Sichere Passwortgenerierung für Dienstkonten

Sichere Passwortgenerierung für Dienstkonten

Dienstkonten authentifizieren automatisierte Prozesse -- CI/CD-Pipelines, Datenbankverbindungen, Microservice-zu-Microservice-Aufrufe. Ihre Anmeldeinformationen benötigen grundlegend andere Regeln als menschliche Passwörter.

Anforderungen: Hohe Entropie, keine Merkfähigkeit

Menschliche Passwörter balancieren Sicherheit mit Merkfähigkeit. Dienstkonten haben keine solche Einschränkung. Ziel:

Generieren Sie auf der Kommandozeile:

# 32 zufällige Bytes → 64-Zeichen-Hex-String (~128 Bit Entropie)
openssl rand -hex 32
# Ausgabe: a3f7b2c1d4e5f60789ab01cd23ef45...

# 32 zufällige Bytes → 43-Zeichen-Base64-String
openssl rand -base64 32
# Ausgabe: o/ez7LHk5fYHirsBzSPvRQ4m...

# /dev/urandom-Alternative
head -c 32 /dev/urandom | xxd -p -c 64

Oder verwenden Sie den Passwort-Generator mit maximaler Länge und allen aktivierten Zeichentypen für eine schnelle Generierung.

API-Schlüssel vs. Passwort vs. Token

Speicherung: Nie im Code

Anmeldeinformationen im Quellcode werden offengelegt. Punkt.

# SCHLECHT -- im Git-Commit
DB_PASSWORD="supersecret123"

# GUT -- zur Laufzeit injiziert
export DB_PASSWORD=$(aws secretsmanager get-secret-value \
  --secret-id prod/db/password \
  --query 'SecretString' --output text)

Verwenden Sie einen Secrets-Manager:

Automatisierte Rotation

Manuelle Rotation passiert nicht. Automatisieren Sie es:

AWS Secrets Manager unterstützt dies nativ mit Lambda-Rotationsfunktionen. Vault erledigt dies mit dynamischen Secrets -- Anmeldeinformationen werden auf Anfrage generiert und automatisch abgelaufen.

Git-Schutz

# .gitignore
.env
.env.*
*.pem
*.key

# Pre-Commit-Hook: Scannt nach Secrets
# Verwenden Sie gitleaks, truffleHog oder git-secrets
gitleaks detect --source . --verbose

Verwandte Themen

Naechster Schritt

Fuehre den Workflow direkt in Password Generator aus und speichere die Baseline.