Ask HN: ที่บริษัทของคุณเก็บและแชร์รหัสผ่านกันอย่างไร?

 (news.ycombinator.com)
23 คะแนน โดย GN⁺ 2024-09-03 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในสายงาน IT จำเป็นต้องจัดการรหัสผ่านจำนวนมาก
  • มีวิธีที่แนะนำสำหรับการเก็บรหัสผ่านและกำหนดสิทธิ์การเข้าถึงหรือไม่?
    • เพื่อให้พนักงานใหม่สามารถเข้าถึงรหัสผ่านทั้งหมดที่จำเป็นได้ตั้งแต่วันแรก
    • เมื่่อพนักงานใหม่ได้รับการเลื่อนตำแหน่ง ให้สามารถมอบสิทธิ์เข้าถึงรหัสผ่านเพิ่มเติมที่จำเป็นได้
    • เมื่อพนักงานออกจากบริษัท ให้เปลี่ยนรหัสผ่านสำคัญที่พวกเขาเคยเข้าถึง และแจ้งให้ทุกคนที่มีสิทธิ์เข้าถึงทราบถึงการเปลี่ยนแปลง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-09-03

ความคิดเห็นจาก Hacker News

  • ลดการจัดการรหัสผ่านให้น้อยที่สุด
    • ใช้ SSO เพื่อรวมบริการให้ได้มากที่สุดเข้ากับ OIDC และใช้ 1Password เวอร์ชันคลาวด์เพื่อให้ง่ายต่อการตรวจสอบและการจัดการสิทธิ์เข้าถึง
    • เมื่อให้สิทธิ์ผู้คนเข้าถึงรหัสผ่าน ต้องจำไว้ว่าเมื่อคนเหล่านั้นเปลี่ยนบทบาทหรือออกจากบริษัท ก็ต้องเปลี่ยนรหัสผ่านด้วย หากรหัสผ่านไม่ได้สร้างความยุ่งยากเลย แปลว่าคุณอาจกำลังทำอะไรผิดอยู่
  • วิธีจัดการรหัสผ่าน:
    • รหัสผ่านทุกอันต้องไม่ซ้ำกัน หลีกเลี่ยงการแชร์รหัสผ่านให้มากที่สุด ใช้ SSO
    • หากจำเป็น ให้ใช้ตัวจัดการรหัสผ่าน หรือใช้โซลูชันอย่าง Hashicorp Vault หรือ OpenBao
  • แนวทางตามขนาดองค์กร:
    • กลยุทธ์ด้านความปลอดภัยตามจำนวนคนและจำนวนบริการ
      • 1-20 คน - ใช้ตัวจัดการรหัสผ่าน (Bitwarden, 1Password เป็นต้น)
      • 20-30 คนขึ้นไป - ใช้ SSO
      • 50 คนขึ้นไป - เริ่มกำหนดบทบาทจริงในสคีมา SSO
      • 1-5 บริการ - ใช้ซีเคร็ตของ CircleCI และตัวจัดการรหัสผ่านก็เพียงพอ
      • มากกว่า 5 อินสแตนซ์ - ใช้ตัวจัดการซีเคร็ตอย่าง Vault
      • มากกว่า 10 อินสแตนซ์ - เริ่มใช้ตัวจัดการซีเคร็ตบนเครื่องโลคัลสำหรับงานพัฒนาด้วย เริ่มพิจารณาใช้นโยบาย IAM ที่กำหนดขอบเขตอย่างเหมาะสมสำหรับแต่ละบริการและสมาชิกทีม
      • มากกว่า 15 อินสแตนซ์ - เริ่มพิจารณาขอบเขต zero trust เพิ่มเติม
    • แน่นอนว่านี่เป็นเพียงแนวทางคร่าว ๆ มาก ขึ้นอยู่กับข้อกำหนดด้านกฎระเบียบ/การปฏิบัติตามข้อกำหนดและขนาดรายได้ คุณอาจต้องทำสิ่งเหล่านี้ให้เร็วกว่านี้
    • ขั้นของการยกระดับความปลอดภัย
      1. รวมศูนย์ซีเคร็ตไว้ที่เดียว (ตัวจัดการรหัสผ่าน) แม้จะยังเพิกถอนสิทธิ์ได้ไม่ง่าย
      2. รวมศูนย์และเพิกถอนสิทธิ์ได้ง่าย (SSO)
      3. แยกบทบาทและสิทธิ์เข้าถึงให้ละเอียดขึ้น (RBAC)
      4. ใส่ระบบอัตโนมัติระหว่างขั้นเหล่านี้ (เมื่อเหมาะสม)
  • แยกใช้บัญชีทั่วไปกับบัญชีผู้ดูแลระบบ
  • การรวมศูนย์และระบบอัตโนมัติ:
    • รวมศูนย์ข้อมูลลับและทำให้สามารถเพิกถอนสิทธิ์ได้ง่าย
    • ใช้การควบคุมสิทธิ์ตามบทบาท (RBAC) เพื่อให้สิทธิ์เข้าถึงแบบละเอียด
    • เชื่อมทุกขั้นตอนเข้าด้วยกันผ่านระบบอัตโนมัติ
  • อย่าสร้างเครื่องมือยืนยันตัวตน/จัดการซีเคร็ตใช้เอง: มีความซับซ้อนมากและความเสี่ยงสูง จึงควรหลีกเลี่ยงการพัฒนาขึ้นเองหากเป็นไปได้
  • ทำงานให้เป็นอัตโนมัติให้มากที่สุด และทำให้พนักงานไม่จำเป็นต้องเข้าถึงระบบโปรดักชัน
  • แนะนำ Rippling: แนะนำในฐานะโซลูชันที่รวม SSO และการจัดการ HR ไว้ด้วยกัน
  • ประสบการณ์ในการสร้างโปรแกรมความปลอดภัย:
    • ใช้ SSO: ถ้างบประมาณพอให้ใช้ Okta ไม่เช่นนั้นใช้ Keycloak
    • ใช้ตัวจัดการรหัสผ่าน: แนะนำ 1Password
    • ใช้โซลูชันจัดการซีเคร็ต: แนะนำ HashiCorp Vault
  • SSO และ 2FA: ใช้ SSO ร่วมกับ 2FA เพื่อเพิ่มความปลอดภัย