¿Qué implementaciones son posibles para el control dual?

Un enfoque es usar contraseñas temporales y una aplicación de administración de contraseñas. El proceso podría funcionar como:

1. Un administrador envía una solicitud de acceso a un servidor para una ventana de tiempo específica
2. Un administrador independiente aprueba esta solicitud
3. Con la solicitud aprobada, desde el inicio de la ventana de tiempo, el primer administrador ahora puede acceder a una contraseña temporal para el servidor
4. El administrador inicia sesión normalmente, usando la contraseña temporal
5. Al final de la ventana de tiempo, la contraseña temporal se restablece automáticamente a un nuevo valor

He visto sistemas como este, pero todos utilizaron algunos scripts a medida, basados en un sistema de gestión de solicitudes existente. No sé dónde pueda descargar una aplicación de este tipo.

Por supuesto, una vez que el administrador tiene la contraseña temporal, tiene acceso con una sola mano al servidor. Si necesita la regla de dos hombres todo el camino, que debe haber dos administradores sentados en una computadora para realizar el trabajo, este enfoque no funcionará.

Una variante de esto que he visto es que el personal de operaciones posee un token de ID seguro. Cuando el administrador necesita iniciar sesión en el servidor, proporciona una contraseña (que solo ellos saben) y también llama al departamento de operaciones para obtener el código del token de identificación seguro. No estoy convencido de que este acuerdo sea una buena idea, pero se acostumbra.

Dos personas con la misma contraseña (cada una sabe un medio) no es una buena idea desde el punto de vista de la seguridad, ya que cada una tendrá conocimiento de la contraseña. Esto rompería a la mitad sus posibilidades de adivinar la otra mitad con ataques conocidos (fuerza bruta, diccionario, ...).

Sugeriría El intercambio secreto de Shamir . Cada persona tendría una contraseña y solo al combinarlos se generaría un secreto compartido. Ambas contraseñas tienen que cambiarse cada vez que se usan con dificultad.

Además de la mención de @ rda en Shamir Secret Sharing o la idea de @ paj28 de un mecanismo de autorización fuera de banda, también puede considerar una solución mucho más simple, que no requiere mucha codificación o configuración:

Use la autenticación de 2 factores, lo que le da a cada persona un factor diferente.
P.ej. le das un token de hardware a uno y una contraseña al otro. La ventaja de esta solución es que se puede aplicar directamente incluso al acceso de Windows de manera bastante simple. La debilidad, por supuesto, es la misma que usar un solo factor en cualquier lugar: un token de hardware sin contraseña es generalmente trivial para ser robado. Para contrarrestar esto, todavía debería haber otro factor, por ejemplo, hay algunos tokens que requieren un PIN (aparte de la contraseña del sistema operativo).
Otra solución similar es que una tenga la contraseña del sistema operativo, la otra tenga la clave física (o biométrica) para ingresar al centro de datos donde se encuentra el servidor. O uno tiene la contraseña, el otro está permitido a través del firewall. O usuario de sistema operativo vs usuario de la aplicación (y verifique que coincidan).

La mayoría de estos son bastante sencillos de configurar, pero posiblemente no tan fuertes o tan estrictos como Shamir. Realmente depende del escenario específico y de los requisitos y restricciones que tenga.