La política de mi compañía dice que debo poner todas las contraseñas en una contraseña segura compartida con la administración. ¿Es esto seguro?

Ninguna de las razones que ha dado son razones válidas para el depósito de su contraseña de su . Solo hay un par de razones válidas para depositar cualquier tipo de información de "autenticador". Un par más han tocado esto, pero intentaré aclarar un poco.

1. Claves de cifrado: Es absolutamente lógico que la organización tenga acceso a las copias en custodia de sus claves de cifrado. Después de todo, los datos que está cifrando (siempre que solo esté utilizando el cifrado de su empresa para fines de trabajo) son sus datos al final de todos modos. Por lo tanto, deben conservar el acceso a esos datos en caso de que pierda su clave o se encuentre separado de la empresa. Sin embargo, la clave de cifrado no debe ser la misma clave que usa para las firmas digitales . Además, no deben tener acceso real a su autenticador , el código de acceso que usa para la clave. En su lugar, deberían tener su propia clave de depósito que funciona con su autenticador para descifrar sus datos.

2. Cuentas a prueba de fallos: También tiene sentido que la organización tenga copias de seguridad de las credenciales necesarias para acceder a una cuenta de nivel de administrador en caso de que la cuenta del administrador del sistema esté bloqueada, o salen de la empresa. Sin embargo, las credenciales deben no ser para la cuenta del administrador del sistema. Deben ser para una cuenta del sistema local cuyo único propósito es el uso de emergencia. Con ese fin, la cuenta también debe nunca usarse para situaciones que no sean de emergencia y su uso debe ser supervisado y alertado de cerca. Tradicionalmente, las credenciales para cuentas como estas se sellan en sobres a prueba de falsificaciones y se almacenan en una bóveda física segura. Es concebible que pueda haber equivalentes digitales, pero personalmente no confiaría en aquellos sin una revisión exhaustiva.

Hay dos grandes razones por las que es una mala idea para la administración tener su contraseña. La primera razón es potencialmente muy mala para usted, ya que podría ocasionar un trabajo innecesario si las cosas salen mal. Sin embargo, el segundo realmente da vuelta esto y lo hace potencialmente peor para la compañía que para ti si las cosas salen mal en realmente .

1. Potencial de abuso: El más obvio: los gerentes ahora tienen un acceso sin restricciones a los sistemas, independientemente de si deberían, con los mismos privilegios que usted tiene. Más simplemente, esto significa que los gerentes pueden aprovechar esto para hacer cosas en el sistema que de otra manera no deberían estar haciendo. Esto también deja el potencial para que eviten su posición cada vez que quieran acelerar un cambio en particular sin seguir el procedimiento estándar.

2. Pérdida de no repudio: Una vez que alguien más tenga sus credenciales, y, especialmente en un caso como este donde se puede demostrar que sí, pueden hacerse pasar por usted en cualquier sistema donde esas credenciales son validas Esto hace que sea difícil probar de manera definitiva que cualquier acción realizada por su cuenta fue realmente realizada por usted. Si un administrador decide usar su cuenta, y termina arruinando el sistema, no será muy fácil usarlo como chivo expiatorio a pesar de que su cuenta esté en los registros. Lo peor para la empresa es que si usted hace algo para estropear el sistema mientras sus administradores tienen su contraseña, les será más difícil demostrar que era en realidad usted eso lo hizo.

TL; DR: No hay una buena razón para que la administración tenga alguna de sus contraseñas . En cuanto a las razones que han dado:

1. "Si olvida su contraseña ..." otro administrador del sistema puede restablecerla por usted. O, la administración puede "romper el vidrio" en la cuenta de emergencia (consulte "Cuentas a prueba de fallos" más arriba) y hacerlo ellos mismos.
2. "Si te vuelves malvado ..." de nuevo, otro administrador del sistema o la cuenta de emergencia te pueden bloquear.

La primera razón (devolverle su contraseña en caso de que la haya olvidado) es bastante débil: si olvidó su contraseña, entonces no es una buena contraseña, y tendría más sentido permitirle restablecerla al elegir una nueva contraseña. La segunda razón es totalmente falsa: si no pueden "bloquearte" sin conocer tu contraseña, deberían disparar su administrador de sistemas lo antes posible. Él no sabe cómo hacer clic derecho.

Lo más probable es que sus gerentes quieran tener la sensación de estar en control y, de hecho, administrar a muy corta distancia. Posiblemente, es posible que solo quieran evitar que los empleados usen malas palabras como contraseñas porque podría ofender a alguna deidad en algún lugar. De cualquier manera, esto no resalta la competencia de quien haya creado esa política de seguridad de una manera muy positiva.

Editar: sin embargo, la política tendría algún sentido para las contraseñas que se utilizan para el cifrado, por ejemplo. Cuando protege un archivo Zip con una contraseña. Ese tipo de contraseña no se puede restablecer, y perder la contraseña (si la olvida o queda "no disponible" debido a que fue golpeado por un bus) implica perder los datos. En ese caso, guardar la contraseña tiene sentido. Pero para una contraseña de autenticación , no, esa es una política estúpida.

No, no es una buena idea. Thomas explicó por qué no logra sus propios objetivos, pero es peor que eso.

Considere lo que sucede cuando un empleado deshonesto se comporta mal y causa daños a la empresa.

Durante la prueba, se le solicita una citación para declarar sobre los registros que muestran que fue el empleado el que causó el daño, y se le pregunta quién más podría iniciar sesión como este empleado. Responde sinceramente que cualquier persona con acceso a la caja de seguridad, incluida toda la administración, podría iniciar sesión, ya que ese empleado y sus sistemas de registro no serían lo más inteligente.

Cualquier cosa que difumine la distinción entre actor y credenciales de autenticación socava seriamente la capacidad de la compañía de usar el registro de acceso para desalentar el mal comportamiento o recuperar daños.

Los gerentes a menudo entregan contraseñas a los subordinados cuando un sistema IBAC no puede manejar explícitamente la delegación, pero esto es lo contrario de ese caso, donde el desenfoque afecta las credenciales del grupo mucho mayor de empleados de nivel inferior.

Esté de acuerdo con @Thomas Pornin en el "factor del bus", pero hay una cosa más a tener en cuenta: es probable que el "seguro en línea" no sea realmente seguro. Tiene sentido poner las contraseñas por escrito en una sola bóveda física y mantenerlas allí para que, en caso de emergencia, la bóveda pueda abrirse con la autorización expresa de la administración.

Dependiendo de los tipos de información a los que sus credenciales le brindan acceso, su tipo de organización (financiera, de atención médica) o su ubicación, puede haber regulaciones (por ejemplo, GLBA para banca, HIPAA para atención médica) vigentes que no requieren que nadie tenga tus credenciales.

Por ejemplo, MA 201 CMR 17 (http://www.mass.gov/ocabr/docs/idtheft/201cmr1700reg.pdf) requiere que, si tiene acceso a cierta información confidencial sobre un residente de MA, tenga un nombre único. Identificación y contraseña para acceder a esos datos: "¿Asigna identificaciones únicas más contraseñas (que no son contraseñas predeterminadas suministradas por el proveedor) a cada persona con acceso a computadoras, y esas identificaciones y contraseñas están diseñadas de manera razonable para mantener la seguridad de esos controles de acceso?"

HIPAA 164.308 (a) (5) (ii) (D): Cada usuario tiene un identificador único (es decir, ID de usuario y contraseña) al acceder a su computadora, software de EHR o cualquier otro sistema o recurso.

El segundo requisito es completamente falso como se indica. No se requiere el conocimiento de la contraseña para revocar el privilegio de un empleado / administrador.

El primer requisito es válido, pero discutiría dos cosas con tu jefe: 1) La compañía debe firmar una renuncia legal que lo exime de cualquier delito o infracción civil que resulte del uso de su inicio de sesión. Ya que han requerido que se comparta su inicio de sesión, deben reconocer que no se puede responsabilizar a su jefe de navegar por sitios de pornografía infantil con su contraseña.

2) El problema del descubrimiento planteado por @Mike Samuel. Si hay algún descubrimiento legal en contra de su compañía, su jefe podría estar completamente equivocado. (y podría indicar que existe una relación con el número 1: si lo demandan o lo acusan por cualquier delito relacionado con su inicio de sesión, su abogado se verá obligado a emitir una solicitud de descubrimiento).

La custodia de contraseñas de baja tecnología es una práctica relativamente normal en mi industria. Agregamos "A prueba de manipulación / A prueba de manipulación / A prueba de manipulación" a los requisitos establecidos para proteger ambos lados.

Escriba la contraseña (para un solo sistema) en una hoja de papel. Doblarlo y sellarlo en un sobre opaco de negocios. Selle el sobre, firme a través del límite. Ahora aplique la cinta sobre la firma y el límite.

Repita esto para cada sistema.

Ahora inserte todos los sobres en un sobre grande de manilla. Selle el sobre. Usted y su jefe firman / refrendan a través del sello.

Almacena eso en la caja fuerte. Esto significa que la empresa está protegida contra el factor de bus.

Escriba la política / procedimientos para abrir ese sobre y usar la contraseña.

Verifique periódicamente que el sobre no esté abierto (frex, cuando realice el cambio de contraseña normal)

Cuando creamos un ID de usuario y lo adjuntamos a un propietario, se convierte inherentemente en propiedad de un empleado [no por supuesto propiedad personal;)] que es responsable y es responsable de todas las acciones / actividades realizadas bajo esa cuenta hasta que lo sea empleado con la empresa.

En general, la Política de contraseñas de todas las compañías [excepto algunas como la suya] sugiere 'No compartir' las credenciales de acceso con cualquiera.

En caso de que tenga que hacerlo, debe declararlo como un usuario compartido / genérico ['con derechos de administrador' en su caso] indicando que ha compartido las credenciales de acceso con Mr.x / Team x y aunque está seguro. Bóveda, pero se puede acceder si es necesario por ellos.

Mi sugerencia para usted es seguir adelante y darles lo que necesitan y escribir un correo electrónico a su administrador, a su administrador y a Password Safety Vault Manager [la persona responsable de llevar un libro de registro cuando acceda a la caja fuerte de seguridad de contraseñas] indicando que está listo con la Envolvente de contraseña [fírmelo en la solapa del sello] y que pueden mantenerlo seguro en la bóveda.

Saludos