Política de cambio de PIN para RSA SecurID

Question

Política de cambio de PIN para RSA SecurID

#1 de Nalaurien (1 votos)

1

Mi empresa permite el acceso remoto con autenticación que incluye:

nombre de usuario
contraseña / frase (20+ caracteres)
usuario seleccionado PIN + RSA SecurID código de token

Se requiere que nuestras contraseñas se cambien cada 6 semanas y, por supuesto, el token de SecurID cambia cada 60 segundos.

Recientemente, la política ha sido modificada ligeramente, lo que requiere que se cambie el PIN cada 12 meses (anteriormente no había requisitos para cambiar el PIN). No puedo ver personalmente cómo esto aumenta la seguridad, pero no soy un experto.

¿Qué beneficio de seguridad ofrece una política de cambio de PIN como esta y, más específicamente (si es posible), qué amenaza / ataque se mitiga con esto?

authentication password-policy corporate-policy rsa multi-factor

pregunta Sam 07.06.2017 - 00:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication password-policy corporate-policy rsa multi-factor

Bloquear ventana emergente usando código Javascript msfvenom error de codificación de caracteres incompatibles

score 1 · Answer 1

En realidad, si su entorno ya emplea una contraseña de más de 20 caracteres, este PIN está "duplicándose" en esto. Los tokens RSA generalmente se implementan como una solución integral. Inicia sesión con tu nombre de usuario, conoces la contraseña y tienes el token (que da un código). La trinidad de quién eres, algo que sabes, algo que tienes.

Tienes la capa adicional de una contraseña segura que es más fuerte que el pin utilizado para el token.

Quiero decir, ¿me corrige si me equivoco? pero creo que lo único contra lo que se protege en estas condiciones son las claves perdidas o las antiguas que se desconocen por algún motivo. También es un proceso de final de vida que es automático, ya que las llaves que tienen más de un año simplemente no serán útiles para nadie en el camino.

Algunos de los administradores de sistemas más paranoicos podrían pensar que si un atacante obtiene una clave y sabe de quién es, podría ser un riesgo para siempre, ya que todo lo que tienen que hacer es averiguar el resto de los detalles, sin tener un final a la vista. ese sistema le da al atacante tiempo ilimitado, en teoría, para hacer el reconocimiento. Esta regla proporcionaría una restricción de un año para descubrir el resto de los detalles requeridos. Una especie de recolección automática de basura, por así decirlo. Pero eso es lo único en lo que puedo pensar aquí.