Поделитесь опытом, как у вас в студии организовано хранение и менеджмент паролей?

Почему не в Q&A?

PKI рулит. Но не ко всему можно прикрутить, увы.
Для внутренних целей аутентификации на разнообразных сервисах рекомендую централизованную систему аутентификации на базе LDAP. Один сотрудник = один пользователь = один пароль, но разный доступ к разным системам.

Я хочу скромно и без лишнего пафоса узнать, правда, мне очень любопытно, почему не «управление паролями», а «менеджмент паролей»? Наверно, я брюзжащее существо, но искренне считаю, что в данном случае это употребление так же убого, как и «инжиниринг успеха». Зачем городить сущности?

Хотите верьте, хотите нет — Excel внутри шифрованного контейнера. Листы — категории паролей. Строки — объекты. столбцы — имя; пароль; описание где зачем и почему.

Под аналогичные цели делали свой сервис https://fireforge.net/projects/phpaclstore/
Позволяет завести список пользователей и древовидную структуру проектов-серверов-чего-то еще. Можно человеку выдать права (rwx как в Unix) на отдельный элемент или ветку, ACL одним словом. Каждый элемент дерева содержит скрытый текст, в котором мы храним параметры доступа к тому или иному объекту.
Из минусов. Сервис делали-делали, как довели до более-менее рабочего состояния для себя, развитие заморозилось. Скрытый текст хранится в базе в шифрованом состоянии, но пока единственный метод шифрования только xor+соль. Нет ssl.
В общем это недоделка, но если допилить…

Вообще, пароли записывать ни куда не надо. Это не секурно. Ну — прилепите бумажки с паролями на мониторах…

KeePass.

Во-первых, для работников можно заводить отдельных юзеров. Ну а дальше уже понятно?

У меня все на бумаге и в сейфе :) В красной папочке, с клевыми ярлычками по названиям.
ИМХО самое надежное :)

При необходимости дать доступ разово — делается временный аккаунт и высылается СМС (привет сниферы трафика!)

1Password с синхронизацией через DropBox.

Проще всего сделать сайтик. Там есть группы пользователей и есть группы документов (1 группа на 1 проект).

Active Directory. Отдельный пароль нужен только для svn.

мы используем passpack.com

Используем свою собственную Web систему. Доступ по HTTPS + шифрование информации о паролях в базе 3DES, распределение прав по отделам.

Я бы на вашем месте написал свой корпоративный веб-сервис. Будет удобная и полностью заточенная под ваши нужды система

Вот я лох то. В тех студиях, где я работал — всё в файликах, не запароленных никак. Бывало ещё и тупо на локальном сервере =)
Ушедшим сотрудникам доверяли, текущим тем более. Пока ничем не аукнулось.

Введите должность — системный администратор паролей.
Пароли доступа храню в защищенном файле Excel.
При необходимости создается временный аккаунт.

Посмотрите Clipperz.

Имеется офлайн-версия, для установки на лок. сервер.

Мультиюзерность не поддерживается (один пароль на вход + одноразовые пароли).

Lastpass позволяет расшаривать пароли для своих людей.

Password Keeper http://olegprojects.narod.ru/downloads/PassKeeper.html

Столкнулись с аналогичной проблемой еще пару лет назад. Пришлось написать под свои нужды клиент-серверную систему хранения паролей, с разграничением доступа и другими плюшками. Со временем решили окупить затраты выставив на продажу.

Если интересно: smartnetpass.com

root доступ к серверам через VNC ip kvm для самых крайних случаев. Каждый хранит свои пароли как хочет, если что, можно сделать ресет.

Для доступа к «корпоративным» сервисам заводим для каждого сотрудника учетные записи, при уходе — просто их «банят» (или меняют пароль, удаление учетки не вариант). Для доступа к сторонним (чаще всего клиентским) сервисам, исключающим или сильно затрудняющим возможность доступа нескольких пользователей с нашей стороны — простенькая БД из 6-ти таблиц (user, group, client, service, permission, perm_detail) c веб-мордой, позволяющая оперативно предоставлять (или убирать) сотруднику доступ к паролям к тем или иным сервисам. Потенциальная уязвимость — при прекращении доступа сотрудника к паролю не исключено, что он может пользоваться доступом, если мы не уведомим клиента о необходимости смене пароля и сообщения нового нам (для части клиентов можем пароли сами менять, уведомляя об этом). Вообще стараемся, чтобы к сервисам одного клиента осуществлял доступ только один сотрудник, дабы лишний раз не напрягать клиентов своими внутренними «разборками» типа «у нас уволился старший помощник младшего верстальщика, смените пароль к ресурсу ftp://example.com для пользователя user и сообщите его нам»

Написали небольшое веб-приложение, которое хранит зашифрованные пароли в базе на локальном сервере. Расшифровываются ключом, хранящимся в головах.

В остальном обычный набор плюшек: юзеры с доступом по айпи и разовой авторизацией через ссылку на почту, категории с бесконечным вложением, поиск по всем полям, доступ юзеров к конкретным категориям, а не ко всему дереву.

В итоге избавились от необходимости писать в асечку или на почту с просьбой выслать доступы, как и отвечать на такие письма/сообщения.

Плюс есть личная категория со своим ключом и доступом только самого юзера, но ей, вроде бы, никто не пользуется =)

lastpass.com + плагины под разные браузеры

В одной немецкой конторе где я работал пару лет (200+ сотрудников), использовали Password Manager XP. Он не такой удобный как KeePass, но позволяет работать с паролями одновременно нескольким пользователям.

Multi-user password manager
support for multiple databases;
ability to access passwords databases from multiple computers across the network;

adjustable user privileges per given database;

permissions can be set for folders or even individual records;

concurrent write access to a database for multiple users;

NT authentication support;

logging of all data changes;

users' actions logging (Professional / Corporate edition only);

Естественно не бесплатный, но если у вас большая студия…

Проблему с уволившимися сотрудниками до конца не решишь, особенно для внешних сервисов, но по возможности можно разрешать доступ к сервисам (ftp-например) только из внутренне сетки конторы. Из дому можно соответственно по VPN работать. После увольнения спертый пароль не поможет, если человек не сможет попасть в корпоративную сеть.

А в остальном на доверии, да. Без этого тоже никак.

Эникейщик, вэбмастер и менеджер. Пользуюсь LastPass.com. Имеется возможность делегировать пароли.

У нас примерно такая схема:

1. У каждого сотрудника свой keepass-файл с его персональными паролями к сервисам и необходимым службам. Все файлы хранятся в онлайне, можно получить доступ из любого места. При изменении/добавлении паролей, новых служб файлы синхронизируются.

2. Мастер-пароль для шифрации этого файла сотрудник знает наизусть, обычно это какой-то легкозапоминаемый стишок или что-то подобное, типа «мама мыла раму» в английской раскладке.

3. Этот же мастер-пароль хранится в отдельном файле masterbase, то есть пароли для всех сотрудников хранятся там. Любой администратор может взять файл пользователя и от его имени куда-то зайти, потестировать работу чего-то и т.п. Мастер-пароль к masterbase администраторы знают наизусть, тоже стихи всякие :-)

4. Плюс есть еще служебные файлы, некий administrative, в котором хранятся пароли к DNS, всяким там железкам и т.п.

5. Ключи ssh всем админам генерируются отдельно, с использованием того же мастер-пароля, хранить их смысла нет где-то в онлайнах, обычно на флешке он или еще где-то. В крайнем случае можно зайти паролем из masterbase/administrative/еще чего-то.

В общем, все достаточно прозаично, легко расширяется и можно не боятся утечки. У нас нет большого количества отделов и админов, которые отвечают за разные сервисы. Но если повятся, то точно так же легко это можно расширить, разделив функционал файлов.

А почему никто ещё не сказал про такую прелестную штуку, как cpassman

opensource, функционал довольно высок. На сайте была демка)

password safe

контейнеры можно открывать по сети, +vpn например

сделать несколько контейнеров в зависимости от уровня доступа:
— для менеждеров
— для сисодминов
— для контентщиков

Достался мне год назад сайт по наследству. В первую очереди полез в таблицу «administrators» и увидел там 5 записей с правами админа. Именя были типа test***, *названиестудии*, и т.п., пароли у всех одинаковые. Ну ладно думаю, потёр всё, создал себе учетку… Но мысль о возможности наличия этих записей в других проектах этой студии мне покоя не давала. Залез я на их сайт, и что вы думаете? Все проекты начиная с 2005 года имели те же самые записи! Все! Абсолютно все! А сайты с неплохим пузом, начиная от 1500тиц и 4пр. Я им в саппорт отписал, и до сих пор они это не пофиксили! А прошло уже месяцев 8-9.

надо туда сапу вешать )) (шутка)

truecrypt

_http://www.enterprise-password-safe.com/
в идеале система хранения паролей должна интегрироваться с тикетной системой используемой в компании.

пароли только в бумажном ежедневнике. ничего в электронном виде.
а вот сертификаты на флешках, дискетах, токенах и прочее конечно имеется

бухгалтерский консалтинг 200+ человек, москва

а дома свое добро на KeePass
сейчас как раз ищу под него мобильный клиент.
плохо ищется(

смешно читать спор идеалистов-параноиков с людьми, которые занимаются реальной работой

Как ключи выдаются мне:

• Доступ к git — закрытые ключи несимметричного шифра, выдаются сисадмином.
• Пароли на те места, где нужен пароль (например, таким был бы пароль на FTP у разделяемого между юзерами хостинга, если бы у нас были такие проекты) — закрытая страница проектной wiki, доступная лишь участников проекта.
• Разовый доступ — в нашем случае не имеет смысла. Сейчас объясню, почему. О целенаправленном доступе к данным — любой сотрудник, которому доступ может потребоваться, обладает квалификацией сделать себе доступ навечно, воспользовавшись разовым логином. О случайной порче данных — подавляющему же большинству доступ к боевым серверам просто не нужен. При грамотно организованном процессе дизайнеру, верстальщику, тестировщику и Javascript-программисту доступ к серверу ни к чему, а вся работа на сервере, как правило, ограничивается запуском /var/www/<project-name>-<deployment-suffix>/bin/update, что так же минимизирует риск что-то случайно испортить.

Как хранятся у меня локально:

• HTTP, HTTPS, SVN, IMAP — kpasswordmanager сам их расшифровывает и вставляет в формы в браузере или другом приложении. Шифр симметричный, хранение ключа в ОЗУ 15 минут.
• VCS, SSH — шифрованый симметричным шифром раздел с закрытыми парами ключей

Это защищает информацию в случае утери ноутбука или SD-карточки с home-разделом.

И, разумеется, файрвол на серверах, дающий доступ только к нужным вещам и только из нужных мест. Приватный ключ или пароль на SSH вне сети компании совершенно бесполезен. Если нужен всё же доступ извне — есть VPN в локальную сеть организации.