Pour des raisons de support client, nous devons stocker des mots de passe sur certains des systèmes de nos clients (avec leur autorisation explicite et écrite, bien sûr), ainsi que, évidemment, des mots de passe à certains de nos propres systèmes. Les agents de support client et les administrateurs doivent être en mesure d'accéder à ces mots de passe.Je suis conscient que - malgré tous nos efforts au contraire - cela ne serait peut-être qu'une question de temps avant que l'un des PC du réseau de mon entreprise ne soit infecté par des logiciels malveillants.¹ Lorsque cela se produit, je tiens à minimiser les dommages. En particulier, je tiens à minimiser le nombre de mots de passe qui fuies.Les gestionnaires de mots de passe classiques n'aident pas ici. Ils aident à la réutilisation de mot de passe et à d'autres dangers, mais ils sont <a href="https://security.stackexchange.com/a/199028/12244">non conçus pour atténuer ce type de menace</a> . Au contraire: le PC du gars de support client est compromis, ils entrent le mot de passe principal à leur gestionnaire de mots de passe et ... BANG ... Les méchants ont remporté le jackpot. Je cherche une solution pour vous assurer que seulement quelques mots de passe que possible (idéalement, seuls les mots de passe activement utilisé au cours de la période compromise le PC entre le PC étant compromis et l'attaque détectée) sont divulguées. Évidemment, le stockage des mots de passe sur Paper² au lieu d'un gestionnaire de mots de passe résoudrait ceci, mais j'aimerais également que la solution soit pratique (la solution papier ne fonctionnera pas si les utilisateurs sont en pandémie Office à domicile à la maison, par exemple). Une autre option peut être un gestionnaire de mots de passe en ligne qui "limite le taux" Le nombre de mots de passe pouvant être consultés par heure (et envoie des alertes e-mail lorsque trop de mot de passe sont demandés).Je ne veux pas réinventer la roue et je suis sûr que d'autres entreprises ont le même problème. Existe-t-il une solution "canonique" ou au moins largement utilisée et établie à ce sujet?<hr>¹ Si vous avez Google pour "Pourcentage d'entreprises ayant été piraté" ou "pourcentage d'entreprises ayant été infecté par des logiciels malveillants", vous obtenez divers articles de presse sur la première page réclamant divers taux de pourcentage à deux chiffres. Je ne veux pas être accroché à un numéro particulier, je veux juste vouloir illustrer que le risque est réel et beaucoup plus susceptible que "Hydrome en caoutchouc" ou quelque chose de similaire.² Pour clarifier le modèle de menace: Je suis préoccupé par les pirates de l'autre côté du monde ayant une "journée chanceuse" (c'est-à-dire un employé qui commence un fichier malveillant qui a réussi à traverser tous nos filtres), à entrer dans notre réseau et Ensuite, voyez ce qu'ils peuvent récolter avant de faire leur substance ransomware habituelle (oui, nous avons des sauvegardes). Je ne suis pas préoccupé par les attaques ciblées et/ou physiques des acteurs de l'État (heureusement, nous ne sommes pas assez importants, et nos clients non plus).

Comment minimiser le nombre de mots de passe fuies lorsqu'un PC est compromis?

Pour des raisons de support client, nous devons stocker des mots de passe sur certains des systèmes de nos clients (avec leur autorisation explicite et écrite, bien sûr), ainsi que, évidemment, des mots de passe à certains de nos propres systèmes. Les agents de support client et les administrateurs doivent être en mesure d'accéder à ces mots de passe.

Je suis conscient que - malgré tous nos efforts au contraire - cela ne serait peut-être qu'une question de temps avant que l'un des PC du réseau de mon entreprise ne soit infecté par des logiciels malveillants.¹ Lorsque cela se produit, je tiens à minimiser les dommages. En particulier, je tiens à minimiser le nombre de mots de passe qui fuies.

Les gestionnaires de mots de passe classiques n'aident pas ici. Ils aident à la réutilisation de mot de passe et à d'autres dangers, mais ils sont non conçus pour atténuer ce type de menace . Au contraire: le PC du gars de support client est compromis, ils entrent le mot de passe principal à leur gestionnaire de mots de passe et ... BANG ... Les méchants ont remporté le jackpot.

Je cherche une solution pour vous assurer que seulement quelques mots de passe que possible (idéalement, seuls les mots de passe activement utilisé au cours de la période compromise le PC entre le PC étant compromis et l'attaque détectée) sont divulguées.

Évidemment, le stockage des mots de passe sur Paper² au lieu d'un gestionnaire de mots de passe résoudrait ceci, mais j'aimerais également que la solution soit pratique (la solution papier ne fonctionnera pas si les utilisateurs sont en pandémie Office à domicile à la maison, par exemple). Une autre option peut être un gestionnaire de mots de passe en ligne qui "limite le taux" Le nombre de mots de passe pouvant être consultés par heure (et envoie des alertes e-mail lorsque trop de mot de passe sont demandés).

Je ne veux pas réinventer la roue et je suis sûr que d'autres entreprises ont le même problème. Existe-t-il une solution "canonique" ou au moins largement utilisée et établie à ce sujet?

¹ Si vous avez Google pour "Pourcentage d'entreprises ayant été piraté" ou "pourcentage d'entreprises ayant été infecté par des logiciels malveillants", vous obtenez divers articles de presse sur la première page réclamant divers taux de pourcentage à deux chiffres. Je ne veux pas être accroché à un numéro particulier, je veux juste vouloir illustrer que le risque est réel et beaucoup plus susceptible que "Hydrome en caoutchouc" ou quelque chose de similaire.

² Pour clarifier le modèle de menace: Je suis préoccupé par les pirates de l'autre côté du monde ayant une "journée chanceuse" (c'est-à-dire un employé qui commence un fichier malveillant qui a réussi à traverser tous nos filtres), à entrer dans notre réseau et Ensuite, voyez ce qu'ils peuvent récolter avant de faire leur substance ransomware habituelle (oui, nous avons des sauvegardes). Je ne suis pas préoccupé par les attaques ciblées et/ou physiques des acteurs de l'État (heureusement, nous ne sommes pas assez importants, et nos clients non plus).

passwordspassword-managementthreat-mitigationsystem-compromise

2 août 2020Heinzi

Disclaimer: Je ne suis pas affilié dans de toute façon avec Yubico, je n'ai pas non plus essayé les produits énumérés sur la page Web ci-dessous. Ce n'est pas une approbation de ces entreprises.

Liée à Réponse de MTI2935 À propos de l'utilisation de YUBIKEYS, il apparaît de la section Fonctionne avec YUBIKEY: Sécuringez les gestionnaires de mots de passe sur le site Web de Yubico selon lequel il existe au moins deux gestionnaires de mots de passe que travailler avec YUBIKEYS. De cette page:

L'utilisation d'une YUBIKEY pour 2FA avec votre gestionnaire de mots de passe vous garantit que même si votre mot de passe principal est compromis, le reste de vos mots de passe est toujours sécurisé.

Bien que je n'ai pas essayé l'un des deux produits actuellement répertoriés (ni plus profondément plongé dans leurs détails techniques), l'implication est qu'en utilisant un YUBIKEY, un compromis du mot de passe principal n'est plus un cas de " Bang ... Les méchants ont remporté le jackpot. ".

3 août 2020TripeHound