J'ai personnellement environ 20 comptes (mon identifiant personnel sur de nombreuses machines). Pour les comptes "système" partagés, il y en a environ 45 par environnement; développement, test et production. J'ai accès à 2 d'entre eux, donc mon total personnel se situe autour de 115 comptes. Les mots de passe doivent comprendre au moins 15 caractères avec des contraintes de complexité étendues mais standard et doivent être modifiés tous les 60 jours environ (comptes système chaque année). Ils ne devraient pas non plus être les mêmes pour différents comptes, mais cela n'est pas appliqué. Pensez aux normes de type DoD. Il n'y a aucun moyen de s'en souvenir et de se tenir au courant. Ce n'est tout simplement pas humainement possible, en ce qui me concerne.
Cela pourrait être une bonne justification d'un système de gestion de compte centralisé, à la LDAP ou ActiveDirectory, mais c'est une bataille totalement différente.
Actuellement, la solution est une feuille de calcul Excel. Ils utilisent Excel pour y mettre un mot de passe, puis la plupart des gens font une copie et suppriment le mot de passe. Cela me fait tourner l'estomac.
J'utilise KeePass pour ce problème et il gère très bien tout mon compte. J'aime les fonctionnalités telles que la saisie automatique, le regroupement, les plugins, la génération de mots de passe, etc. Il utilise le cryptage AES-256 via le framework .Net, et bien qu'il ne soit pas compatible FIPS, il a une très bonne réputation.
Le seul problème est qu'ils ne nous permettent pas d'utiliser des logiciels téléchargés au hasard. Nous devons donc justifier chaque logiciel sur nos postes de travail. On m'a dit qu'ils ne voulaient vraiment pas que j'utilise cela, en raison de la "nature sensible" du stockage des mots de passe. soupir Ma justification doit être "TRÈS TRÈS forte".
J'ai été chargé de rédiger une justification pour KeePass, je voudrais toute contribution que je peux obtenir de la communauté. Que recommandez-vous? Y a-t-il quelque chose de mieux ou de plus respecté que KeePass? Y a-t-il des experts en sécurité qui disent des choses intéressantes sur ce sujet? Tout va aider à ce stade. Merci.