¿Cuándo es aceptable una contraseña de grupo para un círculo cerrado de usuarios?

Navega tus respuestas
2

Estoy desarrollando una herramienta para una empresa, que toma algunos datos técnicos y crea informes en PDF.

En la herramienta tiene varios campos de texto, que se rellenan con la base de datos. Si el usuario lo desea, puede cambiar el contenido de los campos de texto. Al final, presiona un botón y algunos informes se crean, archivan y envían al cliente.

Mi jefe hizo la propuesta de usar solo una contraseña de grupo para todos, para que cada usuario de la herramienta sepa la contraseña y simplemente tenga que ingresar su propio nombre de usuario.

Me abstuve de esto y le dije que esto sería conveniente, pero inseguro principalmente por el robo de identidad: alguien puede simplemente ingresar otro nombre de usuario que el suyo e ingresar los campos de texto sin sentido, que se envían al cliente, imprima un informe 300 veces, cree el informe 500 veces, etc.

Discutimos esto un poco más y, después de que se dio cuenta, un atacante podría hacer algún daño, al menos a la reputación, tratamos de encontrar un escenario en el que esa contraseña de grupo fuera aceptable.

Esto me dio curiosidad: ¿existen entornos o situaciones en los que una contraseña de grupo de este tipo sería aceptable? ¿O siempre será derribado con el argumento de "robo de identidad"?

    
pregunta hamena314 10.03.2016 - 11:39
fuente

2 respuestas

1
  

Esto me dio curiosidad: ¿existen entornos o situaciones en los que una contraseña de grupo de este tipo sería aceptable? ¿O siempre será derribado con el argumento de "robo de identidad"?

Sí, siempre lo derribaré con el argumento de la suplantación de identidad.

El segundo argumento en contra es: ¿Qué sucede si se debe revocar el acceso para un usuario? Necesitaría cambiar la contraseña para todos, lo cual es un inconveniente.

Entonces, ¿cuándo es aceptable tener una contraseña de grupo? Yo diría cuando:

  • las acciones no tienen que estar vinculadas a un usuario específico. Idealmente, esto significa que no hay usuarios en absoluto (alternativamente, puede intentar vincular a los usuarios a acciones de diferentes maneras, por ejemplo, direcciones IP, etc., pero esto será más difícil). De lo contrario, tendrá problemas cuando suceda algo malo, ya que la culpa se puede cambiar fácilmente. Es posible que haya personas acusando a otros de hacerse pasar por ellos, etc.
  • y no necesita revocar el acceso por usuario o tiene diferentes medios para hacerlo (solo accesible desde la red interna, etc.).
  • y, obviamente, todos los usuarios deben tener exactamente los mismos derechos. De lo contrario, un usuario solo puede obtener los derechos que no debería tener al usar un nombre de usuario diferente.

E incluso entonces, es posible que aún tengas problemas. Por ejemplo, las personas podrían no sentirse tan responsables de una contraseña de grupo como de una contraseña por usuario y, por lo tanto, podrían revelarla más fácilmente, lo que facilitaría los ataques de ingeniería social.

Así que creo que hay muy pocas situaciones en las que esto tenga sentido, e incluso entonces, hay desventajas y muy pocas ventajas (las contraseñas por usuario no son mucho más difíciles de implementar o administrar, especialmente cuando tienes un usuario separado cuentas de todos modos).

    
respondido por el tim 10.03.2016 - 12:32
fuente
2

No es aceptable si desea cumplir con regulaciones como Sarbanes-Oxley (SOX), que, entre otras cosas, obliga a los usuarios individuales a ser fácilmente auditables.

Es justo (en un nivel UNIX o Linux) tener una cuenta de grupo para una aplicación que puede asumir un usuario individual, una vez que haya iniciado sesión (es decir, utilizando sudo su sharedaccount), pero no debería Ser posible iniciar sesión directamente con esa cuenta. De esa manera, todavía es posible ver (a través de los registros del sistema) quién inició sesión, a qué hora y quién asumió los privilegios proporcionados por esa cuenta de usuario compartida.

    
respondido por el Oliver Jones 10.03.2016 - 11:45
fuente

Lea otras preguntas en las etiquetas

Una pregunta sobre el comando arpspoof ¿Dónde encontrar información sobre el historial de vulnerabilidades de las aplicaciones web? [cerrado]