Wpis z mikrobloga

@RichKidOfSnapchat: dostępy? Przez SSO /Saml z Oauth gdzie się da, do zewnętrznych aplikacji

Jak udostępniacie dostępy w firmie?

@RichKidOfSnapchat: każdy pracownik ma swoje hasło i osobne konto, jeśli musisz udostępniać jedno konto wszystkim to jest już z założenia źle

warto, nie musisz płacić 1password, możesz darmowego bitwardena użyć, albo nawet keepassx/xc z bazą przechowywaną np. na google drive

@RichKidOfSnapchat: bitwarden na własnym serwerze, warto mieć inne hasło na każdym serwerze bo jeden będzie miał wyciek i jest klapa potem

@RichKidOfSnapchat: Tak z doświadczenia użytkownika z zerowym doświadczeniem firmowym, KeePass działa bardzo dobrze. Ta sama baza danych od 2012 roku, wszyściuteńkie hasełka ładnie zapisane i chronione 16-znakowym hasłem głównym. Nie wiem tylko jak by się to przekładało na użycie w firmie pomiędzy wieloma pracownikami, bo KeePass nie był projektowany w myśl synchronizacji online.

@RichKidOfSnapchat: Ja korzystam z darmowej wersji Bitwardena i bardzo sobie chwalę. Jest intuicyjny i dostępny na wszystkich platformach/przeglądarkach.

@Koliat: A co z kontami uprzywilejowanymi?

@PendzoncySzczypiorek: Warunkowy dostęp, uwierzytelnianie MFA do dowolnej apki, restrykcje tylko z konkretnego IP czy z zabezpieczonego urządzenia możesz zrobić. Jeśli IdP robi Ci logowanie, to IdP odpowiada za zalogowanie i tyle ;-)

@Koliat: Ja się pytam o to gdzie trzymać hasła do kont uprzywilejowanych, a nie jak polepszać Sec

@PendzoncySzczypiorek: Administratorzy są imienni i korzystają z własnego hasła + tokenu. Konta break-the-glass w razie grubej awarii pewnie wydrukowane w fizycznym zabezpieczeniu. Do kont serwisowych - w usłudze która się integruje z SAML / OAuth z Identity Provider, względnie na własnym serwerze w sieci firmowej.

@Koliat:
Ja wiem jak działają systemy zarządzania tożsamością Ldapy, kerberosy Samle OAuthy OTP i inne takie.
Problem polega na tym, że nie wszystkie rozwiązania dają taką możliwość i wtedy lecieć do sejfu po hasło?
A co jak takie hasła zginą? Przy infrastrukturze np. 1000 serwerów (optymistycznie razy 3 - aplikacja, baza i system). Przecież to by był strzał w kolano stracić dostęp do takich kont.

@PendzoncySzczypiorek: Przy dużej infrze korzystasz z serwera - managera haseł komercyjnego, np. PasswordManager Pro - używałem, działa w miarę OK. Przy dużych infrastrukturach też można próbować wymusić poprawny proces security - tj. wszelkie dane autoryzujące muszą korzystać z protokołów tożsamości inaczej nie dostaną zielonego światła od secOps. No ale dalej, nie ma "złotego środka", od koncepcji haseł się maksymalnie odchodzi bo to bądź co bądź słabe zabezpieczenie.