Ask HN: Wie speichert und teilt ihr Passwörter im Unternehmen?

 (news.ycombinator.com)
23 Punkte von GN⁺ 2024-09-03 | 1 Kommentare | Auf WhatsApp teilen
  • In IT-Berufen müssen zahlreiche Passwörter verwaltet werden
  • Gibt es eine empfohlene Methode, um Passwörter zu speichern und Zugriffsrechte zu vergeben?
    • damit neue Mitarbeitende vom ersten Tag an auf alle benötigten Passwörter zugreifen können
    • damit neue Mitarbeitende bei einer Beförderung zusätzliche Zugriffsrechte auf die dann benötigten Passwörter erhalten
    • wenn Mitarbeitende das Unternehmen verlassen: die wichtigen Passwörter ändern, auf die sie Zugriff hatten, und alle Personen mit Zugriffsrechten über die Änderung informieren

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-09-03

Hacker-News-Meinungen

  • Passwortverwaltung minimieren
    • SSO verwenden, um möglichst viele Services über OIDC zu integrieren, und die Cloud-Version von 1Password nutzen, damit Audits und Zugriffsverwaltung einfacher werden
    • Wenn man Personen Zugriff auf Passwörter gibt, sollte man daran denken, dass diese Passwörter ausgetauscht werden müssen, wenn die Personen in eine andere Rolle wechseln oder das Unternehmen verlassen. Wenn Passwörter überhaupt nicht lästig sind, macht man wahrscheinlich etwas falsch
  • Methoden der Passwortverwaltung:
    • Alle Passwörter sollten einzigartig sein. Passwortfreigabe nach Möglichkeit vermeiden. SSO verwenden
    • Bei Bedarf einen Passwortmanager oder Lösungen wie Hashicorp Vault oder OpenBao verwenden
  • Ansatz je nach Organisationsgröße:
    • Sicherheitsstrategie abhängig von der Anzahl der Personen und Services
      • 1–20 Personen – Passwortmanager verwenden (Bitwarden, 1Password usw.)
      • 20–30 Personen oder mehr – SSO verwenden
      • 50 Personen oder mehr – mit der tatsächlichen Rollenzuweisung im SSO-Schema beginnen
      • 1–5 Services – Die Secrets von CircleCI und ein Passwortmanager reichen aus
      • Mehr als 5 Instanzen – einen Secret-Manager wie Vault verwenden
      • Mehr als 10 Instanzen – auch lokal für die Entwicklung mit einem Secret-Manager arbeiten. Für jeden Service und jedes Teammitglied gut abgegrenzte IAM-Richtlinien in Betracht ziehen
      • Mehr als 15 Instanzen – zusätzliche Zero-Trust-Grenzen in Betracht ziehen
    • Natürlich ist das alles sehr grob. Je nach regulatorischen/Compliance-Anforderungen und Umsatzgröße kann es nötig sein, diese Maßnahmen früher umzusetzen
    • Stufen der Härtung
      1. Secrets zentralisieren (Passwortmanager), auch wenn sie sich nicht einfach widerrufen lassen
      2. Einfach widerrufbar und zentralisiert (SSO)
      3. Rollen und Zugriffe stärker granulieren (RBAC)
      4. Zwischen diesen Stufen Automatisierung einsetzen (wo sinnvoll)
  • Normale Konten und Admin-Konten getrennt verwenden
  • Zentralisierung und Automatisierung:
    • Secrets zentralisieren und leicht widerrufbar machen
    • Rollenbasierte Zugriffskontrolle (RBAC) verwenden, um fein granularen Zugriff zu vergeben
    • Alle Stufen durch Automatisierung miteinander verbinden
  • Keine eigenen Tools für Authentifizierung/Secret-Management bauen: Das ist sehr komplex und birgt große Risiken; Eigenentwicklungen nach Möglichkeit vermeiden
  • So viel wie möglich automatisieren und sicherstellen, dass Mitarbeitende keinen Zugriff auf Produktionssysteme benötigen
  • Rippling empfohlen: empfohlen als integrierte Lösung für SSO und HR-Management
  • Erfahrung beim Aufbau von Sicherheitsprogrammen:
    • SSO verwenden: wenn das Budget es zulässt, Okta, sonst Keycloak
    • Passwortmanager verwenden: 1Password empfohlen
    • Secret-Management-Lösung verwenden: HashiCorp Vault empfohlen
  • SSO und 2FA: SSO zusammen mit 2FA verwenden, um die Sicherheit zu erhöhen