTTP (S), либо перенаправляет пользователя на отдельную страницу, где пользователь аутентифицируется и перенаправляется обратно на исходный URL.
  • Управление привилегированными паролями (используется для безопасного доступа к общим привилегированным учетным записям).

Управление привилегированными паролями

Управление привилегированными паролями - это тип управления паролями, используемый для защиты паролей для идентификаторов входа с повышенными привилегиями безопасности. Чаще всего это делается путем периодической смены каждого такого пароля на новое случайное значение. Поскольку пользователи и автоматизированные программные процессы нуждаются в этих паролях для работы, привилегированные системы управления паролями также должны хранить эти пароли и предоставлять различные механизмы для раскрытия этих паролей безопасным и подходящим способом. Управление привилегированными паролями связано с привилегированное управление идентификацией.

Примеры привилегированных паролей

Есть три основных типа привилегированных паролей. Они используются для аутентификации:

Учетные записи локального администратора

В системах Unix и Linux пользователь root - это привилегированная учетная запись для входа. В Windows эквивалентом является Администратор. В базах данных SQL эквивалент sa. В общем, большинство операционных систем, баз данных, приложений и сетевых устройств включают административный вход, используемый для установки программного обеспечения, настройки системы, управления пользователями, применения исправлений и т. Д. В некоторых системах разные привилегированные функции назначаются разным пользователям, что означает что есть более привилегированные учетные записи, но каждая из них менее эффективна.

Сервисные аккаунты

В операционной системе Windows служебные программы выполняются либо в контексте системы (очень привилегированной, но без пароля), либо в контексте учетной записи пользователя. Когда службы запускаются от имени несистемного пользователя, диспетчер управления службами должен предоставить идентификатор входа и пароль для запуска служебной программы, чтобы учетные записи служб имели пароли. В системах Unix и Linux init и inetd могут запускать служебные программы как непривилегированные пользователи, не зная их паролей, поэтому у служб обычно нет паролей.

Подключения одного приложения к другому

Часто одно приложение должно иметь возможность подключаться к другому для доступа к службе. Типичный пример этого шаблона - когда веб-приложение должно войти в базу данных для получения некоторой информации. Эти межпрограммные соединения обычно требуют логина и пароля, а также этого пароля.

Защита привилегированных паролей

Система управления привилегированными паролями защищает привилегированные пароли с помощью:

• Периодически меняя каждый пароль на новое случайное значение.
• Сохранение этих значений.
• Защита сохраненных значений (например, с помощью шифрования и репликации хранилища).
• Обеспечение механизмов для раскрытия этих паролей различным типам участников системы:
  • ИТ-администраторы.
  • Программы, запускающие службы (например, диспетчер управления службами в Windows).
  • Приложения, которые должны подключаться к другим приложениям.

Требуемая инфраструктура

Для привилегированной системы управления паролями требуется обширная инфраструктура:

• Механизм изменения пароля по расписанию.
• Разъемы для различных систем.
• Механизм обновления различных участников с новыми значениями паролей.
• Обширный аудит.
• Зашифрованное хранилище.
• Аутентификация для сторон, которые хотят получить значения пароля.
• Контроль доступа и авторизация, чтобы решить, уместно ли раскрытие пароля.
• Реплицированное хранилище, чтобы гарантировать, что отказ оборудования или сбой на сайте не приведет к потере данных.

Смотрите также

• Менеджер паролей
• Список менеджеров паролей
• Усталость паролей
• Маркер безопасности
• Интеллектуальная карточка

внешняя ссылка

• Управление привилегированной идентификацией, IDC определяет субрынок управления идентификацией и доступом^{[постоянная мертвая ссылка]} (от IDC, но размещено на Cyber-Ark)