¿Hay alguna razón para no hacer esto?
Sí, pienso en dos razones para no hacerlo:
- El usuario puede ingresar erróneamente su contraseña de acceso completo en una máquina comprometida.
- Una vez que un usuario ingresa su contraseña de acceso inferior en una máquina comprometida, ahora el atacante potencialmente conoce un nombre de usuario y puede intentar forzar la otra contraseña. Esto le da al atacante (algo) más información que si no supiera el nombre de usuario de una cuenta de acceso completo.
Dicho esto, lo que ha propuesto es probablemente mejor que no cambiar nada y hacer que los usuarios inicien sesión con acceso completo en máquinas potencialmente comprometidas.
Otra cosa que vale la pena considerar es tener múltiples usuarios con diferentes permisos en lugar de múltiples contraseñas para el mismo usuario. Es solo un poco mejor, ya que los usuarios podrían iniciar sesión con el nombre de usuario incorrecto, aunque es probable que esto suceda un poco menos en comparación con la escritura de nombre de usuario- [pestaña] -pasion- [ingresar] memoria muscular. Sin embargo, resuelve el problema n. ° 2 y también es más fácil administrar un usuario separado si la cuenta necesita ser deshabilitada o si desea hacer un seguimiento de los inicios de sesión.
Otros aspectos a tener en cuenta: no permitir que los usuarios de acceso total inicien sesión fuera de una red / VPN en particular, solo permiten inicios de sesión de acceso completo en computadoras previamente registradas (con 2FA por única vez), o requieren 2FA por cada inicio de sesión para (al menos ) usuarios de acceso completo.
Quizás la mejor solución es nunca usar máquinas que no sean de confianza. Haga que sus usuarios traigan su propia computadora portátil y siempre utilicen HTTPS. O incluso podrían usar su propio punto de acceso móvil si la red tampoco es confiable.