¿Existe algún riesgo de seguridad al permitir que las cuentas compartidas ingresen al sitio web?

Navega tus respuestas
1

¿Cuáles son los riesgos de seguridad de alentar, respaldar y permitir inicios de sesión compartidos en nuestro sitio web (nombre de usuario / contraseña)?

Esta función permitiría que algunos usuarios, que normalmente trabajan para la misma organización, utilicen un solo inicio de sesión en el sitio web y realicen las mismas funciones que el inicio de sesión sin más información de identificación.

Varios usuarios y algunas de las partes interesadas de la empresa nos piden que apoyemos y fomentemos el inicio de sesión compartido en uno de nuestros nuevos sitios web. No tengo idea de por qué están pidiendo esto todavía. El sitio web no tiene nada que ver con la industria de la salud y no se rastreará información financiera en él.

Inmediatamente tengo algunos problemas de arquitectura y UX que tengo con esta "característica", pero estoy buscando cualquier riesgo / preocupación de seguridad para hacer una copia de seguridad de mis otras quejas.

    
pregunta GER 31.01.2017 - 13:39
fuente

3 respuestas

4

Preocupaciones con respecto a las cuentas compartidas:

  1. La pista de auditoría se convierte en un problema, ya que no hay una pista de auditoría válida posible. Cuando la pista de auditoría no está correctamente colocada, la responsabilidad se convierte en un problema.

  2. La pérdida de credenciales para usuarios no autorizados aumenta significativamente.

  3. Una vez que se comprometa una cuenta, el impacto es alto ya que muchos usuarios comparten la misma cuenta.

  4. Las políticas de contraseña ya no se aplican. Cambiar las contraseñas regularmente ya no es una opción viable. Si la contraseña se cambia regularmente, ¿cómo se comunica la nueva contraseña a todos sus usuarios?

Probablemente uno podría tener algunas preocupaciones más aquí. El hecho de que no entiendas por qué te hacen esta pregunta es interesante para mí.

Aparentemente tienen un problema y creen que ya tienen la mejor solución para este problema y le piden que lo implemente de esta manera.

Yo personalmente volvería a ellos y trataré de determinar el problema. Una vez que se determina el problema, se podría considerar una solución adecuada y segura.

    
respondido por el Jeroen - IT Nerdbox 31.01.2017 - 13:59
fuente
1

El problema con los inicios de sesión compartidos es que no permiten que un ser humano autenticado sea responsable de cualquier cosa que se haga bajo su cuenta a menos que él pueda demostrar que no lo está.

Si esto es útil en su caso de uso, no puedo decir. Solo sé que la falta de responsabilidad se considera una mala práctica de seguridad, y las cuentas individuales son la regla en la actualidad.

Históricamente, una cuenta era de hecho un rol y todos los usuarios con el mismo rol compartían la misma cuenta. Luego, debido a la responsabilidad, se recomienda que la seguridad tenga cuentas individuales que comparten roles. Esa es una pregunta educativa, y es más difícil cuando varios usuarios comparten el mismo rol y las mismas máquinas: lo más simple desde su punto de vista es que se usa un solo inicio de sesión y el que está frente a la máquina hace el trabajo. Pero es imposible, en caso de un problema, identificar quién es responsable de él.

Sin hablar del problema de cambiar la contraseña de una cuenta compartida ...

    
respondido por el Serge Ballesta 31.01.2017 - 14:02
fuente
1

Hay algunas buenas razones enumeradas en las otras respuestas. Aquí hay otro:

Cuando alguien abandone su empresa (lo que sucederá , tarde o temprano), deberá cambiar la contraseña de todos para eliminar el acceso a esa. persona.

Esto a menudo termina siendo tan doloroso que las empresas no lo hacen en absoluto, lo que significa que los empleados anteriores continúan teniendo acceso. Un ejemplo reciente es los tuits que critican a Trump de la cuenta de Twitter del Parque Nacional Badlands .

    
respondido por el Xiong Chiamiov 31.01.2017 - 16:52
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna desventaja real para una parte clave que firma? Hash de contraseña usando funciones hash