7
【編者按】作者jolestar,微信公號:午夜咖啡
創業團隊有許多公用服務需要內部共享賬號密碼(比如公眾號,官微賬號,企業應用市場賬號),賬號密碼應該如何管理?還有各種內部工具,SaaS服務的賬號該如何管理?本文推薦幾個團隊賬號密碼管理工具。
(截圖來自keeper網站)
很多人用云筆記或者云盤等工具共享賬號密碼,不過這是非常不安全的,因為你沒辦法控制團隊里每個人的個人賬號的安全級別,一旦個人的賬號由于弱密碼或者被撞庫泄露,那所有的安全都等同虛設。前一段時間一某廠員工的筆記被撞庫,黑客用該員工賬號在內網游歷一圈就是例子。
有一次,我去幫一創業的朋友解決技術問題。需要看下他們的dns,結果他不知道管理賬號密碼,于是打電話問技術同學。后來又要看云服務的管理后臺,結果也不知道,又打電話問技術同學。看了一圈,電話打了幾個,密碼電話里還說不太清楚,一番折騰。前兩天一創業群里又有同學問起這個問題,所以就分享幾個團隊賬號密碼管理的工具。
1Password是agilebits出的一款密碼管理工具,最近推出了team版本。
1Password是個純客戶端應用,加密方式是公開的,密碼數據庫在用戶的Dropbox或者iCloud上,服務器也不保存用戶的主密碼,這樣避免了1Password自己的服務被黑導致的數據泄露問題。用戶如果忘記自己的主密碼是無法恢復數據的。如果要盜取用戶的密碼數據,需要先盜取到用戶的iCloud/Dropbox上的密碼數據庫,再盜取到用戶的主密碼。所以安全掌握在用戶自己手里。
1Password for team 由于要在多個用戶之間共享數據,密碼數據庫要保存到云端。不過1Password依然承諾不保存用戶的主密碼,云端的數據庫是加密過的,每次訪問的時候解密。具體的技術說明參看Introducing 1Password for Teams 。
1Password的同步功能是通過桌面客戶端實現的,安裝瀏覽器擴展是方便輸入賬號密碼,瀏覽器擴展里并不會要求用戶登陸或者輸入主密碼,所以避免了網站偽造主密碼登陸界面釣魚的風險。比如,同樣的密碼管理工具 LastPass這兩天就遭遇了網頁釣魚攻擊。
使用1Password for team比較簡單,創建一個team,通過郵箱邀請成員,成員在自己的客戶端上綁定團隊賬號,即可同步團隊密碼數據到用戶本地。管理員可以創建不同的保險庫(vault),來控制權限問題。適合規模比較小,成員之間比較信任的團隊。
付費機制:1Password對國內用戶來說還是比較貴,Mac版本¥163,iOS版本¥68,不過基礎功能免費版可用。
如果團隊成員流動比較大,頻繁改密碼又比較麻煩,如何處理?這里推薦下Onelogin。
Onelogin支持管理員在后臺設置賬號密碼,然后給團隊生成一個應用面板,成員點擊應用圖標,打開連接,Onelogin的瀏覽器插件會自動填充用戶名密碼然后提交,成員看不到用戶密碼,也無需知道用戶密碼。當然,這個機制也是防君子不防小人,如果成員自己用抓包工具,還是可以獲取到密碼的,但至少不需要把密碼傳來傳去。
另外Onelogin支持同步LDAP,Active Directory,Google APPS SSO等賬號中心(高級版),也支持SAML,方便其他應用集成,它的目標是企業應用的認證中心。
付費機制:初級版每人每月2$,高級版每個月每人4$
最大缺點是它是國外服務,國內訪問非常慢。
如果團隊內部的應用多,建議搭建LDAP服務做統一賬號密碼管理。推薦以下LDAP服務:
Apache Directory Apache下的java的開源LDAP服務
Open LDAP 開源LDAP服務
ltb-project 一組php的LDAP工具,包含一個LDAP自服務web項目,允許用戶自己修改自己的賬號密碼。LDAP服務本身不包含自服務工具的。
原來的企業應用都是私有部署模式,部署在內網,統一使用LDAP就可以搞定賬號認證的問題,但移動互聯網時代,為了便利,許多內部應用要在公網上訪問,同時各種SaaS服務涌現出來,每個都有一套賬號系統,每個成員加入或者離職,都需要管理許多服務的賬號。于是出現了Google APPS,Onelogin等SaaS賬號中心服務。然而這兩個服務,一個被墻,一個很慢,在國內都不太具有可用性。
而國內的郵箱服務廠商,也沒有提供類似服務,對國內企業應用開發者和用戶來說都是一種痛苦。
其他類似服務,但筆者未做分析比較,感興趣的可以看看
LastPass 、Keeper 這個中文服務支持的比較好 、Okta
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
