web-dev-qa-db-ja.com

Google Apps For Business:スプレッドシートを使用してパスワードを追跡しても安全ですか?

Google Apps for Businessは、よくある質問で説明されているように、企業データに対して十分に安全であると想定されています: http://www.google.com/apps/intl/en/business/faq.html

彼らは、「サードパーティによる定期的なセキュリティレビューと独立したサードパーティによるSAS 70監査も受けています。GoogleApps環境のセキュリティは、自社のGoogle企業データを環境。"

したがって、パスワードを追跡するためにGoogleスプレッドシート(​​ビジネス)を使用しても安全でしょうか?

3
coffee-grinder

あなたがそれについて疑問を持っているなら、それは私の意見では通常かなり良い「レッドフラッグ」です。

問題は、セキュリティ関連の情報を保存するために第三者に依存していることです。信頼を破って多くの問題を引き起こすには、あなたの会社とサードパーティの会社の悪い従業員1人が必要です。これが暗号化がとても人気がある理由です。

Googleのシステムを安全に実行し、信頼できる従業員を選択する能力には非常に自信がありますが、事前に自分のシステムでパスワードを暗号化しない限り、システムにパスワードを保存しません(そのように、暗号化されたバージョンの情報のみを取得します)。

また、第三者が顧客データへのフルアクセスを提供するためにGoogleの裁判所命令を取得する可能性も考慮してください。この裁判所命令の性質は、そのようなアクセスも顧客から秘密にされていることです。この場合、Googleは法律を順守する以外に選択肢がなく、最終的に誰が実際にデータにアクセスできるかを実際には知らないと思います。

私の推奨事項:機密情報を保存する必要がない場合は、サードパーティに依存しないでください(必要な場合は、暗号化されたバージョンのデータのみを保存するようにしてください)。

4

私の知る限り、Googleドキュメントはパスワードで保護されていますが、暗号化されていません。つまり、機密データをそこに保存したくないということです。

Passpack に興味があるかもしれません。これは、一元化された暗号化されたパスワード管理が必要な人向けのオンラインサービスです。

(逸話的に、 KeePassDropbox の組み合わせは、私にとって成功したパスワード管理ソリューションです。)

3
goblinbox

パスワードまたは他の種類の機密データを保存するときは常に、暗号化が方程式の一部である必要があります。パスワードのリストをこのような方法で保存したいのはなぜですか?パスワードリストにsqlite3暗号化データベースを使用することを好みますが、パスワードリストはローカルストレージにのみ保持し、暗号化されている限り、データベースエンジンは問題ありません。全社的にアクセスして編集する必要がある場合は、イントラネットサーバー上にある必要があります。

0
MaQleod

簡単に聞こえるつもりはありませんが、スプレッドシート(​​または任意のドキュメント)のようなものにパスワードを保存すると、パスワードの目的が無効になります。セキュリティ用語では、「単一障害点」を作成します。誰かがパスワードスプレッドシートを使用してGoogleドキュメントアカウントにアクセスすると、すべてが危険にさらされます。暗号化されたオンラインのパスワード管理サイトはより良い解決策のように思えるかもしれませんが、サイトへのパスワードを取得してから他のすべてのパスワードを取得するという同じ問題を抱えています。暗号化されているかどうかにかかわらず、どのタイプのパスワードストレージシステムにも同じ問題があります。その1つのパスワードが危険にさらされると、他のすべてのパスワードも危険にさらされます。これはセキュリティを実装する方法ではありません。真剣に、ペン、メモ帳、金庫は、これまでに提案されたものよりも優れた保護であり、犯罪ではありません。

0
Spooky Action

ドキュメントのコンテストをユーザー名とサーバーアドレスのみに制限できます。そして、仲間のチームメンバーに指示して(明らかにこれらの指示をドキュメントに残さないでください)、アドレス、ユーザー名、および単一の安全な合意済みプロジェクトマスターパスワードを PwdHash。 のようなもので実行しますパスワードをプレーンテキストドキュメントに保存するよりもはるかに安全です。

0
Aeyoun