在「Ask HN: How to store and share passwords in a company?」這邊看到的討論串,翻了討論後發現算是在 Hacker News 上面有共識的。
能夠掛上 SSO 管理的儘量用 SSO,不能的就用雲端提供的服務來管理密碼,甚至把 MFA (2FA) 也包進去。這邊常見的選擇有 1Password 或是 LastPass 可以用。
我記得 Okta 也有類似的方案,但以前接觸的時候因為有 minimal order 的問題 (因為是透過業務),不適合小單位,不確定現在有沒有改變...
可以改程式碼的軟體
把服務分成兩種,第一種是程式碼在自己手上的 (自己開發的,或是手上有 source code 類的軟體),這種可以修改程式碼配合的,花時間接到公司的認證系統上面 (最好是 SSO,避免經手密碼,次好是 LDAP/AD)。
無法改程式碼的軟體 (包括外部服務)
另外一種是程式碼不在自己手上的,像是套裝軟體或是雲端服務的,這邊又分成幾種方法處理,一種是 OAuth2 Proxy 這樣的 reverse proxy 軟體,可以在前面擋各家的 SSO (像是常見的 Google 的企業版服務 Google Workspace),然後在兩邊都用 access log 記錄 (記得把 username 一起記起來),算是比較基本的方式。
另外一種情境是雲端服務,像是有些服務不支援多帳號管理,就用上面提到的 Enterprise Password Manager 統一管理密碼,然後搭配 HR 的離職流程在離職時換密碼,另外定時也換密碼。
我記得七八年前在 104 的時候有廠商推銷過可以自動幫你換密碼的方案 (有支援 password changing protocol 的可以直接換,沒有支援的就是模擬瀏覽器用 web scraping 的方法換),但一時間忘記產品名稱了...
附加價值 (?)
另外一種跟密碼管理比較無關,但還是可以提的是,遇到開 SSO 會變得很貴的服務 (也被稱為 SSO tax,像是「The SSO Wall of Shame」這邊列出來的服務),而且不需要分別帳號時,這時候可以拿 Enterprise Password Manager 出來對付...