Dlaczego wybraliśmy 1password do zarządzania hasłami w software housie

Główna idea stojąca za aplikacjami zarządzającymi hasłami polega na tym, aby ograniczyć udział najsłabszego ogniwa w zarządzaniu hasłami. Tym najsłabszym ogniwem jest człowiek, który ma tendencję do używania tych samych haseł do wielu aplikacji. Problemem jest także to, że aplikacje nie zawsze są odpowiednio zabezpieczone, przez co ciągle słyszymy o wyciekach danych. Dlaczego password manager jest sensownym sposobem, skoro użytkownikiem wciąż jest człowiek? Ano dlatego, że automatyzuje kroki, na których ludzie najczęściej potykają się korzystając z haseł i innych popularnych zabezpieczeń.

Przemek Hocke. CEO ucreate Poland — to co lubię w IT najbardziej to budowanie kompetentnych zespołów z ludźmi, z którymi chętnie chodziłbym na piwo. Moja najwyższa oficjalna kwalifikacja to matura. Spędziłem kilka lat na Bliskim Wschodzie i w Londynie. Gram w squasha, jeżdżę na rowerze przez cały rok bez pogodowych wyjątków i lubię tworzyć rzeczy z drewna.

Czy to bezpieczne?

Jak to zwykle bywa przy technicznych dywagacjach najdokładniejsza odpowiedź brzmi — to zależy. Teoretycznie żadna metoda zabezpieczenia nie jest absolutnie bezpieczna. To jak trudne będzie złamanie Twoich zabezpieczeń zależy głównie od tego czy i jak organizacja, w której pracujesz wdroży sensowne procesy do obsługi tego zagadnienia.

Niestety według mojej wiedzy nikt jeszcze nie opracował systemu zabezpieczeń, którego nie da się złamać. Przynajmniej w teorii. Prawie zawsze piętą achillesową jest człowiek. Ekstremalne argumenty sprowadzają się do tego, że nawet odcisk palca można obejść ucinając komuś palec. Na tym etapie bawimy się już w redukcję do absurdu. Tego typu obiekcje można sprowadzić do prostej reguły, że jeśli jakiś serio zmotywowany hacker będzie w stanie Cię uwięzić, to dużo łatwiej będzie mu zadać ból, który przekona Cię do ujawnienia swojego hasła niż bawić skomplikowanymi sposobami na przechytrzenie kryptografii.

Najpoważniejszy argument przeciwko password managerom to ten, że korzystając z nich tworzymy pojedynczy punkt awarii (single point of failure). I to prawda. Natomiast myśląc o praktycznych alternatywach należy zapytać, czy przeciętny użytkownik będzie w stanie pamiętać setki lub chociaż dziesiątki haseł, które spełniają wszystkie kryteria bezpieczeństwa. Warto zastanowić się, czy będzie je przekazywał w bezpieczny sposób, czy będzie na bieżąco z wyciekami danych, czy włączy dwustopniową autoryzację itp. W mojej opinii znając ludzką naturę, a szczególnie swoją, doszedłem do wniosku, że zdając się na manualne zarządzanie hasłami, stworzę zdecydowanie więcej single point of failures niż korzystając z 1password. Password manager nie jest rozwiązaniem idealnym, ale plusy zdecydowanie przeważają nad minusami.

No dobrze, skoro teoretycznie każde zabezpieczenie można obejść to jakie zabezpieczenia będą najbardziej upierdliwe do złamania? I tutaj odpowiedź jest dosyć jednoznaczna — im więcej dobrych praktyk możesz zastosować używając swoich, haseł tym trudniej będzie je złamać. Popularne dobre praktyki, do których niewiele ekspertów ma zastrzeżenia to:

• nie używaj haseł, które są kombinacją twoich danych (data ślubu, imię, nazwisko)
• hasło nie powinno zawierać ciągu znaków, który łatwo wygenerować na klawiaturze (qwerty)
• hasło nie powinno być popularną frazą (dupa2137)
• hasła nie powinny być przechowywane w jawnym formacie (np. spisane na kartce)
• hasła powinny korzystać ze znaków, które nie występują zbyt często
• haseł nie powinno się przesyłać kanałami, które nie są szyfrowane
• hasła powinny być unikalne w każdym serwisie, z którego korzystasz
• korzystaj z autentykacji dwuetapowej
• dostęp do newralgicznych danych powinni mieć tylko ci z użytkowników, którym jest on absolutnie konieczny

Każde z tych zaleceń zasługuje na oddzielny artykuł, więc dziś poproszę abyście zaufali mi na słowo.

Co nas przekonało do 1password?

Aby nakreślić Ci kontekst mojej sytuacji wspomnę, że ucreate to swego rodzaju software house. To oznacza, że każdego miesiąca kilka osób dołącza do zespołu, kilka odchodzi, część z nich zmieni projekt. Do tego każdego miesiąca rozpoczynamy kilka projektów i raz na jakiś czas, któryś z nich zamykamy. Każdy z projektów potrzebuje co najmniej 20 haseł do obsługi środowisk testowych i produkcyjnych. Średnio w projekcie uczestniczy 7 osób łącznie z klientem. Iskrą, która skłoniła mnie do wdrożenia 1p w ucreate był sposób w jaki dzielono się hasłami w projektach.

Najczęściej na slacku wyglądało to tak:

Pawel21: Hej @marcin37 - dasz mi dane do AWSa?

Marcin37: Nie ma sprawy

```
  url:       aws.com

  password:       justjoin123

  email:       admin@justjoin.it
```

W tamtym okresie zmagaliśmy się z kilkoma przypadkami, gdzie nieautoryzowane osoby uzyskały dostęp do mniej znaczących narzędzi. Silniejszego sygnału mówiącego, że dbanie o bezpieczeństwo to nie piknik nie potrzebowaliśmy.

Co do innych powodów, które ostatecznie przekonały nas do implementacji password managera to:

• Ułatwienie zarządzania hasłami — śledzenie wycieków haseł, generowanie silnych unikalnych haseł, usuwanie zduplikowanych haseł, sugestie gdzie włączyć autentykację dwuetapową, przydzielanie dostępu do haseł. Wdrożenie wszystkich powyższych praktyk dostajesz w 1p od razu po instalacji. Nazwa password manager używana jest nie od parady.
• Organizacja haseł — ilość projektów i ciągłe przetasowania kadrowe między nimi, różne strefy odpowiedzialności, różne doświadczenie i poziom odpowiedzialności pracowników, 3 różne biura, a w każdym z nich inne kody do domofonów, wifi, kilka kart firmowych itp. Innymi słowy łatwo się zgubić w tym, kto powinien mieć dostęp do konkretnych danych.
• RODO — w związku z nowymi regulacjami popularnie zwanymi RODO, wyciek danych może kosztować Twoją firmę całkiem sporo, a zatem warto zrobić co w Twojej mocy, aby uchronić Twoją firmę przed potencjalnym bankructwem.
• Profesjonalizm — klienci, dla których piszemy oprogramowanie płacą nam spore pieniądze. Dlatego zasługują i oczekują, że będziemy używali najlepszych dostępnych narzędzi.
• Przekazanie projektu –– tak jak pisałem zdarza się, że jako firma przestajemy utrzymywać projekt dla klienta. W takim wypadku klient musi otrzymać od nas kod źródłowy i dostęp do wszystkich narzędzi, z których korzystaliśmy. Manualne zbieranie haseł do wszystkich serwisów z jakich korzystamy jest monotonne i podatne na ludzkie błędy. 1p załatwia to w kilku kliknięciach, o ile w pracując nad projektem używałeś go zgodnie z przeznaczeniem.
• Produktywność — przy każdym logowaniu oszczędzasz co najmniej kilka sekund na wpisywanie hasła. Za każdym razem kiedy nie musisz prosić o udostępnienie hasła osobie odpowiedzialnej za projekt oszczędzacie razem co najmniej kilka minut. Będziecie Państwo zadowoleni.

Oferty pracy z

Ok, zatem jak ugryźć ten temat w mojej organizacji?

Zacznę od tego, że w małych organizacjach można wdrożyć password managera zdecydowanie szybciej niż w dużych.

Co do planu działania to:

a) Poczekaj aż zgłosi się ochotnik, albo sam wybierz ochotnika — w naszym przypadku było to dosyć proste. Sam chciałem to poprawić, a nasz CTO od dawna wiedział, że potrzebujemy zmian w tym aspekcie. Najważniejsze żeby jasno określić, kto powinien wziąć na barki tą odpowiedzialność i nie poddawał się dopóki nie dopnie swego. W większych organizacjach będzie to pewnie security officer albo CIO, a w mniejszych ktoś kto ma wystarczająco dużo wpływu, aby móc wywrzeć pozytywną presję na reszcie zespołu.

b) Napisz wiadomość, która zostanie przeczytana przez wszystkich pracowników — email / slack — jeśli już znalazłeś chętnego to czas na faktyczne działanie. W ucreate zaliczyliśmy swego rodzaju falstart, bo nie mieliśmy sensownego sposobu na dzielenie się ważkimi informacjami z całą firmą. Przy kilkudziesięciu osobach rozwiązanie nie jest trywialne. Na ogół unikamy maila do codziennej komunikacji, więc zdecydowałem się na utworzenie nowego kanału na slacku (#announcements) i podłączyłem do niego aplikację must-read. Dzięki niej mogłem łatwo śledzić kto przeczytał i zastosował się do moich instrukcji. Tym, którzy przegapili moją wiadomość przypominałem się do skutku.

W mojej wiadomości uwzględniłem fakt, że różni użytkownicy będą mieli różne role do wykonania — PMowie są managerami skarbców, developerzy mogą widzieć hasła i edytować niektóre z nich, a klient ma dostęp do wszystkich możliwych działań w obrębie skarbca projektowego. Treść wiadomości znajdziesz w źródłach do artykułu.

c) Daj czas — każdy z nas ma deadliny, fuckupy, asapy i inne kurioza, które wymagają uwagi danego dnia. Z drugiej strony ciężko znaleźć kogoś, kto nie znajdzie 30 minut w ciągu tygodnia, aby zaimplementować dokładnie udokumentowane kroki. Osobiście korzystam z 1p od ponad pięciu lat, więc dla mnie zmiana była niezauważalna. Niemniej, większość moich kolegów z password managerów wcześniej nie korzystała. Na początek każdy musiał się zarejestrować, zainstalować aplikację desktopową, mobilną i wtyczki do przeglądarek.

Warto też pamiętać, że fakt zainstalowania aplikacji nie oznacza, że ludzie będą z niej korzystać. U nas cały proces zajął około trzech tygodni. To co nas najbardziej spowolniło to fakt, że część osób była na urlopie, więc nie mogli zainstalować aplikacji i aktywować swoich kont.

d) Uzupełnij swój onboarding i offboarding — zapewne masz listę powtarzalnych zadań do wykonania dla każdego z nowych pracowników. Podobnie dla każdego odchodzącego. Skoro wprowadzasz password managera to warto uzupełnić swoje procesy, bo Twoje zabezpieczenia są tylko tak silne jak najsłabsze ogniwo w systemie.

e) Pomyśl jak uniknąć bałaganu — u nas było to dosyć proste — każdy projekt ma swój skarbiec, każde biuro ma swój skarbiec i każdy dział ma swój skarbiec. 1p daje Ci do dyspozycji również tagi, różne rodzaje wpisów (karty kredytowe, hasła, loginy, bezpieczne notatniki i wiele innych).

f) Wybierz co najmniej 3 osoby, które będą właścicielami organizacji — jest to o tyle istotne, że w przypadku zapomnienia hasła przez któregoś z członków organizacji, nie wystarczy kliknąć „zapomniałem hasła” i czekać na e-maila z nowym. W przypadku 1p ktoś z zawiadujących bezpieczeństwem musi zatwierdzić prośbę o wygenerowanie nowego hasła.

g) À propos zapomnianych haseł — trochę mi się nie podobało, że pomimo tego, że każdy z nas miał do zapamiętania tylko jedno to mimo wszystko zdarzało się, że komuś musiałem wygenerować nowe hasło. Aby nie musieć tego robić zbyt często, wprowadziłem u nas swego rodzaju grę — szczegóły w linku. W dużym skrócie — każde osoba, która zapomniała swojego głównego hasła i musiała podjąć kroki, aby uzyskać nowe, była zobligowana do przyniesienia pączków dla całego biura.

h) Ucz przykładami i doglądaj implementacji:

• Przygotuj screencast z testowym skarbcem:

• Przygotuj dokumentację – https://gist.github.com/phocke/08148293f8f653f8c7e1aaff4ce11f23
• Pomyśl o konsekwecjach za niesubordynację – https://docs.google.com/document/d/10J7-dsipRjnsEmRaK_lQfCk47ObetyGPv4rhN2dCQAI/edit
• Wyłapuj próby dzielenia się hasłami w niedozwolony sposób (email, slack)
• Jeśli znajdziesz inne miejsca gdzie przechowywane są hasła — wyciągaj konsekwencje z całą stanowczością (niestety sam musiałem to robić)

Kończąc ten artykuł warto podkreślić, że 1p nie rozwiąże wszystkich bolączek związanych z zabezpieczeniem Twojej organizacji przed atakami. Narzędzia są tylko narzędziami — najważniejsza jest edukacja i ciągłe przypominanie, że hakerzy to nie tylko filmowe postaci, które włamują się do serwerów Waszyngtonu w 3 minuty. Są całe firmy działające mniej lub bardziej oficjalnie, które skupiają się tylko na tym, aby obnażyć twoje braki w bezpieczeństwie, pozyskać wrażliwe dane, a później szantażować Cię pozwem lub innymi nieprzyjemnymi konsekwencjami. Na szczęście zanim dojdziesz do etapu jednorożca, nie musisz się przejmować smutnymi panami z CIA i sprzętowymi backdoorami wprowadzonymi przez intela czy huaweia.

Zobacz też

Bezpieczeństwo Zarządzanie podatnościami. Nowe podejście do starego problemu IT

Zdjęcie główne artykułu pochodzi z pexels.com.