¿Se debe permitir que los usuarios reutilicen / recilen las mismas credenciales de inicio de sesión en una red para diferentes sistemas?

1

¿Se debería permitir a los usuarios reutilizar / reciclar las mismas credenciales de inicio de sesión en una red para diferentes sistemas? ¿Debería esto ser rechazado / desalentado, o son mínimas las implicaciones de seguridad? Si está mal visto, ¿deberían ser únicos los nombres de usuario y las contraseñas, o está reutilizando los nombres de usuario, está bien?

(Esta es una extensión de una pregunta anterior: Hace ¿La longitud / complejidad / singularidad del nombre de usuario tienen un impacto positivo en la seguridad? )

    
pregunta user389823 08.04.2016 - 16:53
fuente

2 respuestas

1

Cuando se trata de nombres de usuario, generalmente es mejor mantenerlos igual. Lo bueno de esto es que facilita la terminación de la cuenta cuando un usuario ya no debería tener acceso. Si todos los usuarios tienen diferentes nombres de usuario para diferentes sistemas, sería un gran trabajo averiguar qué cuentas que pertenecen a un usuario que está dejando de trabajar y hay un alto riesgo de que haya cuentas restantes.

Tenga en cuenta que estoy hablando de la reutilización del nombre de usuario, no la reutilización de la contraseña.

Ahora a hablar de la reutilización de la contraseña: Y ahora, a los conceptos básicos de cuándo puede ser aceptable o no la reutilización de la contraseña.

Yo diría que depende de las circunstancias. Le sugiero que considere cuidadosamente "¿Qué sucede si se filtra este nombre de usuario / contraseña"? Si el impacto de filtrar una sola contraseña que va a los dos sistemas en cuestión, sería similar al impacto de una sola contraseña, diría, no hay peligro en permitir la reutilización de credenciales aquí.

Por ejemplo: una cuenta de usuario en una computadora + una cuenta de correo electrónico en las mismas instalaciones. Eso no sería tan importante si estos son idénticos, porque si usted como atacante carece de la contraseña del correo electrónico, normalmente podría acceder a la caché / base de datos del cliente de correo y recibir los correos electrónicos de esa manera, y el contenido del correo electrónico es normalmente más sensible que solo el acceso de un usuario local, por lo que incluso al revés del impacto sería insignificante al permitir la reutilización de credenciales aquí.

Una cosa que debe tener en cuenta además de esto, es que cierto software puede contener vulnerabilidades que permitirían a un adversario descubrir la contraseña.

Un ejemplo: un software de contabilidad puede almacenar el dato de usuario como texto sin formato en el disco duro. Si luego se hace la reutilización de las credenciales, un adversario puede obtener fácilmente las contraseñas de otros usuarios.

La mejor manera de hacer esto es zonificar todo en diferentes zonas de seguridad, en función de sus capacidades y riesgos de seguridad.

Bajo: Los softwares que no están bien hechos pueden contener vulnerabilidades. Cuentas que no tienen una gran importancia de proteger. También las cuentas en la nube o los servicios web externos se incluyen en esta categoría, ya que no puede conocer el nivel de seguridad del servicio web en cuestión. Sin embargo, los servicios web bien hechos, como las cuentas de la empresa para Google y las cuentas internas de los servicios externos bien hechos para administrar los activos de la compañía, deben clasificarse en la zona "Media".

Medio: cuentas de usuario locales para usuarios normales. Inicie sesión en sistemas y software que estén bien hechos por un proveedor de confianza, y puede estar seguro de que el software no está hecho de manera imprudente. Las cuentas de usuarios locales que pertenecen a servicios externos que pertenecen a la compañía (por ejemplo, las cuentas de Google Apps, las cuentas de creación en el blog de la compañía, etc.) también deben incluirse en esta categoría de medio.

Alto: cuentas de administrador. Contraseñas utilizadas para cifrar datos. Cuentas muy importantes. Cuentas Phone-in / VPN / RDP (acceso remoto).

Y luego asegúrese de que las contraseñas no se reutilicen a través de las zonas. Las contraseñas dentro de una zona es una buena idea para volver a utilizarlas para evitar el "cansancio de las contraseñas" que, en su lugar, provocaría la eliminación de las contraseñas.

En este sistema de zonificación, un usuario normal solo tendría que recordar 2 contraseñas internas de la empresa, y los administradores tendrían que recordar 3 contraseñas internas de la empresa.

    
respondido por el sebastian nielsen 10.04.2016 - 03:29
fuente
1

Realmente depende de la situación. Si utiliza la autenticación de radio y se conecta nuevamente a su infraestructura de AD y la utiliza dentro de su entorno de enrutamiento y conmutación, por ejemplo, para obtener acceso a la CLI, entonces está bien. Sin embargo esto es solo porque el radio es un servicio aaa. Si utiliza el mismo usuario y contraseña para crear cambios de nivel de administrador de dominio, es muy malo y no es una buena práctica de ninguna manera. En general, nunca debe permitir que las contraseñas sean reutilizadas, incluso si se trata de 6 meses en el futuro. Los nombres de usuario en el mundo de Windows AD normalmente tienen que ser reutilizados. Sin embargo, la contraseña como mencioné anteriormente nunca debe ser rechazada, ya que se vuelven más inseguras con el tiempo.

    
respondido por el DeadPixel 09.04.2016 - 07:49
fuente

Lea otras preguntas en las etiquetas