Jaettujen salasanojen hallinta on ollut perinteisesti yksi vaikeimmista asioista organisaatioissa ja henkilökohtaisten tunnusten käyttö onkin tietoturvan kannalta ensisijainen tapa. Jokaisessa IT-talossa on kuitenkin vähintään API-avaimia ja muita vastaavia yhteiskäyttöön tarkoitettuja tunnuksia, joiden hallinta ja jakaminen pitää ratkaista.

 

Salasanamanagereiden yleistymisen myötä jaettujen salaisuuksien hallinnasta on tullut aikaisempaa helpompaa ja mekin olemme päätyneet ottamaan käyttöön organisaatiotason salasanamanagerin, jolla työntekijät voivat hallita yhteisten tunnusten lisäksi myös omia henkilökohtaisia työhön liittyviä tunnuksiaan eri palveluihin.

Salasanamanagerin etuna on, että jokaisessa palvelussa voidaan käyttää erittäin vahvaa yksilöllistä salasanaa ja monivaiheista todennusta (MFA), kun se on saatavilla. 

Organisaationtason salasanamanagerin käyttö mahdollistaa käyttöoikeuksien poistamisen ja salasanojen kierrättämisen esimerkiksi työsuhteen muutoksissa ilman, että kenenkään muun pääsy yhteisiin palveluihin estyy. Salasanamanagerin avulla tunnukset voidaan jakaa eri holveihin, joiden pääsyä voidaan hallita ryhmäpohjaisesti.

Vaikka salasanamanagereihinkin liittyy omat riskinsä, niiden käytön hyödyt ylittävät potentiaaliset riskit, varsinkin jos verrataan tilanteeseen, että mitään työkalua ei ole käytössä.

Tehokas salasanojen hallinta nopeuttaa asiakaspalvelua

Nopean ongelmien selvittämisen ja sujuvan tukipalvelun tarjoamisen edellytys on, että asiakkaan raportoima ongelma saadaan toistettua mahdollisimman pian. Tukipalvelu voi ensin pyrkiä todentamaan ongelman omilla tunnuksillaan, mutta joskus esimerkiksi käyttöoikeuksiin liittyvän ongelman toistaminen voi vaatia ongelmasta raportoineen käyttäjän käyttäjätunnuksella kirjautumista.

Kun kehittäjä perustaa asiakkaan tuotantoympäristöä vastaavan paikallisen ympäristön konfiguraationhallinnan avulla, automatiikka huolehtii ajantasaisen tietokantakopion lataamisesta paikalliseen ympäristöön. Tietokannan kopioinnin jälkeen kaikkien käyttäjien salasanat nollataan siten, että kehittäjä voi paikallisessa kehitysympäristössä kirjautua minä tahansa käyttäjänä. Tällöin ongelma voidaan toistaa siitä raportoineen käyttäjän oikeuksilla, jolloin saadaan varmasti kiinni myös käyttöoikeusrooleihin liittyvät ongelmat. Tässä kohtaa on myös hyvä todeta, että prosessi on yksisuuntainen, paikallista tietokantaa ei koskaan siirretä stagingiin tai tuotantoon päin ja  salasanojen nollauskripti toimii ainoastaan paikallisesti.

Salasanaton kirjautuminen on parasta salasanojen hallintaa

Palvelinympäristöjemme SSH-kirjautumisessa käytämme vain SSH-avaimia ja salasanalla kirjautuminen on poistettu kokonaan käytöstä. SSH-avaimet on jaettu palvelinten ylläpitäjien avaimiin ja ns. deploy-avaimiin, joiden avulla voidaan viedä koodia versionhallinnan kautta palvelimille. Avaimia hallitaan keskitetysti konfiguraationhallinnan avulla. Avaimen lisäksi kehittäjän tulee olla yhteydessä Valun sisäverkkoon joko fyysisesti tai VPN:n avulla.

Salasanaton kirjautuminen on edellytys palvelinten keskitetylle hallinnalle, mutta tarjoaa myös muita etuja. Kun salasanoja ei tarvitse koskaan kirjoittaa, ei kukaan ulkopuolinen voi myöskään sitä vahingossa nähdä. Myös oikeuksien poistaminen on todella helppoa: riittää kun avain poistetaan palvelimilta. Salasanaton kirjautuminen mahdollistaa myös palvelinten väliset ajastetut tehtävät, kuten säännöllisen varmuuskopioinnin tuotantoympäristöstä erilliseen palvelinympäristöön.

Hyödynnämme SSH-avaimia myös WordPressin salasanattomassa kirjautumisessa

Olemme rakentaneet palvelinympäristöihimme myös sovellustason salasanattoman kirjautumisen, joka perustuu SSH-avaimiin ja kertakirjautumislinkkiin. Ratkaisun perusidea on seuraava:

  1. Kehittäjä valitsee listasta sivuston, johon hän haluaa kirjautua käyttäjänä X
  2. Työkalu kirjautuu sivuston palvelimelle käyttäen kehittäjän SSH-avainparia ja asettaa palvelimen muistiin 60 sekunniksi kertakäyttöisen avaimen pyydetylle käyttäjälle
  3. Komentorivityökalu palauttaa kertakäyttöisen kirjautumislinkin, avaa selaimen ja ohjaa käyttäjän siihen
  4. GET-pyyntö muunnetaan POST-pyynnöksi ja lähetetään kertakäyttöavaimen käsittelevään kirjautumisrajapintaan
  5. Mikäli SSH-kirjautumisen kautta muistiin asetettu avain ja kirjautumispyynnössä lähetetty avain täsmäävät, käyttäjä kirjataan automaattisesti sisään ja asetettu kertakäyttöavain poistetaan

Ratkaisu mahdollistaa huipputurvallisen kirjautumisen, koska sitä käyttääkseen kehittäjällä tulee olla käytössään:

  1. Käytetyn työaseman käyttäjätunnus ja salasana
  2. Palvelimelle asetetun SSH-avaimen private key
  3. Yhteys Valun sisäverkkoon fyysisesti tai VPN:n kautta
  4. Valun konfiguraationhallinta, jonka kautta työkalun saa käyttöön

Työkalun ansiosta kehittäjien ei tarvitse käyttää kirjautumiseen koskaan salasanaa, mikä parantaa tietoturvaa huomattavasti. Työkalun avulla voidaan myös kirjautua tarpeen vaatiessa esimerkiksi staging-ympäristöön toisena käyttäjänä. Kaikissa tapauksissa työkalua käyttäneen kehittäjän SSH-avaimen fingerprintti tallennetaan palvelimen logeihin, jotta työkalun käyttö voidaan jälkikäteen todentaa.

Pyri salasanattomaan kirjautumiseen ja käytä manageria

Kokemuksemme mukaan kannattaa pyrkiä salasanattomaan kirjautumiseen aina kun on mahdollista ja käyttää salasanamanageria. Muissa tavoissa joudutaan poikkeuksetta tekemään kompromisseja joko salasanan tai jakotavan turvallisuuden kanssa.

 

Tilaa Statement-uutiskirje

Share This