为了治理公司公共利用账号,差点手搓一个阅读器
一、任何一个公司都存在公共账号
任何一个公司都存在或多或少的公共账号,或者喊做共享账号,定义就是一个系统,有限个账号,多小我利用。原因多种多样,好比常见的一些自媒体号(知乎号、抖音号、百家号等等)用于企业日常的鼓吹运营,那些平台企业只能注册一个账号,而那一个账号老板要利用、多个运营人员也要利用。又好比雇用网站(BOSS 曲聘、拉钩、猎聘等等)的治理员账号,往往也是利用公司特有的德律风号码或者公共邮箱注册,然后给多小我共享利用。
二、所谓的公共账号,就是账号密码都公开利用
账号共用,其实是个挺“可怕”的工作,举个极端的例子,你能想象把你的微信账号共享给他人一路利用吗。当然企业维度的账号共享问题,倒不是微信那种小我隐私的顾忌,次要是在治理成本和数据平安和其它风险角度的考虑。我们按上图的示意,假设几种可能发作的情状:
员工 A 去职后会发作什么
治理员连夜修改知乎的账号密码,然后给员工B和C发送新的账号密码。
展开全文
员工 A 转岗
治理员连夜修改知乎的账号密码,然后给员工B和C发送新的账号密码。
知乎密码发作了不明原因的泄露
治理员连夜修改知乎的账号密码,然后给员工A、B和C发送新的账号密码。
我们可以看到,任何人员和系统账密的变更,治理员就要反复更改密码、公示密码。那我们假设系统数量和员工数量都不竭上涨的时候,治理员会是个若何的心如死灰。
三、数据平安怎么会容许账号密码漫天飞
上面讲的治理员的问题,是大大都企业都在履历的痛苦挣扎,各人看到的是治理的复杂度或者说喊做运营成本,但假设移出“数据平安”的白,那么那一切都不该该存在。因为只要有一个员工有意或无意地泄露了密码,而公司其它人都无所知的情状下,治理员的所有操做都变得白搭而没有意义。那,就是老板给我的的看似不成能完成的使命。
老板:你,往处理公司账号共用的问题,不要让各人都晓得密码,别的公司要降本增效,那件事没有太多预算,你本身看着办!
我:......好的老板(你是老板你说什么就是什么咯)
四、思如泉涌之密码治理软件
接到使命,我第一个想到的就是密码治理软件,不就是账号密码治理嘛。那不是一大堆东西,行业内做得比力好而平安的我起首想到的是 1Password 和 Lastpass,归正有免费版本注册了先试用看看,假设能称心需求,再想想看能不克不及搭建开源的版本,不花钱,老板必定要夸奖我的,想想都高兴。
试用下来,那些密码治理东西确实比如今公司内部人工治理有很大优势:
都有企业版本,能够便利治理员往共享账号给员工,不消在拉群或者私聊给每个员工发账号了。
有必然账号利用情状的治理和视图。
能够设置很复杂的密码,不消担忧简单密码被破解。
员工不需要记忆账号密码,抉择登录就行。
有那么多优势,员工和治理员都受益,但是却有个致命的数据平安问题,那就是“每小我都晓得密码”,能够通过账号治理软件内部,或者插件,或者阅读器开发者形式,随便的就能拿到密码。老板要求的不克不及各人都晓得密码的底线要求,最末只能弃用那种计划。
五、思如泉涌之本身实现密码治理软件
其实上面密码治理软件的构想是没有问题的,只是他们无法处理隐躲密码的问题,我只要沿着那个构想处理那个问题就好了。那我倒不如找个开源的密码治理软件,简单修改做到不让密码可见不就好了!
颠末一番比照,我抉择了难度相对合适的项目 bitwarden 。我预备读读里面的源码,把界面上能展现密码的处所给禁用掉,当然也包罗其它能把密码拷贝出来的功用。
就在我一腔热血读源码的时候,突然一个念头闪过,如遭雷劈!即便我实现了密码治理软件的密码不成见,在系统登录页面,通过阅读器的开发者形式修改密码框属性不是也能拿到密码吗?
六、思如泉涌之本身实现阅读器
其实上面自建密码治理软件的构想是没有问题的,只是无法处理阅读器的密码屏障问题,我只要沿着那个构想处理那个问题就好了。那我倒不如找个开源阅读器,简单修改做到不让密码可见不就好了!好比禁用开发者形式,想想都冲动,我实是个天才。
于是,我下载了 chromium 的源码,预备大干一场。当我看到 20G 的 chromium 源码的目次,且搭建编译情况的设置装备摆设反常复杂的时候,于是,我舍弃了......
七、思如泉涌之找个第三方的办公平安阅读器
其实上面自建阅读器的构想是没有问题的,只是我舍弃了,我只要沿着那个构想处理能禁用阅读器开发者形式的问题就好了。
于是,我起头搜刮第三方办公平安阅读器,竟然都能称心那个平安管控的要求。好比 360 的平安阅读器、奇安信的平安阅读器 ,还有个数影的办公平安阅读器(不测发现,也是救赎之路)。那些平安阅读器都能禁用开发者形式,以至还包罗长途调试形式等我未曾想到过的破绽。
从官方介绍上来看,似乎都能称心需求,遗憾的是只要数影星球那一家是撑持间接注册试用的,于是我马不断蹄要往验证一下。那就让我发现欣喜了!
7.1 通过阅读器再也看不到密码
通过阅读器能够拿到密码的体例也有多种,好比通过网页源代码、通过开发者形式修改密码框属性,那些都能够通过平安阅读器战略往禁用。不外那些高级平安功用默认不开放的,需要官网联络客服停止试用开通。
翻开开发者形式,将密码框类型属性从password修改为text,就能够间接展现密码了。
7.2 利用账号治理
我本来的目标是找个能够禁用开发者形式的阅读器,然后共同本身革新过的开源账号治理软件,实现公司公共账号的平安治理。但是让我意想不到的是,数影办公阅读器已经自带了企业级此外账号分配治理才能(不是阅读器那种简单记住密码功用),那让我也省了本身实现账密治理软件的费事,其实是不测之喜。
7.3 网站本身也有展现密码的功用
本来密码治理那事其实没那么简单,还有良多我之前都没有想到过的情状,好比下面那种系统自己就供给了展现密码的功用,又让密码表露无遗了。那也算是欣喜发现之二了,数影那个东西其实是考虑得挺周全,它自己就已经兼容了那种场景,用数影翻开系统就会发现,如许的小眼睛功用已经被主动往除了,那个必需点赞。
7.4 手机验证码动态登岸
账号密码登岸是我们习认为常的,但是如今确实越来越多的利用起头只撑持手灵活态验证码登录,那种情状下前面所说的所有计划都起不了感化了。我抱着试一试的心态联络了官方客服才发现,那又是另一个高级功用,如今贸易化产物套路也确实挺深的,都是一点一点功用给你。没有往申请开通,从官方回答的计划来讲确实是行之有效,其实就是公司内部配一个专属的手机,在手机里内置短信转发的APP,把短信转发到阅读器对应的员工通知里就行了,手艺实现是不难的,我们目前还没有那种场景,也就没有亲身往验证了。
7.5 动态二维码
和短信验证码类似,有些系统在 PC 端只撑持其手机 APP 扫码登录,如许的利用比力少,我们也还没碰着,要处理那类问题,其原理和短信的转发一样,不外手艺难度要大得多。
想起最后诡计本身革新个密码治理软件和阅读器,其实是想得过于简单了。
本文转载自知乎,做者:无形大象;转载目标在于传递更多信息,若有侵权,请私信联络。