Безопасное создание паролей для учетных записей служб

Генерация паролей для сервисных аккаунтов

Сервисные аккаунты аутентифицируют автоматизированные процессы -- CI/CD-пайплайны, коннекторы баз данных, межсервисные вызовы. Их учётные данные требуют принципиально других правил, чем пароли для людей.

Требования: максимальная энтропия, без запоминаемости

Человеческие пароли балансируют между безопасностью и запоминаемостью. У сервисных аккаунтов такого ограничения нет. Целевые параметры:

Генерация из командной строки:

# 32 случайных байта → 64-символьная hex-строка (~128 бит энтропии)
openssl rand -hex 32
# вывод: a3f7b2c1d4e5f60789ab01cd23ef45...

# 32 случайных байта → 43-символьная Base64-строка
openssl rand -base64 32
# вывод: o/ez7LHk5fYHirsBzSPvRQ4m...

# Альтернатива через /dev/urandom
head -c 32 /dev/urandom | xxd -p -c 64

Или используйте Генератор паролей с максимальной длиной и всеми типами символов.

API-ключ vs пароль vs токен

Хранение: никогда в коде

Учётные данные в исходном коде рано или поздно утекают. Точка.

# ПЛОХО -- закоммичено в git
DB_PASSWORD="supersecret123"

# ХОРОШО -- инжектируется в рантайме
export DB_PASSWORD=$(aws secretsmanager get-secret-value \
  --secret-id prod/db/password \
  --query 'SecretString' --output text)

Используйте менеджер секретов:

Автоматическая ротация

Ручная ротация не происходит. Автоматизируйте:

AWS Secrets Manager поддерживает это нативно через Lambda rotation functions. Vault делает это с помощью динамических секретов -- учётные данные генерируются по запросу и истекают автоматически.

Защита от попадания в Git

# .gitignore
.env
.env.*
*.pem
*.key

# Pre-commit hook: сканирование секретов
# Используйте gitleaks, truffleHog или git-secrets
gitleaks detect --source . --verbose

Связанные материалы