Какой лучший способ хранения данных аутентификации?

Question

[Salamandrine]

Привет.

Какой лучший способ и ПО для хранения имени пользователя, пароля и пр. информации о различных частях инфраструктуры в случае, если доступ к ним нужен нескольким членам команды?
И в случае, если необходимые для этого данные передаются участникам команды со стороны?

Например, есть MySQL с профилем пользователя, защищенным паролем.
БД ранее была развернута и используема другой командой.

Есть ли готовое ПО, позволяющее пользователям с одним уровнем доступа полностью управлять инфраструктурой ПО, с другим уровнем -- только смотреть записи, а третьим -- лишь добавлять новые?
Речь о логинах и паролях, которые с помощью этого ПО будут храниться.

Предыдущий формат предполагается исходя из скудных знаний принципов ИБ.
Если он неприемлем, или имеются значительно более подходящие под требования безопасности способы -- буду благодарен за советы.

Comments

[rPman]

бессмысленно рассматривать хранение чувствительных данных без остальной инфраструктуры и регламентов.

Хранить можно и в базе данных, но вот приложение, которое будет обеспечивать доступ к этим данным это 99% работы.

upd. совсем разленимся, мне проще в несколько слов попросить ИИ хоть чуть чуть раскрыть идею, чем самому что то строчить

openai:gpt-4.1

Что это значит на практике?

• 
  Кто и как может получить эти пароли?
  
  • Нужно регламентировать кто и как получает доступ.
    
  • Нужно аутентифицировать пользователей (пароль, 2FA...).
    
  • Нужно определять права доступа внутри приложения (админы, пользователи и т.д.).
    
  
  
  
• 
  Как хранить пароли безопасно?
  
  • Пароли нельзя хранить в открытом виде.
    
  • Обычно они шифруются с помощью master key, который доступен ограниченному числу людей/систем.
    
  • Нужно позаботиться о ротации master key, если его кто-то узнает.
    
  
  
  
• 
  Как выдавать пароли так, чтобы их не украли "по дороге"?
  
  • Нужно реализовать механизм безопасной передачи (например, только по HTTPS, с возможно временным доступом).
    
  • Пароль может отображаться только раз, либо быть доступен для копирования на короткое время.
    
  
  
  
• 
  Журналирование и аудит
  
  • Важно вести протокол: кто, когда, какой пароль просмотрел, чтобы в случае инцидента можно было найти причину утечки.
    
  
  
  
• 
  Регламенты
  
  • Что делать при увольнении сотрудника? (Заменить все пароли!)
    
  • Кто и как может передавать пароли новым людям?
    
  
  
  
• И так далее — список задач можно продолжать.
  

[Salamandrine]

rPman, спасибо за развернутый ответ.