Správa hesel - Password management

Existuje několik forem softwaru, který pomáhá uživatelům nebo organizacím lépe spravovat hesla:

• Určeno pro použití jedním uživatelem:
  • Správce hesel software používají jednotlivci k organizaci a šifrování mnoha osobních hesel pomocí jediného přihlášení. To často zahrnuje použití šifrovací klíč také. Správci hesel se také označují jako peněženky s hesly.
• Určeno pro použití více uživateli / skupinami uživatelů:
  • Synchronizace hesla software používají organizace k uspořádání různých hesel v různých systémech, aby měly stejnou hodnotu, pokud patří stejné osobě.
  • Samoobslužné resetování hesla Software umožňuje uživatelům, kteří zapomněli své heslo nebo aktivovali blokování vetřelců, ověřit pomocí jiného mechanismu a vyřešit svůj vlastní problém, aniž by museli volat technickou podporu IT.
  • Podnik Jednotné přihlášení software sleduje aplikace spuštěné uživatelem a automaticky vyplňuje přihlašovací ID a hesla.
  • Web jednotné přihlášení software zachytí přístup uživatele k webovým aplikacím a buď vloží ověřovací informace do streamu HTTP (S), nebo přesměruje uživatele na samostatnou stránku, kde je uživatel ověřen a přesměrován zpět na původní adresu URL.
  • Správa privilegovaných hesel (slouží k zabezpečenému přístupu ke sdíleným privilegovaným účtům).

Správa privilegovaných hesel

Správa privilegovaných hesel je typ správy hesel používaný k zabezpečení hesel pro přihlašovací ID se zvýšenými bezpečnostními oprávněními. To se nejčastěji provádí pravidelnou změnou každého takového hesla na novou náhodnou hodnotu. Vzhledem k tomu, že uživatelé a automatizované softwarové procesy potřebují tato hesla k fungování, musí privilegované systémy pro správu hesel také tato hesla ukládat a poskytovat různé mechanismy pro bezpečné a vhodné zveřejnění těchto hesel. Správa privilegovaných hesel souvisí s privilegovaná správa identit.

Příklady privilegovaných hesel

Existují tři hlavní typy privilegovaných hesel. Používají se k ověření:

Účty místního správce

V systémech Unix a Linux uživatel root je privilegovaný přihlašovací účet. Ve Windows je ekvivalentem správce. V databázích SQL je ekvivalentem sa. Obecně platí, že většina operačních systémů, databází, aplikací a síťových zařízení zahrnuje administrativní přihlášení, které se používá k instalaci softwaru, konfiguraci systému, správě uživatelů, použití oprav atd. V některých systémech jsou různým uživatelům přiřazeny různé privilegované funkce, což znamená že existuje více privilegovaných přihlašovacích účtů, ale každý z nich je méně výkonný.

Servisní účty

V operačním systému Windows se servisní programy spouštějí v kontextu buď systému (velmi privilegovaného, ​​ale bez hesla), nebo uživatelského účtu. Když jsou služby spuštěny jako nesystémový uživatel, správce kontroly služeb musí poskytnout přihlašovací ID a heslo pro spuštění servisního programu, aby účty služeb měly hesla. V systémech Unix a Linux mohou init a inetd spouštět servisní programy jako neprivilegovaní uživatelé, aniž by znali svá hesla, takže služby obvykle hesla nemají.

Propojení jedné aplikace s druhou

Jedna aplikace často musí být schopna se připojit k jiné, aby mohla přistupovat ke službě. Běžným příkladem tohoto vzoru je situace, kdy se webová aplikace musí přihlásit k databázi, aby mohla načíst nějaké informace. Tato propojení mezi aplikacemi obvykle vyžadují přihlašovací ID a heslo a toto heslo.

Zabezpečení privilegovaných hesel

Systém správy privilegovaných hesel zajišťuje privilegovaná hesla:

• Periodická změna každého hesla na novou náhodnou hodnotu.
• Ukládání těchto hodnot.
• Ochrana uložených hodnot (např. Pomocí šifrování a replikovaného úložiště).
• Poskytování mechanismů pro zveřejnění těchto hesel různým typům účastníků v systému:
  • Správci IT.
  • Programy, které spouštějí služby (např. Správce řízení služeb v systému Windows).
  • Aplikace, které se musí připojit k jiným aplikacím.

Požadovaná infrastruktura

Systém správy privilegovaných hesel vyžaduje rozsáhlou infrastrukturu:

• Mechanismus pro plánování změn hesla.
• Konektory pro různé druhy systémů.
• Mechanismus aktualizace různých účastníků novými hodnotami hesel.
• Rozsáhlý audit.
• Šifrované úložiště.
• Ověření pro strany, které chtějí načíst hodnoty hesla.
• Řízení přístupu a autorizace k rozhodnutí, zda je zpřístupnění hesla vhodné.
• Replikované úložiště, aby bylo zajištěno, že selhání hardwaru nebo katastrofa webu nevedou ke ztrátě dat.

Viz také

• Správce hesel
• Seznam správců hesel
• Únava hesla
• Bezpečnostní token
• Chytrá karta

externí odkazy

• Privilegovaná správa identit, IDC definuje dílčí trh správy identit a přístupu^{[trvalý mrtvý odkaz ]} (od IDC, ale hostuje Cyber-Ark)