Хранение паролей в хэшированном и зашифрованном виде

Зона ответственности: Printum

Коротко: Printum не хранит пользовательские пароли в открытом виде. Для пользовательских учетных записей применяется хэширование с использованием алгоритма PBKDF2. Пароли и секреты, необходимые для интеграции с внешними системами, хранятся в зашифрованном виде с использованием AES.

Требование

Система должна обеспечивать защиту учетных данных пользователей и технических секретов от компрометации при хранении.

Пароли не должны храниться в открытом виде. В случае получения злоумышленником доступа к базе данных или конфигурационным файлам система должна минимизировать риск раскрытия учетных данных пользователей и параметров подключения к внешним системам.

Как это реализовано в Printum

В Printum используются различные механизмы защиты в зависимости от типа учетных данных.

Пользовательские пароли

Пароли пользователей, используемые для входа в систему Printum, не хранятся в открытом виде.

Для хранения пользовательских паролей применяется алгоритм хэширования PBKDF2.

При формировании хэша используются:

уникальная соль для каждого пароля;
многократные итерации вычисления хэша.

В процессе аутентификации пароль пользователя сравнивается с сохраненным хэшированным значением.

Технические пароли и секреты

Для хранения конфиденциальных данных, необходимых для работы системы, используется шифрование.

К таким данным относятся:

пароли доступа к МФУ;
учетные данные для подключения к службам каталогов;
другие параметры интеграции с внешними системами.

Для шифрования используется алгоритм AES в режиме CBC с длиной ключа 128 бит и схемой дополнения PKCS7.

Ограничения и особенности

Для пользователей, аутентифицируемых через LDAP или Active Directory, управление паролями осуществляется соответствующей службой каталогов. В этом случае Printum не хранит пароли доменных пользователей.

В системе используются различные механизмы защиты для разных типов учетных данных:

пользовательские пароли хэшируются;
технические секреты и параметры интеграции шифруются.

Механизмы хранения и обработки учетных данных определяются архитектурой системы и не требуют дополнительной настройки со стороны администратора.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Хранение паролей в хэшированном и зашифрованном виде

Требование

Как это реализовано в Printum

Пользовательские пароли

Технические пароли и секреты

Ограничения и особенности