Generazione di password sicure per gli account di servizio

Generazione di Password Sicure per Account di Servizio

Gli account di servizio autenticano i processi automatizzati -- pipeline CI/CD, connettori di database, chiamate microservizio-microservizio. Le loro credenziali richiedono regole fondamentalmente diverse rispetto alle password umane.

Requisiti: Alta Entropia, Nessuna Memorabilità

Le password umane bilanciano sicurezza e memorabilità. Gli account di servizio non hanno tale vincolo. Obiettivo:

Genera dal comando:

# 32 byte casuali → stringa hex da 64 caratteri (~128 bit di entropia)
openssl rand -hex 32
# output: a3f7b2c1d4e5f60789ab01cd23ef45...

# 32 byte casuali → stringa Base64 da 43 caratteri
openssl rand -base64 32
# output: o/ez7LHk5fYHirsBzSPvRQ4m...

# alternativa /dev/urandom
head -c 32 /dev/urandom | xxd -p -c 64

Oppure utilizza il Generatore di Password con lunghezza massima e tutti i tipi di caratteri abilitati per una generazione rapida.

Chiave API vs Password vs Token

Archiviazione: Mai nel Codice

Le credenziali nel codice sorgente vengono violate. Punto.

# CATTIVO -- impegnato in git
DB_PASSWORD="supersecret123"

# BUONO -- iniettato in fase di esecuzione
export DB_PASSWORD=$(aws secretsmanager get-secret-value \
  --secret-id prod/db/password \
  --query 'SecretString' --output text)

Utilizza un gestore di segreti:

Rotazione Automatica

La rotazione manuale non avviene. Automatizza:

AWS Secrets Manager supporta questo nativamente con le funzioni di rotazione Lambda. Vault lo fa con segreti dinamici -- le credenziali vengono generate su richiesta e scadono automaticamente.

Protezione Git

# .gitignore
.env
.env.*
*.pem
*.key

# Hook pre-commit: scansiona per segreti
# Utilizza gitleaks, truffleHog o git-secrets
gitleaks detect --source . --verbose

Relazioni