Justificación de KeePass [cerrado]

13

Personalmente, tengo alrededor de 20 cuentas (mi ID de usuario personal en muchas máquinas). Para cuentas de "sistema" compartidas, hay alrededor de 45 por entorno; desarrollo, prueba y producción. Tengo acceso a 2 de esos, así que mi total personal es de alrededor de 115 cuentas. Las contraseñas deben tener al menos 15 caracteres con algunas restricciones de complejidad extensas pero estándar, y deben cambiarse cada 60 días aproximadamente (cuentas del sistema cada año). Tampoco deberían ser iguales para diferentes cuentas, pero eso no se aplica. Piense en los estándares de tipo DoD. No hay forma de recordar y mantenerse al día con esto. Simplemente no es humanamente posible, en lo que a mí respecta.

Esto podría ser una buena justificación de un sistema de administración de cuentas centralizado, a la LDAP o ActiveDirectory, pero esa es una batalla totalmente diferente.

Actualmente la solución es una hoja de cálculo de Excel. Usan Excel para poner una contraseña, y luego la mayoría de las personas hacen una copia y eliminan la contraseña. Esto hace que mi estómago se revuelva.

Uso KeePass para este problema y administra muy bien toda mi cuenta. Me gustan las características como tipeo automático, agrupación, complementos, generación de contraseña, etc. Utiliza el cifrado AES-256 a través del marco .Net, y aunque no cumple con FIPS, tiene una muy buena reputación.

El único problema es que no nos permiten usar software descargado al azar. Por lo tanto, tenemos que justificar cada pieza de software en nuestras estaciones de trabajo. Me han dicho que realmente no quieren que use esto, debido a la "naturaleza sensible" de almacenar contraseñas. suspiro Mi justificación tiene que ser "MUY MUY fuerte".

Se me ha encomendado la tarea de escribir una justificación para KeePass, me gustaría cualquier aportación que pueda obtener de la comunidad. ¿Que recomiendas? ¿Hay algo por ahí que sea mejor o más respetado que KeePass? ¿Hay algún experto en seguridad que diga cosas interesantes sobre este tema? Cualquier cosa ayudará en este punto. Gracias.

Jeff Walker
fuente
Por mucho que me guste esta pregunta (aunque es un poco subjetiva y más discutida de lo que aspiramos), creo que es más apropiada para nuestro sitio hermano para profesionales de TI, Server Fault . no poste cruzado; se migrará si es necesario.
quack quijote
Cerrado ya? Probablemente estoy de acuerdo con quack, no estaba muy claro sobre la diferencia entre superusuario y defecto del servidor. Sin embargo, no estoy de acuerdo con el cierre. Aunque la justificación de la administración de contraseñas es un poco limitada, la discusión sobre la justificación de la administración de contraseñas es necesaria en la comunidad. No se usa y / o discute suficiente de esto. Gracias de cualquier manera.
Jeff Walker

Respuestas:

12

He sido un usuario de KeePass desde hace mucho tiempo, y si me encargaron la justificación, probablemente haría lo siguiente:

  • Lea las preguntas frecuentes de los sitios para conocer todos sus detalles sobre seguridad. Todo lo que he visto allí prácticamente se venderá solo.
  • Muestre la longevidad y el apoyo al proyecto, lo que indica que no se dejará de lado pronto.
  • Muestre algunas características, como el hecho de que las contraseñas se muestran cifradas de forma predeterminada (no estoy seguro de si está poniendo una máscara en la hoja de cálculo de Excel o no). Esto solo evita las miradas indiscretas.
  • Puede hacer doble clic en la entrada de contraseña para copiarla en el portapapeles y hacer que se vacíe automáticamente en 10 segundos. Esto mantiene la contraseña fuera de la "vista" tanto como sea posible.
  • Demuestre cómo se puede bloquear la base de datos de contraseñas a través de una contraseña, un archivo de clave o incluso una cuenta de Windows, lo que le permite almacenar la base de datos de contraseñas en una ubicación central y administrarla de esa manera.
  • El generador de contraseñas ayuda a garantizar que obtenga contraseñas no "fáciles de usar" que se pueden generar en casi cualquier formato que desee.

La conclusión es que obtienes una base de datos sólida para almacenar contraseñas que se pueden administrar y transferir sin temor a que sea pirateada. Además, hay muchas características que simplifican la administración de contraseñas, lo que ayuda en el panorama general.

Esperemos que esto te dé algunas ideas para considerar. No estoy involucrado con el programa en absoluto, simplemente me encanta. Lo uso en casa y en el trabajo todos los días.

Dillie-O
fuente
44
He sido un usuario de mucho tiempo también. También agregaría que el desarrollador responde a los informes de errores con la aplicación e intenta resolverlos rápidamente.
Mike Chess el
También mencionaría que la Comisión Europea patrocina recompensas por encontrar vulnerabilidades de seguridad en KeePass 2.x desde 2019 (la auditoría de la UE Keepass en 2016); También keepass.info/ratings.html puede ayudar a convencer también.
xaa