Лого vc.ru

Где и как хранить пароли доступа в отделе разработки

Где и как хранить пароли доступа в отделе разработки

Добрый день. Как правильно организовать хранение паролей с разделением прав на просмотр и редактирование?

В нашем случае это отдел разработки и поддержки сайтов. Для каждого специалиста выдается свой пароль:

  • программист;
  • html-верстальщик; 
  • контент-менеджер; 
  • аккаунт/проджект менеджер проекта.

Существуют следующие виды паролей: 

  • FTP (тестовый и боевой сервер);
  • SFTP (тестовый и боевой сервер); 
  • БД (тестовый и боевой сервер);
  • Панель администрирования хостинга; 
  • Админ-панель сайта (тестовый и боевой сервер).

Коллеги, поделитесь опытом.

htpasswd для хранения паролей доступа, хеш генерируют у себя сами сотрудники. Дальше идет выбор мандатной или дискреционной системы доступа (MAC, DAC). В зависимости от стоимости информации вы определяете меры по ее защите.

Дополню вопрос: а что в случае студии мобильной разработки?
Доступы к сторам, файлы ключей для подписывания приложения, аккаунты мобильных телефонов, аккаунты систем аналитики - как все это храниться и организуется?

В itunesconnect есть средства по разграничению доступа. Пользователям можно выделить разные права по доступу к finance, marketing, technical информации. Лучше всего создавать новые appleId с корпоративным доменом почты, тогда у вас будет полный контроль. Ключи генерируются каждым пользователям и хранятся в keychain, если нужно использовать одну т ту же подпись для работы с нескольких машин, приватный ключ можно импортировать (.p12) и добавить в другую связку ключей, тем самым активировав нужный сертификат (например для adhoc дистрибуции).

И желательно в надежном облаке (:

Тоже интересно.

Лично Я, на сайтах заказчика сделал две таких схем:
1) Есть пароль, например: " D123qwerty" и когда мы посылаем пароль на сервер, сервер на php их обрабатывает таким образом:
$all = array( 'D' => 'designer' , 'V' => 'developer' , 'C' => 'content_manager'); // Массив из всех видов пользователей

$man = $PASS[0]; // берем первую букву из пароля

if(inarray($man, $all)){ //проверка есть ли в наличии этого типа
$STATUS = $all[$man]; // присваиваем тип пользователя
} // конец условия

в этом случае каждому пользователю нужно давать пароль отдельно

2)
$pass = htmlspecalchars($pass); // фильтр от нежелательных символов
$sql = 'SELECT * FROM `user` WHERE `pass`=" . $pass . "';
$query = mysql_query($sql); //выбираем пользователя
$res = mysql_fetch_array($query); //данные помещаем в массив
if($res) { //если данные существуют
$status = $res['status']; // присваиваем статус
} // конец условия

в этом случае каждый пользователь может задавать себе свои пароли, а всё что нужно будет хранится в БД рядом с его паролем в одной строке

ИМХО, но передавать в пароле какие либо данные, кроме непосредственно пароля, немного не хорошо, а на сервере хранить пароли желательно в виде хешей.

0

Эээ... Пароли хранятся в открытом виде?

0

Вопрос ведь про хранение, управление и распределение паролей, а не про организацию доступа к ресурсам...

KeePass, а файлик на сервер, флешку, почту телефон, на любое облачное хранилище.
А сотрудники как хранили пароли в скайпе, так и будут их там хранить.

Roboform - вот самое грамотное решение. Пары логин-пароль в отдельных файлах хранятся, с облаком синхронизируется, ессно все шифруется, а еще и доступ пользователь/админ настроить можно, чтобы могли пользоваться но не менять пароль. Да, разработка соотечественников наших.

Недавно читал про стартар TeamKey, он как раз проблему с паролями решает.

Ластпасс для менеджеров, программист старший по старинке в екселе хранит. Так и живем...

Каждому сотруднику инструкцию: установить дропбокс и в нем хранить файлов keepass

0

FПару лет назад у меня были сэтим проблемы - версии файла с конфликтами сложились и размножались.

0

А зачем ПМу SFTP/БД доступы? Контентщику по большей части хватит админских прав на самом сайте, верстальщику/программисту - GIT/SVN, на продакшене - небольшой набор скриптов для автоматического деплоя

0

т.о. большинство логинов@паролей будет у пары человек, которые занимаются серверами

0

Да, контенту и аккаунту нужен доступ только в админку.
Верстальщику: фтп и админка.
Программистам ключи от всех дверей :)

Прямой эфир
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления