ตัวจัดการรหัสผ่าน

จากวิกิพีเดีย สารานุกรมเสรี

มีซอฟต์แวร์หลายรูปแบบที่ใช้เพื่อช่วยให้ผู้ใช้หรือองค์กรจัดการ รหัสผ่านได้ ดีขึ้น:

  • สำหรับใช้โดยผู้ใช้คนเดียว:
    • ซอฟต์แวร์จัดการรหัสผ่าน ถูกใช้โดยบุคคลเพื่อจัดระเบียบและเข้ารหัสรหัสผ่านส่วนบุคคลจำนวนมากโดยใช้การเข้าสู่ระบบเพียงครั้งเดียว ซึ่งมักเกี่ยวข้องกับการใช้ คีย์เข้ารหัส ด้วยเช่นกัน ผู้จัดการรหัสผ่านยังเรียกว่า กระเป๋ารหัสผ่าน
  • สำหรับใช้โดยผู้ใช้หลายราย/กลุ่มผู้ใช้:
    • องค์กรใช้ซอฟต์แวร์การซิงโครไนซ์รหัสผ่าน เพื่อจัดเรียงรหัสผ่านที่แตกต่างกัน ในระบบที่แตกต่างกัน เพื่อให้มีค่าเท่ากันเมื่อเป็นของบุคคลคนเดียวกัน
    • รีเซ็ตรหัสผ่านด้วยตนเอง ช่วยให้ผู้ใช้ที่ลืมรหัสผ่านหรือทริกเกอร์การล็อกเอาต์จากผู้บุกรุกเพื่อรับรองความถูกต้องโดยใช้กลไกอื่นและแก้ไขปัญหาของตนเอง โดยไม่ต้องโทรติดต่อฝ่ายช่วยเหลือด้านไอที
    • การเข้าสู่ระบบครั้งเดียวขององค์กร จะตรวจสอบแอปพลิเคชันที่เปิดใช้งานโดยผู้ใช้และเติม ID ล็อกอินและรหัสผ่านโดยอัตโนมัติ
    • การเข้าสู่ระบบเพียงครั้งเดียว เว็บจะสกัดกั้นการเข้าถึงของผู้ใช้ไปยังเว็บแอปพลิเคชันและแทรกข้อมูลการตรวจสอบสิทธิ์ลงในสตรีม HTTP(S) หรือเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าแยกต่างหาก โดยที่ผู้ใช้จะได้รับการตรวจสอบสิทธิ์และนำกลับไปยัง URL เดิม
    • การจัดการรหัสผ่านที่มีสิทธิพิเศษ (ใช้เพื่อรักษาความปลอดภัยในการเข้าถึงบัญชีที่แชร์และมีสิทธิพิเศษ)

การจัดการรหัสผ่านที่มีสิทธิพิเศษ[แก้]

การจัดการรหัสผ่านที่มีสิทธิพิเศษ คือการจัดการรหัสผ่านประเภทหนึ่งที่ใช้เพื่อรักษาความปลอดภัยรหัสผ่านสำหรับ ID ล็อกอินที่มีสิทธิ์การรักษาความปลอดภัยระดับสูง ซึ่งทำได้บ่อยที่สุดโดยการเปลี่ยนรหัสผ่านดังกล่าวเป็นค่าสุ่มใหม่เป็นระยะ เนื่องจากผู้ใช้และกระบวนการซอฟต์แวร์อัตโนมัติต้องการรหัสผ่านเหล่านี้จึงจะใช้งานได้ ระบบการจัดการรหัสผ่านที่มีสิทธิพิเศษจะต้องจัดเก็บรหัสผ่านเหล่านี้และจัดเตรียมกลไกต่างๆ ในการเปิดเผยรหัสผ่านเหล่านี้ในลักษณะที่ปลอดภัยและเหมาะสม การจัดการรหัสผ่านที่มี การจัดการการเข้าถึงข้อมูลที่มีความสำคัญกับองค์กร

ตัวอย่างรหัสผ่านพิเศษ[แก้]

รหัสผ่านพิเศษมีสามประเภทหลัก ใช้เพื่อรับรองความถูกต้อง:

บัญชีผู้ดูแลระบบในเครื่อง[แก้]

บนระบบ Unix และ Linux ผู้ใช้รูท คือบัญชีล็อกอินที่มีสิทธิพิเศษ บน Windows สิ่งที่เทียบเท่าคือผู้ดูแลระบบ บนฐานข้อมูล SQL ค่าเทียบเท่าคือ sa โดยทั่วไป ระบบปฏิบัติการ ฐานข้อมูล แอปพลิเคชัน และอุปกรณ์เครือข่ายส่วนใหญ่รวมถึงการเข้าสู่ระบบของผู้ดูแลระบบ ใช้ในการติดตั้งซอฟต์แวร์ กำหนดค่าระบบ จัดการผู้ใช้ ใช้แพตช์ ฯลฯ ในบางระบบฟังก์ชันที่มีสิทธิพิเศษต่างกันถูกกำหนดให้กับผู้ใช้ที่แตกต่างกัน ซึ่งหมายความว่ามีบัญชีการเข้าสู่ระบบที่มีสิทธิพิเศษมากกว่า แต่แต่ละบัญชีมีประสิทธิภาพน้อยกว่า

บัญชีบริการ[แก้]

ในระบบปฏิบัติการ Windows เซอร์วิสโปรแกรมจะดำเนินการในบริบทของระบบ (มีสิทธิพิเศษมากแต่ไม่มีรหัสผ่าน) หรือของบัญชีผู้ใช้ เมื่อบริการทำงานในฐานะผู้ใช้ที่ไม่ใช่ระบบ ผู้จัดการควบคุมบริการต้องระบุ Login ID และรหัสผ่านเพื่อเรียกใช้โปรแกรมบริการ เพื่อให้บัญชีบริการมีรหัสผ่าน บนระบบ Unix และ Linux init และ inetd สามารถเปิดเซอร์วิสโปรแกรมในฐานะผู้ใช้ที่ไม่มีสิทธิพิเศษโดยไม่ต้องรู้รหัสผ่าน ดังนั้นบริการจึงมักไม่มีรหัสผ่าน

การเชื่อมต่อโดยแอพพลิเคชั่นหนึ่งไปยังอีกแอพพลิเคชั่นหนึ่ง[แก้]

บ่อยครั้ง แอปพลิเคชันหนึ่งต้องสามารถเชื่อมต่อกับอีกแอปพลิเคชันหนึ่งเพื่อเข้าถึงบริการได้ ตัวอย่างทั่วไปของรูปแบบนี้คือเมื่อเว็บแอปพลิเคชันต้องเข้าสู่ระบบฐานข้อมูลเพื่อดึงข้อมูลบางอย่าง การเชื่อมต่อระหว่างแอปพลิเคชันเหล่านี้มักต้องการ Login ID และรหัสผ่าน

การรักษาความปลอดภัยรหัสผ่านที่มีสิทธิพิเศษ[แก้]

ระบบจัดการรหัสผ่านที่มีสิทธิพิเศษปกป้องรหัสผ่านที่มีสิทธิพิเศษโดย:

  • เปลี่ยนรหัสผ่านแต่ละอันเป็นระยะ ๆ เป็นค่าสุ่มใหม่
  • การจัดเก็บค่าเหล่านี้
  • การปกป้องค่าที่จัดเก็บไว้ (เช่น การใช้การเข้ารหัสและการจัดเก็บที่จำลองแบบ)
  • จัดให้มีกลไกในการเปิดเผยรหัสผ่านเหล่านี้แก่ผู้เข้าร่วมประเภทต่างๆ ในระบบ:
    • ผู้ดูแลระบบไอที
    • โปรแกรมที่เปิดบริการ (เช่น service control manager บน Windows)
    • แอพพลิเคชั่นที่ต้องเชื่อมต่อกับแอพพลิเคชั่นอื่น

โครงสร้างพื้นฐานที่จำเป็น[แก้]

ระบบการจัดการรหัสผ่านที่มีสิทธิพิเศษต้องการโครงสร้างพื้นฐานที่กว้างขวาง:

  • กลไกในการกำหนดเวลาเปลี่ยนรหัสผ่าน
  • ตัวเชื่อมต่อเข้ากับระบบต่างๆ
  • กลไกการอัพเดทผู้เข้าร่วมต่าง ๆ ด้วยค่ารหัสผ่านใหม่
  • การตรวจสอบอย่างกว้างขวาง
  • ที่เก็บข้อมูลเข้ารหัส
  • การรับรองความถูกต้องสำหรับฝ่ายที่ต้องการดึงค่ารหัสผ่าน
  • การควบคุมการเข้าถึงและการอนุญาตเพื่อตัดสินใจว่าการเปิดเผยรหัสผ่านเหมาะสมหรือไม่
  • ที่เก็บข้อมูลจำลองเพื่อให้แน่ใจว่าความล้มเหลวของฮาร์ดแวร์หรือภัยพิบัติในไซต์จะไม่ทำให้ข้อมูลสูญหาย