¿Puedo forzar contraseñas únicas para cuentas de administrador de dominio?

2

Las mejores prácticas dictarían que los administradores del dominio no deberían iniciar sesión como tales para las tareas diarias.

Idealmente, el usuario tendría dos cuentas; Su cuenta "diaria" y su cuenta de administrador de dominio.

¿Cómo se puede asegurar (a través de un control técnico) que Bob no usa la misma contraseña para su cuenta de administrador de dominio que usa para su cuenta diaria?

Para que esto funcione, asumo que sería necesario poder vincular la propiedad de las 2 cuentas a una entidad específica y hacer cumplir la unicidad de contraseña entre esas dos cuentas y esas dos cuentas solamente.

De lo contrario, las personas podrían determinar que otra persona está usando la misma contraseña que ellos si se forzara la unicidad en todas las cuentas.

    
pregunta k1DBLITZ 02.12.2014 - 17:31
fuente

2 respuestas

2

Forzar contraseñas únicas tanto para el administrador del dominio como para la cuenta diaria simplemente haría que las personas las usen como "MyP @ ssw0rd1" para su Daily y "MyP @ ssw0rd2" para el administrador del dominio.

Eso haría que las contraseñas sean fáciles de adivinar de todos modos, sabiendo que la contraseña diaria haría más fácil para un atacante deducir la contraseña del dominio a partir de esto.

El riesgo contra el que desea protegerse es si un software malintencionado o un usuario malintencionado podrían acceder a la cuenta de administrador del dominio al conocer la contraseña de la cuenta diaria.

Para protegerme contra esto, sugeriría usar una solución de token 2FA con tokens OTP. Ya sea sincronizado en tiempo o evento sincronizado. O incluso un Yubikey. Lo bueno de los tokens OTP basados en código o yubikey, es que pueden usarse en sistemas de contraseña heredados simplemente reemplazando el módulo de validación de contraseña con uno que puede validar un código que consiste tanto en una contraseña estática como en una OTP. 2FA solo está habilitado para el administrador de dominio, lo que significa que el token se puede guardar de forma segura en una caja fuerte mientras no se usa.

Otra solución es hacer cumplir una regla de acceso de 2 personas. Simple, tienes 2 administradores de dominio. Un administrador de dominio tiene la mitad de la contraseña que conoce sin que el otro busque, luego el otro administrador de dominios ingresa otra mitad que él conoce, sin buscar el administrador. Entonces, ambas personas deben venir al unísono para acceder a la cuenta del administrador del dominio, lo que aumenta la trazabilidad pero también la seguridad, ya que necesitaría conocer ambas mitades de contraseña, por lo que incluso si ambos administradores establecen sus mitades en su contraseña diaria, la seguridad no se verá comprometida.

    
respondido por el sebastian nielsen 02.12.2014 - 22:10
fuente
1

Supongo que estamos discutiendo Windows Active Directory dentro de un dominio.

Por lo que sé, no creo que sea posible aplicar contraseñas únicas entre dos cuentas separadas relacionadas con el mismo usuario final utilizando métodos estándar de implementación de contraseñas.

Usted PUEDE, sin embargo, utilizar un software de terceros para administrar las cuentas de administrador y cambiar la contraseña a una generación aleatoria adecuadamente difícil. (Esto no evita que lo cambien a lo que quieran más adelante, ya que son administradores de dominio ... ¡pero funciona muy bien para los administradores locales!)

    
respondido por el Desthro 02.12.2014 - 18:05
fuente

Lea otras preguntas en las etiquetas