En general, es inútil, pero puede haber algunas ventajas extrañas a considerar.
En cualquier escenario de seguridad como este, el paso número uno es siempre para desarrollar su modelo de amenaza . ¿Contra qué intentan defenderse? ¿Script para niños? ¿Tres agencias de cartas? ¿Los extranjeros que no se detendrán ante nada para hackear sus servidores? ¿Empleados descontentos? ¿Cuánto tiempo necesitarás para defenderte contra ellos? ¿Está preocupado por un insensato? "Me molestó mucho, así que voy a piratearlo" o un "Estoy tan enfurecido por su compañía que pasaré meses planeando y ejecutando el ataque perfecto?"
Por lo general no recomiendo esto, pero en este caso particular, podemos pensar en un modelo de amenaza inversa. Podemos ver la seguridad existente (usuario / paso + acceso) frente a la seguridad deseada (usuario / pase) y determinar qué modelos de amenaza podrían distinguir entre los dos.
En ambos casos, un atacante debe comprometer la cuenta de otra persona, porque su propia cuenta fue desactivada o eliminada. Obtener el nombre de usuario siempre es fácil, por lo que la diferencia es lo difícil que es obtener la contraseña de alguien más el código de acceso de la empresa en lugar de obtener la contraseña.
La respuesta a esto, ya que todas las buenas preguntas de seguridad es "depende". ¿Qué tan buenos son sus empleados en la selección de contraseñas? Si encuentra que las personas usan su propio nombre de usuario o "password1" o el nombre de su perro como contraseña, ¡un código de acceso de la empresa puede ser lo único entre usted y un empleado descontento que lo está pirateando! (por supuesto, también implica que tienes muchos otros agujeros de seguridad). Por otro lado, si adquirir la contraseña de alguien es razonablemente difícil, el código de acceso no le comprará nada. Un código de acceso se daría mucho más libremente que una contraseña, por lo que si pueden obtener la contraseña, podrán obtener el código.
Por lo tanto, los únicos modelos de amenaza que pueden distinguir entre su solución y la suya son los modelos de amenaza que están preocupados por un exempleado que puede obtener una contraseña de otro empleado (algo que estamos capacitados para no rendirnos en este día y edad) pero, por alguna razón, no podemos obtener un código de acceso que se comparte explícitamente entre todos. Es un caso bastante degenerado.
A Bruce Schneier le encanta decir "La seguridad siempre está en equilibrio con la facilidad de uso". En este caso, la utilidad de una contraseña compartida es muy mala. La seguridad obtenida es bastante mínima, en todo caso. El código de acceso debe considerarse como una mala operación de seguridad y desmantelarse.
Hay dos excepciones que se me ocurren. Una es que un código de acceso de la compañía puede ser desarrollado como un token para mantener a las personas honestas. Considere la insignia de la policía. En sí, es solo un trozo de metal en forma de escudo. Sin embargo, es un símbolo que recuerda a las personas (civiles y policías por igual) que están aceptando una mayor responsabilidad.
El otro ejemplo es que he visto laboratorios en los que, por razones de seguridad, todo el mundo debe usar su propio PIN, pero no se puede confiar en el lector de la insignia por sí solo. Además de este lector de credenciales y el pin, tienen un bloqueo de combinación en el que se confía . Todas las personas que trabajan en el laboratorio conocen el código de la cerradura de combinación, de modo que pueden abrir el laboratorio si son las primeras de la mañana. Una vez que se abre el combo, y hay al menos 1 persona autorizada allí, todos pueden usar su credencial / PIN para su comodidad. Por la noche, la cerradura de combinación está bloqueada. Si alguien es revocado de la lista, debe cambiar la combinación, porque era la parte del sistema que es "confiable".