Управление паролями

В этой статье не указаны источники . Помогите улучшить эту статью , добавив ссылки на надежные источники . Материалы без ссылок могут быть оспорены и удалены . Найти источники:  «Управление паролями» – новости  · газеты  · книги  · ученый  · JSTOR ( апрель 2023 г. ) ( Узнайте, как и когда удалять это сообщение )

Существует несколько видов программного обеспечения, помогающих пользователям или организациям лучше управлять паролями :

• Предназначено для использования одним пользователем:
  • Программное обеспечение менеджера паролей используется отдельными лицами для организации и шифрования множества личных паролей с помощью одного входа. Это часто подразумевает использование ключа шифрования . Менеджеры паролей также называются кошельками паролей .
• Предназначено для использования несколькими пользователями/группами пользователей:
  • Программное обеспечение для синхронизации паролей используется организациями для того, чтобы разные пароли в разных системах имели одинаковое значение, если они принадлежат одному и тому же человеку.
  • Программное обеспечение для самостоятельного сброса пароля позволяет пользователям, которые забыли свой пароль или активировали блокировку от злоумышленников, пройти аутентификацию с помощью другого механизма и решить свою проблему самостоятельно, без обращения в службу ИТ-поддержки.
  • Корпоративное программное обеспечение для единого входа отслеживает приложения, запускаемые пользователем, и автоматически заполняет идентификаторы входа и пароли.
  • Программное обеспечение для единого входа в систему перехватывает доступ пользователя к веб-приложениям и либо вставляет информацию об аутентификации в поток HTTP(S), либо перенаправляет пользователя на отдельную страницу, где он проходит аутентификацию и возвращается на исходный URL-адрес.
  • Управление привилегированными паролями (используется для защиты доступа к общим привилегированным учетным записям).

Управление привилегированными паролями — это тип управления паролями, используемый для защиты паролей для идентификаторов входа, имеющих повышенные привилегии безопасности. Чаще всего это делается путем периодической замены каждого такого пароля на новое случайное значение. Поскольку пользователям и автоматизированным программным процессам нужны эти пароли для работы, системы управления привилегированными паролями также должны хранить эти пароли и предоставлять различные механизмы для раскрытия этих паролей безопасным и надлежащим образом. Управление привилегированными паролями связано с управлением привилегированными удостоверениями .

Существует три основных типа привилегированных паролей. Они используются для аутентификации:

В системах Unix и Linux пользователь root является привилегированной учетной записью для входа. В Windows эквивалентом является Administrator. В базах данных SQL эквивалентом является sa. В целом, большинство операционных систем, баз данных, приложений и сетевых устройств включают административную учетную запись для входа, используемую для установки программного обеспечения, настройки системы, управления пользователями, применения исправлений и т. д. В некоторых системах разные привилегированные функции назначаются разным пользователям, что означает, что существует больше привилегированных учетных записей для входа, но каждая из них имеет меньшие возможности.

В операционной системе Windows сервисные программы выполняются в контексте либо системы (очень привилегированные, но не имеющие пароля), либо учетной записи пользователя. Когда службы запускаются как несистемный пользователь, диспетчер управления службами должен предоставить идентификатор входа и пароль для запуска сервисной программы, чтобы у сервисных учетных записей были пароли. В системах Unix и Linux init и inetd могут запускать сервисные программы как непривилегированные пользователи, не зная их паролей, поэтому у служб обычно нет паролей.

Часто одно приложение должно иметь возможность подключаться к другому, чтобы получить доступ к сервису. Типичным примером этого шаблона является ситуация, когда веб-приложение должно войти в базу данных, чтобы получить некоторую информацию. Эти межприкладные соединения обычно требуют идентификатора входа и пароля, а также этого пароля.

Система управления привилегированными паролями защищает привилегированные пароли следующими способами:

• Периодически меняйте каждый пароль на новое случайное значение.
• Сохранение этих значений.
• Защита хранимых значений (например, с помощью шифрования и реплицированного хранения).
• Предоставление механизмов раскрытия этих паролей различным типам участников системы:
  • ИТ-администраторы.
  • Программы, запускающие службы (например, диспетчер управления службами в Windows).
  • Приложения, которые должны подключаться к другим приложениям.

Для системы управления привилегированным паролем требуется обширная инфраструктура:

• Механизм планирования смены паролей.
• Соединители для различных видов систем.
• Механизм обновления значений паролей различных участников.
• Расширенный аудит.
• Зашифрованное хранилище.
• Аутентификация для сторон, желающих получить значения паролей.
• Контроль доступа и авторизация для принятия решения о целесообразности раскрытия пароля.
• Реплицированное хранилище гарантирует, что отказ оборудования или авария на объекте не приведут к потере данных.

• Менеджер паролей
• Список менеджеров паролей
• Усталость от паролей
• Токен безопасности
• Смарт-карта