О хранении паролей В преддверии 8 марта открываю рубрику «хозяйке на заметку». Сегодня — о том, как и где администратору хранить пароли. Большинство компаний взламывают не через «супер-эксплойты», а через людей. И очень часто — через системных администраторов. Сделал одно неверное движение, пустил злоумышленника на компьютер… а дальше всё как в тумане. И это, конечно, моя профессиональная деформация — на самом деле администраторы попадаются на уловки не сильно чаще и не сильно реже обычных пользователей. Но есть нюанс. Если на крючок попадает рядовой сотрудник, атаку ещё нужно развить: повысить привилегии, закрепиться, найти чувствительные точки. Если скомпрометирован администратор, злодея обычно уже ничего не сдерживает. Особенно когда логины и пароли «ко всему» лежат в файлике на рабочем столе. Парадигма здорового человека Мы исходим из простой мысли: вопрос не в том, «если» произойдёт ошибка, а «когда» она произойдёт. Поэтому такую роскошь, как хранение паролей в текстовых файлах, Экселе или заметках, позволить себе мы не можем. Для этого существует система управления паролями. В нормальной модели она обеспечивает: • отдельный логин и пароль для каждого; • ограничение доступа к секретам по ролям; • логирование действий; • включение TOTP или многофакторной аутентификации (MFA), чтобы одного украденного пароля было недостаточно для входа. Можно сколько угодно считать себя аккуратными и внимательными, но безопасность начинается с признания простой вещи: ошибиться может любой из нас. Вопрос в том, ограничит ли система последствия этой ошибки. Чем пользуемся мы Для этих задач мы используем Vaultwarden с клиентом Bitwarden — централизованно, с аудитом и поддержкой TOTP. Проект: https://github.com/dani-garcia/vaultwarden Скриншоты приложил. А чем пользуетесь вы? Поделитесь в комментариях.