Giustificazione KeePass [chiuso]


13

Personalmente ho circa 20 account (il mio ID utente personale su molte macchine). Per gli account "di sistema" condivisi, ce ne sono circa 45 per ambiente; sviluppo, test e produzione. Ho accesso a 2 di questi, quindi il mio totale personale è di circa 115 account. Le password devono essere almeno 15 caratteri con alcuni vincoli di complessità estesi ma standard e devono essere cambiati ogni 60 giorni circa (account di sistema ogni anno). Inoltre, non dovrebbero essere gli stessi per account diversi, ma ciò non viene applicato. Pensa agli standard di tipo DoD. Non c'è modo di ricordare e tenere il passo con questo. Non è umanamente possibile, per quanto mi riguarda.

Questa potrebbe essere una buona giustificazione di un sistema di gestione degli account centralizzato, come LDAP o ActiveDirectory, ma questa è una battaglia totalmente diversa.

Attualmente la soluzione è un foglio di calcolo Excel. Usano Excel per inserire una password, quindi molte persone ne fanno una copia e rimuovono la password. Questo mi fa girare lo stomaco.

Uso KeePass per questo problema e gestisce molto bene tutto il mio account. Mi piacciono le funzionalità come la digitazione automatica, il raggruppamento, i plug-in, la generazione di password, ecc. Utilizza la crittografia AES-256 tramite il framework .Net e, sebbene non conforme a FIPS, ha un'ottima reputazione.

L'unico problema è che non ci consentono di utilizzare software scaricato casualmente. Quindi dobbiamo giustificare ogni parte del software sulle nostre workstation. Mi è stato detto che in realtà non vogliono che io lo usi, a causa della "natura sensibile" della memorizzazione delle password. sospiro La mia giustificazione deve essere "MOLTO MOLTO forte".

Mi è stato assegnato il compito di scrivere una giustificazione per KeePass, vorrei qualsiasi input che potessi ottenere dalla community. Che cosa mi consiglia? Esiste qualcosa di meglio o più rispettato di KeePass? C'è qualche esperto di sicurezza che dice cose interessanti su questo argomento? Qualsiasi cosa aiuterà a questo punto. Grazie.


per quanto mi piaccia questa domanda (anche se è un po 'soggettiva e più dibattuta di quanto ci proponiamo), penso che sia più appropriato per il nostro sito affiliato per i professionisti IT, Server Fault . non crosspost; verrà migrato se necessario.
Quack Quixote,

Già chiuso? Probabilmente sono d'accordo con il ciarlatano, non ero molto chiaro sulla differenza tra superutente e serverfault. Tuttavia, non sono d'accordo con la chiusura. Sebbene una giustificazione della gestione delle password sia un po 'stretta, la discussione sulla giustificazione della gestione delle password è necessaria nella comunità. Non abbastanza di questo è usato e / o discusso. Grazie comunque.
Jeff Walker,

Risposte:


12

Sono stato a lungo utente di KeePass e, se avessi il compito di giustificare, probabilmente farei quanto segue:

  • Scorri le FAQ sui siti per tutti i loro dettagli sulla sicurezza. Tutto ciò che ho visto lì si venderà da solo.
  • Mostra la longevità e il supporto per il progetto, indicando che non verrà abbandonato a breve.
  • Mostra alcune funzionalità, come il fatto che le password sono visualizzate crittografate per impostazione predefinita (non sei sicuro di mettere una maschera nel foglio di calcolo Excel o meno). Questo da solo impedisce agli occhi indiscreti.
  • È possibile fare doppio clic sulla voce della password per copiarla negli appunti e scaricarla automaticamente in 10 secondi. Ciò mantiene la password fuori dalla "vista" il più possibile.
  • Dimostrare come il database delle password stesso può essere bloccato tramite password, file chiave o persino account Windows, che consente di archiviare il database delle password in una posizione centrale e gestirlo in questo modo.
  • Il generatore di password ti aiuta a ottenere password non "user friendly" che possono essere generate in quasi tutti i formati che desideri.

La linea di fondo è che si ottiene un solido database per archiviare le password che possono essere gestite e trasferite senza timore che venga violato. Inoltre, ci sono molte funzioni che semplificano la gestione delle password, il che aiuta nel quadro generale.

Spero che questo ti dia alcune idee da considerare. Non sono affatto coinvolto nel programma, lo adoro. Lo uso a casa e al lavoro tutti i giorni.


4
Sono stato anche un utente da molto tempo. Aggiungo anche aggiungere che lo sviluppatore risponde alle segnalazioni di bug con l'applicazione e cerca di risolverle rapidamente.
Mike Chess,

Vorrei anche menzionare che la Commissione europea sponsorizza taglie per la ricerca di vulnerabilità della sicurezza in KeePass 2.x dal 2019 (audit UE Keepass nel 2016); Anche keepass.info/ratings.html può aiutare anche a convincere.
xaa
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.