Ask HN: Di perusahaan, bagaimana cara menyimpan dan membagikan kata sandi?

 (news.ycombinator.com)
23 poin oleh GN⁺ 2024-09-03 | 1 komentar | Bagikan ke WhatsApp
  • Di bidang pekerjaan IT, kita harus mengelola sangat banyak kata sandi
  • Apakah ada metode yang direkomendasikan untuk menyimpan kata sandi dan memberikan hak akses?
    • Agar karyawan baru bisa mengakses semua kata sandi yang dibutuhkan sejak hari pertama
    • Memberikan akses ke kata sandi tambahan yang diperlukan saat karyawan baru mendapat promosi
    • Saat karyawan keluar dari perusahaan, mengubah kata sandi penting yang pernah mereka akses, dan memberi tahu semua orang yang memiliki akses bahwa telah terjadi perubahan

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-03

Pendapat Hacker News

  • Minimalkan pengelolaan kata sandi
    • Gunakan SSO untuk mengintegrasikan sebanyak mungkin layanan dengan OIDC, dan gunakan versi cloud dari 1Password agar audit dan pengelolaan akses lebih mudah
    • Saat memberi orang akses ke kata sandi, ingat bahwa kata sandi itu harus diganti jika mereka pindah peran atau keluar dari perusahaan. Jika kata sandi sama sekali tidak merepotkan, berarti ada sesuatu yang salah
  • Cara mengelola kata sandi:
    • Semua kredensial harus unik. Hindari berbagi kata sandi sebisa mungkin. Gunakan SSO
    • Jika perlu, gunakan password manager atau solusi seperti Hashicorp Vault atau OpenBao
  • Pendekatan berdasarkan skala organisasi:
    • Strategi keamanan berdasarkan jumlah orang dan layanan
      • 1-20 orang - gunakan password manager (Bitwarden, 1Password, dll.)
      • 20-30 orang ke atas - gunakan SSO
      • 50 orang ke atas - mulai tetapkan peran nyata dalam skema SSO
      • 1-5 layanan - secret di CircleCI dan password manager sudah cukup
      • Lebih dari 5 instance - gunakan secret manager seperti Vault
      • Lebih dari 10 instance - mulai gunakan secret manager juga secara lokal untuk pengembangan. Mulai pertimbangkan penggunaan kebijakan IAM yang ruang lingkupnya jelas untuk tiap layanan dan anggota tim
      • Lebih dari 15 instance - mulai pertimbangkan batas zero-trust tambahan
    • Tentu saja ini sangat kasar. Bergantung pada persyaratan regulasi/kepatuhan dan skala pendapatan, pekerjaan ini mungkin perlu dilakukan lebih awal
    • Tahapan penguatan keamanan
      1. Pusatkan secret meskipun belum bisa dicabut dengan mudah (password manager)
      2. Pusatkan dan buat mudah dicabut (SSO)
      3. Perinci peran dan akses lebih lanjut (RBAC)
      4. Terapkan otomasi di antara tahapan-tahapan ini (jika sesuai)
  • Pisahkan penggunaan akun umum dan akun admin
  • Sentralisasi dan otomasi:
    • Pusatkan secret dan buat agar mudah dicabut
    • Gunakan role-based access control (RBAC) untuk memberikan izin akses yang terperinci
    • Hubungkan semua tahapan melalui otomasi
  • Jangan membangun sendiri alat autentikasi/pengelolaan secret: sangat kompleks dan berisiko tinggi, jadi sebisa mungkin hindari membangunnya sendiri
  • Otomatiskan sebanyak mungkin pekerjaan, dan pastikan karyawan tidak perlu mengakses sistem produksi
  • Rekomendasi Rippling: direkomendasikan sebagai solusi yang mengintegrasikan SSO dan manajemen HR
  • Pengalaman membangun program keamanan:
    • Gunakan SSO: jika anggaran memungkinkan, gunakan Okta; jika tidak, gunakan Keycloak
    • Gunakan password manager: 1Password direkomendasikan
    • Gunakan solusi pengelolaan secret: HashiCorp Vault direkomendasikan
  • SSO dan 2FA: tingkatkan keamanan dengan menggunakan SSO dan 2FA bersama-sama