Ask HN: ¿Cómo almacenan y comparten contraseñas en la empresa?

 (news.ycombinator.com)
23 puntos por GN⁺ 2024-09-03 | 1 comentarios | Compartir por WhatsApp
  • En puestos de TI hay que gestionar una gran cantidad de contraseñas
  • ¿Existe un método recomendado para almacenar contraseñas y otorgar permisos de acceso?
    • Para que un empleado nuevo pueda acceder desde su primer día a todas las contraseñas que necesita
    • Para otorgar acceso a las contraseñas adicionales que necesita un nuevo empleado cuando es ascendido
    • Cuando un empleado deja la empresa, cambiar las contraseñas importantes a las que tenía acceso y avisar del cambio a todas las personas que tienen permisos de acceso

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-09-03

Opiniones de Hacker News

  • Minimizar la gestión de contraseñas
    • Usar SSO para integrar la mayor cantidad posible de servicios con OIDC y usar la versión en la nube de 1Password para facilitar la auditoría y la gestión de accesos
    • Al dar acceso a contraseñas a personas, recordar que hay que cambiar esas contraseñas si esas personas cambian de rol o dejan la empresa. Si las contraseñas no resultan nada molestas, algo se está haciendo mal
  • Cómo gestionar contraseñas:
    • Todas las contraseñas deben ser únicas. Evitar compartir contraseñas en la medida de lo posible. Usar SSO
    • Cuando sea necesario, usar un gestor de contraseñas o soluciones como Hashicorp Vault u OpenBao
  • Enfoque según el tamaño de la organización:
    • Estrategia de seguridad según la cantidad de personas y servicios
      • 1-20 personas - usar un gestor de contraseñas (Bitwarden, 1Password, etc.)
      • 20-30 personas o más - usar SSO
      • 50 personas o más - empezar a asignar roles reales en el esquema de SSO
      • 1-5 servicios - los secretos de CircleCI y un gestor de contraseñas son suficientes
      • Más de 5 instancias - usar un gestor de secretos como Vault
      • Más de 10 instancias - empezar a usar un gestor de secretos también en local para desarrollo. Empezar a considerar políticas de IAM bien delimitadas para cada servicio y cada integrante del equipo
      • Más de 15 instancias - empezar a considerar límites adicionales de zero trust
    • Obviamente esto es muy aproximado. Según los requisitos regulatorios/de cumplimiento y el tamaño de los ingresos, puede ser necesario hacer estas cosas antes
    • Etapas de fortalecimiento de seguridad
      1. Centralizar los secretos aunque no se puedan revocar fácilmente (gestor de contraseñas)
      2. Que sean fáciles de revocar y estén centralizados (SSO)
      3. Hacer más granulares los roles y accesos (RBAC)
      4. Aplicar automatización entre estas etapas (cuando corresponda)
  • Usar por separado cuentas normales y cuentas de administrador
  • Centralización y automatización:
    • Centralizar los secretos y hacer que puedan revocarse fácilmente
    • Usar control de acceso basado en roles (RBAC) para otorgar permisos granulares
    • Conectar todas las etapas mediante automatización
  • No construir herramientas propias de autenticación/gestión de secretos: evitar desarrollarlas en la medida de lo posible, ya que es muy complejo y el riesgo es alto
  • Automatizar la mayor cantidad posible de tareas y evitar que los empleados necesiten acceso a sistemas de producción
  • Recomendación de Rippling: recomendado como una solución integrada de SSO y gestión de RR. HH.
  • Experiencia construyendo programas de seguridad:
    • Usar SSO: si el presupuesto lo permite, Okta; si no, usar Keycloak
    • Usar un gestor de contraseñas: se recomienda 1Password
    • Usar una solución de gestión de secretos: se recomienda HashiCorp Vault
  • SSO y 2FA: reforzar la seguridad usando SSO junto con 2FA