¿Cuál es el peligro real de no poner una contraseña de inicio de sesión en Windows en una empresa pequeña, excepto la de permitir que alguien se ponga físicamente en su computadora?

4

Mi pregunta es simple. Trabajo en una empresa de 10 empleados donde ninguna de nuestras computadoras tiene contraseñas para iniciar sesión en nuestros sistemas Windows. El problema es que mi jefe no quiere contraseñas porque piensa que no tenemos nada que ocultar y también porque son computadoras relacionadas con el trabajo, no computadoras personales.

Pero como informático en esta empresa, tengo un poco de curiosidad por la seguridad aquí. Siempre escuchamos que debe poner una contraseña en nuestras computadoras. Pero ¿qué pasa con una pequeña empresa en la que casi siempre hay alguien en nuestros escritorios para la vigilancia del uso de computadoras por parte de terceros, excepto algunas personas de entrega o clientes que podrían pasar por nuestras computadoras?

Entonces, ¿existe un peligro importante, además de que alguien que acceda físicamente a su computadora, al dejar sus computadoras sin contraseña? Quiero decir, si su puerto SMB está abierto y es vulnerable a Wanna Cry, por ejemplo, no importa si no tiene contraseña, ¿verdad? El gusano aún entrará una vez que tu computadora esté encendida. Si un virus intenta ingresar a su sistema y usted no tiene una contraseña, ¿es más fácil para él elevar sus privilegios a administrador? Si el control de UAC es independiente de su contraseña de Windows, aún tendrá esta protección implementada para frustrar cualquier intento de escalada de privilegios, ¿no?

Gracias

    
pregunta wpadmin 03.07.2018 - 12:43
fuente

3 respuestas

1

En pocas palabras, además del acceso físico y local, no hay más riesgo de no tener una contraseña que tener una. Además, existe el riesgo obvio de que alguien pueda caminar hasta tu computadora e iniciar sesión.

Sin embargo, hay una serie de riesgos que provienen del fraude y la prevención del fraude. Ya que cualquier persona puede acceder a cualquier computadora e iniciar sesión, si ocurriera algo malicioso (y así ocurriera) no tendría forma de demostrar quién era.

EDITAR: si está en Windows 7, puede usar el inicio de sesión automático: enlace

FRAUDE Y PREVENCIÓN DE FRAUDE

Por lo general, una organización tendría controles establecidos para evitar el fraude en primer lugar. La idea es que cuanto más difícil es prevenir el fraude, más improbable será que ocurra. Describiré un escenario aproximado al final si eso ayuda a aclararlo.

Un método de control común son las contraseñas adecuadas, de modo que alguien no pueda acercarse a una computadora, usarla para alguna actividad maliciosa y luego alejarse. Tenga en cuenta que esta persona también puede ser de fuera de la empresa, es decir, podría ser un reparador, podría ser un auditor, un inspector de salud, etc., dependiendo de su línea de trabajo, no solo alguien dentro de la empresa.

ESCENARIO

Una organización no tiene contraseñas en sus computadoras: una empleada, Jane, fue uno de los tres empleados que se retiraron debido a la reducción de la fuerza laboral debido a un recorte presupuestario. Su trabajo consistía en administrar la cuenta de la empresa para realizar compras a nuevos proveedores.

Unas semanas después de que la dejaran ir, su reemplazo notó algunas irregularidades en las cuentas de las que estaba a cargo. Se inició una investigación interna, que encontró que casi $ 5000 se habían perdido en los últimos 18 meses. Se llamó a un auditor externo para evaluar la situación y un investigador de fraudes los adquirió para averiguar qué sucedió.

Descubrieron que la computadora de Janes se usaba para mover el dinero, sin embargo, siempre estaba fuera del horario de oficina. También descubrieron que nadie en la compañía usa contraseñas en ninguna de sus computadoras, lo que significa que podría ser cualquiera que hubiera tenido acceso físico durante esos 18 meses. También descubrieron, a través de una entrevista, que Jane se fue sin problemas, y les dejaron pocas razones para pensar que era ella.

Entonces, ¿quién podría ser?

ESCENARIO 2

Igual que el anterior, excepto que los empleados usan contraseñas -

Descubren que la computadora de Janes se usaba para mover el dinero, y siempre estaba fuera del horario de oficina. Sin embargo, no se utilizaron sus datos de inicio de sesión, sino el gerente de contratación para el piso.

Se inició una investigación y se encontró que tenía algunos problemas en casa con su cónyuge, lo que podría ser un posible motivador.

etc. etc.

El punto es que en cada una de estas situaciones, incluso con el uso de contraseñas, es difícil decir quién cometió el delito. Sin embargo, en el caso del escenario 2, el gerente de contratación tendría que explicar por qué inició sesión con sus detalles fuera del horario normal, o cómo sus credenciales habían sido potencialmente "pirateadas".

Espero que eso aclare un poco las cosas. Puedo expandir más si no.

EDITAR: Solo para agregar desde el punto de @ Sayan, se conoce en seguridad como no repudio, o poder probar que algo sucedió por quién

    
respondido por el Connor J 03.07.2018 - 13:30
fuente
2

Uno de los principales problemas de seguridad sería "No repudio".

El no repudio es la evidencia / seguridad de que alguien no puede negar su acción. Por lo tanto, en su caso, si algo sale mal, puede terminar con una situación en la que no puede realizar ninguna acción.

Porque es posible que no pueda producir evidencia digital para el caso.

Puede consultar el siguiente artículo para obtener más detalles sobre el no repudio: enlace

    
respondido por el Sayan 03.07.2018 - 16:04
fuente
0

Desde el vector de ataque de la red, no lo hace menos seguro.

Pero tengo dos ejemplos de por qué es solo una mala idea. En una de las compañías en las que trabajaba el personal de limpieza usaba la computadora de la recepcionista para mirar pornografía. Cuando llegó al día siguiente, inmediatamente llamó a la policía. Si bien nada en realidad requería la intervención de la policía, fue un día de tiempo perdido.

El siguiente es un ejemplo común de un empleado descontento que causa daños al día siguiente. Y como han dicho otros, ninguna contraseña hace difícil la atribución. Video de piratería interna - enlace

    
respondido por el Joe M 03.07.2018 - 18:02
fuente

Lea otras preguntas en las etiquetas