¿Existe una ventaja o riesgo de seguridad al eliminar las cuentas de usuario deshabilitadas?

En general, siempre es mejor reducir la superficie de ataque. Ningún sistema es perfecto y su protocolo de desactivación no será una excepción debido al error humano tanto programático como potencial.

Riesgo 1: supongamos que todas las cuentas de empleados terminados se desactivaron correctamente, por ejemplo, modificando su función en la tabla de empleados en la base de datos (o sin embargo, están almacenadas). En este escenario hipotético, su cuenta de administrador ha sido comprometida. Un atacante inteligente puede usar la cuenta de administrador para volver a habilitar la cuenta de un empleado finalizado y usar esa cuenta para llevar a cabo actividades maliciosas en el sistema. Al hacerlo, es menos probable que sean descubiertos por los sistemas de detección de intrusos (es decir, el administrador siempre ha iniciado sesión desde Texas, EE. UU. ¿Pero, de repente, el administrador está en Brasil?). Esto podría aumentar la superficie de ataque y potencialmente dar más poder al atacante. Nunca es algo bueno.

Riesgo 2: existe error humano. ¿Qué sucede si un día desactiva accidentalmente una cuenta de empleados aún válida y escribe Alex en lugar de Alexander cuando desea volver a activar y ahora vuelve a activar una cuenta de empleados cancelada? O tal vez ni siquiera quiso reactivar una cuenta, pero un día, cuando su computadora estuvo congelada y enojado enviaba correo no deseado haciendo clic en cualquier cosa para obtener una respuesta, ¿hizo clic en la bandera de reactivación?

Ambos casos son poco probables, pero ¿por qué correr el riesgo?

A menos que su sistema tenga la necesidad de un registro de auditoría sofisticado que se base en las cuentas que aún existen en el sistema para funcionar (es decir, hace más que solo imprimir el nombre del usuario y la acción para iniciar sesión, sino que aún tiene acceso activo a la información de los usuarios), hay No hay una buena razón para dejar esta información en tu sistema.

Siempre verifico después de dejar una empresa (mientras trabajaba como cooperativa en el pasado, frecuentemente pasaba ráfagas de tiempo en varias empresas) si todavía puedo iniciar sesión en mis cuentas y la mayoría de las veces, de una forma u otra , Yo podría.

Siempre errar en el lado de la seguridad cibernética.

En primer lugar, no me gusta usar el término "abordar un riesgo" porque hay palabras más precisas que "dirección". Sé que es un término de uso común en la gestión de riesgos, pero creo que es probable que se malinterprete, así que preferiría evitarlo.

De todos modos, no existe ningún riesgo de seguridad al eliminar las direcciones de una cuenta deshabilitada. Sin embargo, creo que estás haciendo la pregunta incorrecta.

Depende de lo que quieras decir con "una cuenta deshabilitada".

Una cuenta deshabilitada puede ser tan simple como una fila en una base de datos con 2 columnas, una clave principal ID de usuario que es un número entero y una enumeración está deshabilitada que se establece a "VERDADERO". ¿Eliminar una cuenta deshabilitada aborda un riesgo? No creo que lo haga.

Pero en el otro extremo del espectro, la cuenta deshabilitada podría contener números de tarjetas de crédito, contraseñas no cifradas, foto de la licencia de conducir, número de seguro social, etc., junto con no habilitado configurado en "VERDADERO".

¿Qué es exactamente una "cuenta deshabilitada" en su escenario?

En general, recomendaría no eliminar nunca las cuentas deshabilitadas y considerar eliminar la información confidencial en el momento de "deshabilitar" la cuenta. Entonces, si un usuario desactiva y luego reactiva su cuenta, tendrá que volver a agregar números de tarjeta, volver a verificar su número de teléfono, etc. Entonces, básicamente, establecer todas las banderas en sus posiciones predeterminadas y mantener solo información no confidencial.

Mantener las cuentas deshabilitadas tiene valor. Tiene un registro completo de cuántos usuarios se han registrado y puede considerar conservar parte de su información para diversos fines. Si un usuario se registra, verifica su número de teléfono, su sistema lo coloca en una lista negra / prohibido, desactiva su cuenta (y su sistema de "desactivación" elimina su número de teléfono o elimina toda su fila, incluido el número de teléfono), entonces pueden firmar vuelva a subir con otra dirección de correo electrónico, vuelva a activar su número de teléfono y, posiblemente, evite la lista negra (si su lista negra es una columna está prohibida).

Definitivamente, mantenga sus cuentas deshabilitadas, solo asegúrese de considerar eliminar la información confidencial de ellas, especialmente el tipo de información que los usuarios esperan que elimine y que posiblemente no pueda usar con buenos fines.

La primera pregunta es: ¿qué tan confiable es su procedimiento de desactivación? (Si la respuesta es "100%", sugeriría que es muy probable que no sea honesto consigo mismo). Eliminar las cuentas no utilizadas ayuda a garantizar que los empleados despedidos, incluso si su cuenta no se desactiva, aún se eliminen del sistema en cuestión . Y asegurarse de que los antiguos empleados no continúen teniendo acceso es una buena práctica de seguridad.

En teoría, una cuenta bloqueada no debería presentar mucho riesgo. Si alguien reactiva una cuenta deshabilitada, ya está en su red con credenciales de administrador. Pero todavía sería bueno no darles espacio adicional para jugar. Supongamos que esta infracción ocurrió. A continuación, deberá revisar todos los empleados despedidos y asegurarse de que sus cuentas se hayan desactivado todas para asegurarse de que los malos no vuelvan a entrar por la puerta trasera que han activado / creado. Además, reducir las cuentas deshabilitadas reduce la superficie de ataque potencial.

En un entorno validado, esas cuentas deben mantenerse para fines de documentación y auditoría. Allí tiene sentido moverlos a una unidad organizativa "deshabilitada" y ejecutar un cheque contra ellos todas las noches para asegurarse de que no se reactiven de alguna manera.

TL / DR: a menos que haya una buena razón para mantener estas cuentas cerca, tiene más sentido eliminarlas.

¿De qué cuentas de usuario están hablando?

Un ejemplo sencillo donde debe guardarlas: Cuentas en su servidor Unix.

Si no mantiene la cuenta, no podrá atribuir los archivos que encuentre en algún lugar si pertenecen a un usuario eliminado. Cuando la identificación del usuario (la numérica, no el nombre) recibe una nueva cuenta, el nuevo usuario podrá acceder a los archivos restantes de la anterior.

La mayoría de las respuestas se centran en el aspecto de la seguridad de esta pregunta, por lo que consideramos que este sitio se centra en la seguridad. Pero hay otro aspecto a este, que son los problemas legales que vienen con la retención de datos que no necesita.

Dejar las cuentas que ya no se usan, deja toneladas de datos no utilizados y probablemente no regulados. Esto no solo aumenta el atractivo del sistema como objetivo, sino que también permite a la empresa / propietario del software tener algunos problemas legales importantes según el país. Si alguien filtró o vendió datos a los que tuvo acceso, la compañía es responsable (en la mayoría de los países) de los datos de cada cuenta filtrada donde se registraron datos confidenciales.

La seguridad no debe incluir solo la prevención, sino también la mitigación y el control de daños. Incluso si la compañía está completamente cubierta con respecto a la ley cuando se trata de violaciones de datos y fugas, hacer que el sistema sea lo menos atractivo posible es definitivamente una buena práctica. Cualquiera que esté considerando seriamente atacar un sistema para obtener ganancias maliciosas, seleccionará objetivos basándose en una proporción de [Datos obtenidos: Tiempo / esfuerzo requerido]. Minimizar la cantidad de datos en un sistema es mucho más fácil que aumentar exponencialmente la dificultad para un atacante.