W prototypie & R & D laboratorium, gdzie wcześniej pracował, były „norma” haseł laboratorium do rzeczy, takich jak korzeń, dostęp administracyjny do konsol, przełączników itp Są to proste, łatwe do zapamiętania, a wspólne ustnie z każdy, kto ich potrzebował. Ogólnie rzecz biorąc, jeśli możesz fizycznie dostać się do laboratorium, masz upoważnienie do posiadania tych haseł.
W zakładzie produkcyjnym zbudowano i skonfigurowano nowe systemy dla klientów. Klient musiał wybrać wszystkie hasła i zostały one wydrukowane na zestawie formularzy, które zostały przymocowane do stojaka z systemami. Dostęp zdalny był wymagany, a hasła były wysyłane pocztą e-mail lub przez telefon. W pełni oczekiwano, że klient zmieni te hasła, gdy tylko system zostanie im dostarczony.
Dla laboratoriów produkcyjnych, prawie nikt nie miał dostępu do roota. Prawie wszyscy mieli dostęp do sudo gdzieś pomiędzy nieograniczonymi możliwościami i tylko możliwością montowania wirtualnych systemów plików ... w zależności od osoby i systemu. Bardzo rzadko zdarza się uzyskać dostęp do sudo, aby uruchomić powłokę jako root. Pozostawił bardzo wyraźny ślad dziennika wszystkich poleceń uruchamianych jako root. Ten dziennik był używany do tarowania piór przez więcej niż jedną osobę przez te lata.
Na stanowisku pomocy/wsparcia, które miałem wiele lat temu, każdy ekspert od narzędzi wybrał swoje własne hasła administracyjne. Zostały one zapisane w kopercie, która została zamknięta w sejfie w maszynowni. Jeśli ktoś potrzebował dostępu administratora, mógł otworzyć kopertę, odczytać hasło i odnotować w dzienniku, że znał hasło, a następnie ponownie zamknąć hasło w kopercie. Od właściciela narzędzia zależy, czy hasło należy zmienić. System ten był używany przez ponad 5 lat ... iw jednym przypadku faktycznie pomógł projektowi przetrwać "test autobusowy" (atak serca) dla jednego członka zespołu.
Różne standardy dla różnych rodzajów systemów i laboratoriów. To rozsądne. Uważam, że gdy hasła muszą być odłamane, najlepiej jest, gdy hasło jest proste, krótkie i komunikowane słownie (osobiście lub przez telefon). Uważam, że jedynym hasłem, które nie powinno być nigdy udostępniane, jest hasło do mojego osobistego konta. Każde hasło root/admin/tool powinno być zarchiwizowane w co najmniej jednej innej głowicy ... jeśli nie jest zapisane w jakiś sposób.