Ask HN: Ở công ty, mọi người lưu trữ và chia sẻ mật khẩu bằng cách nào?

 (news.ycombinator.com)
23 điểm bởi GN⁺ 2024-09-03 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trong ngành IT, phải quản lý rất nhiều mật khẩu
  • Có phương pháp nào được khuyến nghị để lưu trữ mật khẩu và cấp quyền truy cập không?
    • Để nhân viên mới có thể truy cập tất cả mật khẩu cần thiết ngay từ ngày đầu tiên
    • Cấp thêm quyền truy cập vào các mật khẩu cần thiết khi nhân viên mới được thăng chức
    • Khi nhân viên rời công ty, thay đổi các mật khẩu quan trọng mà họ từng truy cập, và thông báo việc thay đổi cho tất cả những người có quyền truy cập

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-09-03

Ý kiến Hacker News

  • Giảm thiểu việc quản lý mật khẩu
    • Sử dụng SSO để tích hợp càng nhiều dịch vụ càng tốt qua OIDC, và dùng phiên bản đám mây của 1Password để việc kiểm toán và quản lý truy cập trở nên dễ dàng hơn
    • Khi cấp quyền truy cập mật khẩu cho ai đó, hãy nhớ rằng bạn sẽ cần thay mật khẩu nếu người đó chuyển sang vai trò khác hoặc rời công ty. Nếu mật khẩu hoàn toàn không gây phiền toái gì thì có lẽ bạn đang làm sai điều gì đó
  • Cách quản lý mật khẩu:
    • Mọi mật khẩu phải là duy nhất. Tránh chia sẻ mật khẩu càng nhiều càng tốt. Dùng SSO
    • Khi cần, hãy dùng trình quản lý mật khẩu hoặc các giải pháp như Hashicorp Vault hoặc OpenBao
  • Cách tiếp cận theo quy mô tổ chức:
    • Chiến lược bảo mật theo số lượng người và dịch vụ
      • 1-20 người - dùng trình quản lý mật khẩu (Bitwarden, 1Password, v.v.)
      • Từ 20-30 người trở lên - dùng SSO
      • Từ 50 người trở lên - bắt đầu gán vai trò thực sự trong sơ đồ SSO
      • 1-5 dịch vụ - secret của CircleCI và trình quản lý mật khẩu là đủ
      • Trên 5 instance - dùng trình quản lý secret như Vault
      • Trên 10 instance - bắt đầu dùng trình quản lý secret cả ở môi trường local cho phát triển. Bắt đầu cân nhắc dùng các chính sách IAM được giới hạn phạm vi rõ ràng cho từng dịch vụ và từng thành viên trong nhóm
      • Trên 15 instance - bắt đầu cân nhắc thêm các ranh giới zero trust
    • Tất nhiên đây chỉ là ước lượng rất thô. Tùy theo yêu cầu pháp lý/tuân thủ và quy mô doanh thu, bạn có thể cần làm những việc này sớm hơn
    • Các bước tăng cường bảo mật
      1. Tập trung hóa secret (trình quản lý mật khẩu), ngay cả khi chưa thể thu hồi dễ dàng
      2. Vừa tập trung hóa vừa có thể thu hồi dễ dàng (SSO)
      3. Phân nhỏ vai trò và quyền truy cập hơn nữa (RBAC)
      4. Áp dụng tự động hóa giữa các bước này (khi phù hợp)
  • Tách riêng tài khoản thông thường và tài khoản quản trị để sử dụng
  • Tập trung hóa và tự động hóa:
    • Tập trung hóa secret và giúp việc thu hồi trở nên dễ dàng
    • Dùng kiểm soát truy cập dựa trên vai trò (RBAC) để cấp quyền truy cập chi tiết
    • Kết nối mọi bước bằng tự động hóa
  • Đừng tự xây dựng công cụ xác thực/quản lý secret: hãy tránh tự xây nếu có thể vì việc này rất phức tạp và rủi ro cao
  • Hãy tự động hóa càng nhiều việc càng tốt, và đừng để nhân viên cần phải truy cập vào hệ thống production
  • Khuyến nghị Rippling: được đề xuất như một giải pháp tích hợp SSO và quản lý HR
  • Kinh nghiệm xây dựng chương trình bảo mật:
    • Dùng SSO: nếu ngân sách cho phép thì Okta, nếu không thì dùng Keycloak
    • Dùng trình quản lý mật khẩu: khuyến nghị 1Password
    • Dùng giải pháp quản lý secret: khuyến nghị HashiCorp Vault
  • SSO và 2FA: dùng SSO cùng với 2FA để tăng cường bảo mật