Artykuł pochodzi z wydania: Grudzień 2021
Zapamiętywanie haseł czy PIN-ów w czasach, gdy liczba naszych kont i dostępów stale rośnie, to prawdziwy koszmar. Nawet hasła do prywatnych zasobów stanowią wyzwanie, jeśli chcemy stosować dobre praktyki i nie stosujemy jednego hasła do wszystkich kont, a co dopiero, jeżeli nadzorujemy zespół IT. Z pomocą przychodzą aplikacje z funkcjami zarządzania hasłami, jak np. Securden Password Vault, którą w niniejszym teście zbadamy.
Głównym celem stosowania aplikacji do zarządzania hasłami jest podniesienie poziomu bezpieczeństwa przechowywania danych uwierzytelniających, ale warto również zwrócić uwagę na zwiększenie produktywności zespołów IT. Przechowywanie wszystkich haseł w bezpiecznym miejscu powoduje, że zapamiętać musimy tylko jedno złożone hasło – hasło główne. Oznacza to, że nie musimy tracić czasu na szukanie notatników z hasłami ani resetować kont lub urządzeń za każdym razem, gdy dane logowania zostaną zapomniane. Menedżer haseł eliminuje problem zapomnianych haseł, a skrócenie czasu poświęcanego na logowania, odszukiwanie haseł czy ich przekazywanie innym członkom zespołu niewątpliwie poprawia produktywność. Istotnym powodem, dla którego warto wdrażać aplikacje do zarządzania hasłami, jest to, że pomimo ostrzeżeń ekspertów ds. bezpieczeństwa zwykle używane jest to samo hasło do wielu kont, niezależnie od tego, czy są to poświadczenia służbowe, czy do użytku osobistego. Dodatkowe ryzyka związane z ujawnieniem haseł to możliwość ich przechwycenia podczas udostępnienia, w przypadku gdy dane uwierzytelniające są przesyłane w sposób niezabezpieczony. Warto zwrócić uwagę na możliwość konfiguracji w menedżerach wymuszenia stosowania spójnej polityki haseł, określającej nie tylko wymagania dotyczące tworzenia trudnych haseł, ale także zasady monitorowania ich użycia, przypomnienia o zmianie czy stosowania różnych stopni trudności haseł przy dostępie zarówno do danych zwykłych, jak i wrażliwych. Oczywiście można uzyskać wysoki poziom bezpieczeństwa bez wykorzystania dedykowanego oprogramowania, ale zarządzanie wszystkimi danymi uwierzytelniającymi z menedżerem haseł nie tylko będzie łatwiejsze, ale i wysoce skuteczne.
> MOŻLIWOŚCI I FUNKCJE
Securden Password Vault to menedżer haseł stworzony przez amerykańską firmę Securden Inc. Aplikacja integruje się z usługami domenowymi Active Directory, dzięki czemu mamy możliwość wykorzystania istniejących kont użytkowników i grup zabezpieczeń. Możemy tworzyć hasła, które są całkowicie zgodne z przyjętymi w politykach zasadami i nadawać do nich dostęp, gdy jest to wymagane.
Obsługa systemu odbywa się z poziomu przeglądarki internetowej. Po zalogowaniu okno aplikacji przedstawia podstawowe informacje o stanie systemu, takie jak zgodność haseł z przyjętymi zasadami, informacje o konieczności zmiany haseł, użycie haseł. Możliwości menedżera przedstawiamy poniżej.
Dodawanie danych uwierzytelniających (kont)
Aplikacja umożliwia zastosowanie podziału na konta typu „praca” oraz konta osobiste. Te pierwsze są widoczne tylko dla zakładającego i administratora, natomiast konta osobiste będą widoczne wyłącznie dla zakładającego konto. W przeciwieństwie do kont służbowych kont osobistych nie da się udostępniać. Zakładanie kont wymaga wprowadzenia informacji takich jak tytuł (pozwalający zidentyfikować konto), nazwę konta (która wskazuje nazwę użytkownika lub nazwę logowania dodawanego konta). Do dyspozycji dostępne są do uzupełnienia informacje takie jak FQDN/IP komputera lub urządzenia, do którego należy konto, pole notatek do konta oraz pole tagów umożliwiające łatwą identyfikację, zarządzanie i wyszukiwanie. Warto wskazać datę wygaśnięcia konta, co pozwoli śledzić daty ważności przechowywanych kluczy licencyjnych i certyfikatów. Możemy również wybrać opcję otrzymywania okresowych powiadomień e-mail o stanie wygaśnięcia kont, a w polach dodatkowych system umożliwia dodawanie trzech typów pól – tekst, hasło lub plik. System umożliwia import danych uwierzytelniających z plików .csv i .xlsx oraz z aplikacji KeePass, w sytuacji gdy chcielibyśmy przeprowadzić migrację do Securden. Utworzone konta możemy grupować w folderach, do których system pozwala nadawać uprawnienia dla poszczególnych użytkowników lub grup. Konta można również przypisywać do zdefiniowanych domyślnie lub wprowadzonych wg potrzeb typów, np.: Web Account, Windows Domain, Linux, SQL, Mac, Licence Key, Password Only itp.
Zarządzanie użytkownikami
Istnieje kilka sposobów tworzenia użytkowników – możemy importować grupy bezpośrednio z usługi Active Directory lub Azure AD, dodawać grupy ręcznie lub importować z plików. Import użytkowników z usługi Active Directory pozwala zachować taką samą strukturę grup jak w Active Directory lub Azure Active Directory. Możemy definiować różne uprawnienia dostępu na poziomie grupy, dzięki czemu, gdy nowy członek dołączy do organizacji, umieszczając członka w odpowiedniej grupie, może on automatycznie dziedziczyć uprawnienia dostępu do właściwych danych uwierzytelniających. W celu jednokrotnego logowania możliwa jest konfiguracja SAML SSO Securden, która wykorzystuje SAML 2.0 do integracji ze zgodnymi z SAML rozwiązaniami do zarządzania tożsamością takimi jak G Suite, Microsoft ADFS, OneLogin, Azure AD SSO.
Udostępnianie kont
Aplikacja pozwala na udostępnianie kont zarówno użytkownikom zdefiniowanym w systemie, grupom użytkowników, jak i odbiorcom zewnętrznym. Zakres dostępu do konta udostępnionego możemy ograniczyć do zarządzania, modyfikacji lub podglądu oraz „Open Connection”. Uprawnienie „Open Connection” umożliwia – po zainstalowaniu dodatkowej wtyczki w systemie, którego dotyczą dane uwierzytelniające (Securden Remote Launcher for Windows) – uruchamianie sesji RDP i SSH z automatycznym wypełnianiem poświadczeń bez pokazywania hasła użytkownikowi.
[…]
Piotr Maziakowski
Autor jest od 2004 r. związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.