Какая программа менеджмента паролей подойдет для совместной роботы в IT отделе?

Question

[Данил]

В IT отделе есть эникеи, которые время от времени просят пароли для тех или иных работ. Интересует автоматизация этого процесса в виде: столбик с названиями ресурсов, кнопка "Получить пароль" и поле в котором сотрудник описывает для чего ему пароль, что он хочет делать и тд. В идеале, чтобы руководителю приходило оповещение и он мог нажать Дать/Не дать пароль.

Comments

[Иван]

Что собственно помешает мне получив пароль однажды больше нигде не записываться и делать с ним что вздумается?

[ATauenis]

У вас в организации разве наклеек на мониторах с паролями нет? Или xls-файлов на сетевой шаре с паролями ото всего?
P.S. Шутка.

Answer 1

[Site Developer]

Подход в корне неправильный. Нужно не выдавать пароли, а настраивать доступы юзерам.

Comments

[Данил]

Что вы имеете ввиду? Можно пример?

[Site Developer]

Гуглим по теме разграничение доступа.
А пароли должны быть у юзеров ПЕРСОНАЛЬНЫЕ. Раздавать пароли НЕЛЬЗЯ. Никак, никому и никогда. Это порочная практика, нарушающая безопасность системы.

[Павел Лысенко]

Данил: Пароли каждый хранит и делает какие ему угодно. Кроме него эти пароли никто не знает. Отвечает за их сохранность каждый сотрудник лично. Можно под расписку об ознакомлении с правилами доступа.
Если вы начнёте выдавать пароли, то пароли резко начинают существовать в трёх местах вместо одного — в системе их генерации и в системе их доставки. Поэтому их становится в разы легче свистнуть. И персональной ответственности никакой больше нет — каждый может сказать что пароль украли в момент пересылки по сети, а не он потерял.

[poteh]

Я согласен с Вашим подходом, но подскажите как быть в таком случае: windows сервер, на нём запущено оконное приложение которое по своему внутреннему регламенту выполняет расчёт. Использовать планировщик windows нет возможности, только открытое приложение.
Сейчас сотрудники для внесения изменений в это приложение заходят под общим пользователем через RDP.
Как организовать доступ в этом случае?

[Site Developer]

poteh:

под общим пользователем

Ну вот в этом и ошибка. Не должно быть никаких "общих". Это первое.
Втрое - не понятно что с результатами работы "приложения". Если они должны сохраняться, то для каждого юзера - свой результат. Если просто поработать, то см первое.
Третье - возможно стоит поднять АД или хотя бы узнать о перемещаемых профилях.

Answer 2

[dinegnet]

Это НЕПРАВИЛЬНО.
У каждого эникей должен быть свой личный пароль.
Чтобы потом можно было если что настучать по голове.

Answer 3

[res2001]

Создаете группу, которая имеет соответствующий доступ к ресурсу.
Когда юзеру нужен будет доступ, просто помещаете его в эту группу.
Пароль при этом остается один всегда.
Это обычная практика разграничения прав доступ в корпоративной сети.
Если сеть на винде, поднимает актив директори, если еще не поднята, и управляете всеми пользователями и раздачей прав централизовано.

Answer 4

[Natan]

Данил под ваш запрос, на 100% готового и бесплатного решения нет, нужно брать за основу одно из готовых решений или писать велосипед под свои нужды.

Посмотрите варианты: passbolt (open source, есть расширение для chrome и firefox), teampass.

Answer 5

[Сергей]

Ребята правы, надо Вам в корне менять структуру. Вводить домен, выдать пароль эникею, с определенными правами, или же политикой разрешить смену паролей пользователям.
Если это невозможно, по деньгам, или по другим причинам, мне однажды пришлось использовать связку:
Keepass + Boxcryptor + Google Drive\Dropbox
Офисы были разнесены сильно, и на время покупки MS Server+железки мы использовали эту связку для обмена паролями, и то не юзеров.
Если Вы не озабочены какой-либо безопасностью, пользуйте просто KeePass + облако.

Answer 6

[dummyman]

Тов Сергей прав, KeePass, расшаренный через Dropbox подойдет.
Но есть одна особенность, открыв файл с базой паролей в одном месте, KeePass рядом создает lock-файл. Если не закрыв в одном месте, попытаться открыть в другом, выдаст сообщение о том, что база где-то уже открыта. Потому папку, где хранится база паролей, необходимо защитить от записи. Если у вас есть сервер, и не хочется покупать Enterprise-версию Dropbox, можно использовать бесплатно, установив на свой сервер ownCloud

Answer 7

[Максим Кудрявцев]

Смотрите Vault или KeeWeb

Однако, это больше менеджеры личных паролей. Домен и управление правами доступа никто при этом не отменяет.

Comments

[corebug]

Vault - далеко не менеджер личных паролей.
При понимании требований на Vault можно реализовать практически любую стратегию аутентификации/авторизации, причем с масштабированием вплоть до сотен тысяч сервисов.

Answer 8

[Barssn]

Хочется обратится к отвечающим:
Человек попросил посоветовать систему для управления паролями, он не говорил что это пароли пользователей windows, пароли бывают разные: пароли wi-fi, пароли на доступ в конкретную программу, пароли баз-данных, и т.д. и т.п. и не всё решается с помощью актив директори.
Тем более он написал (если я правильно понял) что речь идёт об обмене паролями внутри IT-отдела, о раздаче их пользователям речи не шло.

По вопросу:
Думаю наиболее оптимальным будет сделать простенький внутренний сайт с требуемым функционалом. Главное грамотно его настроить чтобы пароли не уплыли.

Comments

[Site Developer]

Абсолютно не важно какие пароли и для чего. Хоть к туалету.
Пароль (=аккаунт) - это сугубо персональные данные. И не просто данные - это элемент контроля, управления и др. Это политика безопасности.

[Barssn]

Всё зависит от конкретного случая. Ценность данных, организация доступа и политики безопасности бывают очень разные. И не всегда есть смысл плодить аккаунты.
Например у нас есть № wi-fi роутеров поставленных в разное время разными людьми, и когда с каким нибудь начинаются проблемы, то начинаются звонки друг-другу в стиле "слышь ты не помнишь какой там пароль". Так что в этом плане единая коллекция паролей не так и плохо.