Ask HN: Como vocês armazenam e compartilham senhas na empresa?

 (news.ycombinator.com)
23 pontos por GN⁺ 2024-09-03 | 1 comentários | Compartilhar no WhatsApp
  • Em cargos de TI, é preciso gerenciar inúmeras senhas
  • Existe algum método recomendado para armazenar senhas e conceder permissões de acesso?
    • Para que um novo funcionário tenha acesso, já no primeiro dia, a todas as senhas de que precisa
    • Para conceder acesso adicional às senhas necessárias quando um novo funcionário é promovido
    • Quando um funcionário sai da empresa, alterar as senhas importantes às quais ele tinha acesso e informar a mudança a todos que têm permissão de acesso

Leituras relacionadas

1 comentários

 
GN⁺ 2024-09-03

Opiniões do Hacker News

  • Minimizar o gerenciamento de senhas
    • Use SSO para integrar o máximo possível de serviços com OIDC e use a versão em nuvem do 1Password para facilitar auditoria e gestão de acesso
    • Ao dar acesso a senhas para pessoas, lembre-se de que será necessário trocá-las se essas pessoas mudarem de função ou saírem da empresa. Se senhas não estiverem incomodando nada, algo está errado
  • Como gerenciar senhas:
    • Todas as senhas devem ser únicas. Evite compartilhar senhas sempre que possível. Use SSO
    • Quando necessário, use um gerenciador de senhas ou soluções como Hashicorp Vault ou OpenBao
  • Abordagem conforme o tamanho da organização:
    • Estratégia de segurança de acordo com o número de pessoas e serviços
      • 1-20 pessoas - usar gerenciador de senhas (Bitwarden, 1Password etc.)
      • 20-30 pessoas ou mais - usar SSO
      • 50 pessoas ou mais - começar a atribuir funções reais ao esquema de SSO
      • 1-5 serviços - os segredos do CircleCI e um gerenciador de senhas são suficientes
      • mais de 5 instâncias - usar um gerenciador de segredos como Vault
      • mais de 10 instâncias - começar a usar um gerenciador de segredos também localmente para desenvolvimento. Começar a considerar políticas de IAM com escopo bem definido para cada serviço e membro da equipe
      • mais de 15 instâncias - começar a considerar limites adicionais de zero trust
    • Naturalmente, isso é bem aproximado. Dependendo de exigências regulatórias/de conformidade e da escala de receita, talvez seja necessário fazer isso mais cedo
    • Etapas de fortalecimento da segurança
      1. Centralizar segredos, mesmo que não possam ser revogados facilmente (gerenciador de senhas)
      2. Torná-los centralizados e fáceis de revogar (SSO)
      3. Refinar mais os papéis e acessos (RBAC)
      4. Aplicar automação entre essas etapas (quando fizer sentido)
  • Usar contas comuns e contas de administrador separadamente
  • Centralização e automação:
    • Centralizar segredos e permitir revogação fácil
    • Usar controle de acesso baseado em função (RBAC) para conceder permissões granulares
    • Conectar todas as etapas por meio de automação
  • Não construa sua própria ferramenta de autenticação/gerenciamento de segredos: é muito complexo e arriscado, então evite desenvolver isso internamente sempre que possível
  • Automatize o máximo possível e faça com que os funcionários não precisem acessar sistemas de produção
  • Recomendação de Rippling: recomendado como solução integrada de SSO e gestão de RH
  • Experiência na construção de programas de segurança:
    • Usar SSO: se o orçamento permitir, Okta; caso contrário, Keycloak
    • Usar gerenciador de senhas: recomendação de 1Password
    • Usar solução de gerenciamento de segredos: recomendação de HashiCorp Vault
  • SSO e 2FA: usar SSO e 2FA juntos para reforçar a segurança