首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >适用于不同客户的全公司密码方案

适用于不同客户的全公司密码方案
EN

Stack Overflow用户
提问于 2013-11-25 13:07:13
回答 1查看 131关注 0票数 2

假设有一家公司提供计算机网络,作为其交付的一部分。它为数百个不同的客户做了这件事。所有的电脑都需要有安全的密码。这至少意味着:

  • 密码应符合基本密码规则(大写、数字、特殊字符等)。
  • 相同的密码不应该用于不同的客户。
  • 密码不应轻易猜测。
  • 如果可能的话,网络中不同的个人电脑不应该使用相同的密码(但这样做是可以接受的)。
  • 由于还需要维护这些系统作为传递的一部分,操作人员需要能够轻松地检索特定系统的密码,而不会造成任何安全问题(如在电子邮件中转发密码等)。

以下是我对这样一个设置的问题:

  1. 是否应该创建一个密码方案,这样运算符就可以“计算”密码而不必查找?问题是,一旦该方案被披露,所有系统都会出现安全问题。
  2. 为了安全起见,应该如何存储/检索密码?是否有程序可用于访问具有web接口的安全数据库?

我在我的调查中发现了WebKeePass (看起来很有希望)。另一个选项是打印密码,并将它们保存在地下室的一个废弃厕所的密闭文件柜里,门上写着“小心豹”的牌子。但我相信这对接线员来说不太方便。我想知道其他的选择是.

更新: "web“接口不需要对公共访问开放(也就是说,它只能在中访问)。

EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2013-11-25 13:44:33

由于用户无法选择他们的密码,所以密码应该是随机生成的。如果密码是使用某种算法生成的,正如您所说的,一旦算法被破解,所有密码都可以被破解。

如果您必须存储可检索的密码,则仍应对它们进行加密和存储。参见adobe最近一期的“1亿5千万个加密密码被泄露”。未加密密码的问题是,即使我无法破解加密,我仍然可以看到与我拥有相同密码的每个人。

管理检索

对于仅用于管理的密码检索,您可以使用密码库系统,其中一个由工作人员输入的密码打开了对其他存储密码的访问权限。理想情况下,您应该有一个可以在屏幕上选择和显示单个密码的系统。它应该加密密码,记录访问,并由管理员控制。

这可能是一个基于web的系统,但是内部托管在内部网上,也许可以通过VPN访问。RDP或类似的东西也可能是可行的,甚至可能使用双因素身份验证。

不幸的是,我们不推荐StackOverflow上的产品。

终端用户检索

我们在过去设计了一个系统,您可以通过HTTPS安全的网站恢复密码。您只需输入您的用户名,并随机一次使用检索代码被传递到电子邮件地址的记录。

虽然我们没有控制他们的电子邮件帐户的安全级别,但我们至少假设只有用户知道访问电子邮件帐户的密码。这迫使用户以某种形式重新进行身份验证,以便检索他们的密码。

然后,他们将检索代码输入到web表单中,并显示其密码。同样,该网站使用HTTPS进行保护。此外,用户必须在事务期间保持网页处于打开状态(安全会话),并且在事务期间IP地址不得更改。

票数 2
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/20193904

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档