¿Una contraseña * adicional * para toda la empresa ofrece alguna seguridad real?

Funciona contra robots

Las credenciales secundarias son útiles contra ataques de scripts no dirigidos.

Depende completamente de lo que se protege de quién y de qué. En mi experiencia personal como administrador de sistemas web de Linux, este tipo de esquema de credencial secundario funciona bien para proteger aplicaciones web conocidas, como WordPress y otros sistemas populares basados en la web, contra ataques de scripting automatizado de fuerza bruta que explotan fallas conocidas en esos sistemas.

Si, por ejemplo, tiene una gran cantidad de aplicaciones web como WordPress instaladas en servidores y simplemente no tiene el tiempo ni los recursos para parchear cada instalación cada vez que se lanza una actualización, un conjunto de credenciales secundarias ofrece algunas funciones básicas. Nivel de protección más allá de las recomendaciones de parches y actualizaciones normales. Por lo general, configuro una contraseña de autenticación básica de Apache en las URL de los paneles de control y las pantallas de administración en esas configuraciones y solo paso las credenciales a las partes relevantes por correo electrónico sin preocuparse.

Los destinatarios de esas credenciales podrían publicarlas en cualquier lugar de manera interna para todo lo que me importa. Tíralo en un Post-It directamente sobre tu escritorio; Estoy bien con eso. El propósito principal de este tipo de configuración secundaria de autenticación básica de Apache no es evitar los ataques dirigidos de alguien como un interno o secretario deshonesto, sino simplemente detener los robots de redes de escritura sin escrúpulos del mundo para que utilicen sus sistemas para cualquier basura que estén diseñados. para inyectar en debilidades conocidas en sistemas no parcheados.

Inútil contra los vivos

Las credenciales secundarias son completamente inútiles contra un ataque dirigido.

Dicho esto, el concepto de un conjunto genérico de credenciales secundarias combinadas con credenciales personales es completamente inútil en contra de proteger los sistemas de ataques dirigidos por muchas de las razones descritas anteriormente. Si alguien en su empresa quiere acceder a un sistema protegido con un conjunto secundario de credenciales, puede obtener esa contraseña con poco o ningún esfuerzo a través de niveles triviales de ingeniería social, como simplemente caminar y husmear en los escritorios de los compañeros de trabajo.

Más allá de eso, digamos que los sistemas son atacados por un atacante de forma remota. La penetración del correo electrónico y el hecho de que alguien haga un volcado y lea el buzón de un empleado eventualmente proporcionará toda la información que uno necesita para acceder a un sistema.

Estaría infinitamente mejor usando certificados o dispositivos de autenticación de dos factores que una contraseña de toda la compañía.

El método de la contraseña de la empresa adolece del problema de la distribución de claves (cómo lo hace solo para los empleados, y lo suficientemente oportuno), las personas que lo olvidan o lo pierden, y una amplia distribución que aumenta considerablemente la posibilidad de compromiso. Le garantizo que se grabará culturalmente para otorgar la contraseña de esa empresa a casi cualquier persona o escribirla en notas de correos en toda la oficina, ya que el dolor de las rotaciones recae en las personas con una nueva contraseña que no eligieron.

La contraseña de toda la empresa no ofrece mucha protección. Probablemente lo cambiará a menudo mediano / grande. Los usuarios terminarán escribiéndolos en post-it. Y como dijiste, un atacante determinado no tendrá ningún problema para obtener esa contraseña.

Además, necesitará un sistema para distribuir de forma segura dicha contraseña en toda su empresa, lo que supondrá una sobrecarga que no debe descuidarse.

Como alternativa, ¿has pensado en autenticación de 2 factores? Distribuya una clave física o use una aplicación en un teléfono inteligente que genere un token. Cuando un empleado se retira, toma su llave / revoca su acceso, todos los demás usuarios no tienen que verse afectados.

Esto sería considerablemente más seguro que tener una contraseña para todos y, sin duda, sería más fácil de implementar.

En general, es inútil, pero puede haber algunas ventajas extrañas a considerar.

En cualquier escenario de seguridad como este, el paso número uno es siempre para desarrollar su modelo de amenaza . ¿Contra qué intentan defenderse? ¿Script para niños? ¿Tres agencias de cartas? ¿Los extranjeros que no se detendrán ante nada para hackear sus servidores? ¿Empleados descontentos? ¿Cuánto tiempo necesitarás para defenderte contra ellos? ¿Está preocupado por un insensato? "Me molestó mucho, así que voy a piratearlo" o un "Estoy tan enfurecido por su compañía que pasaré meses planeando y ejecutando el ataque perfecto?"

Por lo general no recomiendo esto, pero en este caso particular, podemos pensar en un modelo de amenaza inversa. Podemos ver la seguridad existente (usuario / paso + acceso) frente a la seguridad deseada (usuario / pase) y determinar qué modelos de amenaza podrían distinguir entre los dos.

En ambos casos, un atacante debe comprometer la cuenta de otra persona, porque su propia cuenta fue desactivada o eliminada. Obtener el nombre de usuario siempre es fácil, por lo que la diferencia es lo difícil que es obtener la contraseña de alguien más el código de acceso de la empresa en lugar de obtener la contraseña.

La respuesta a esto, ya que todas las buenas preguntas de seguridad es "depende". ¿Qué tan buenos son sus empleados en la selección de contraseñas? Si encuentra que las personas usan su propio nombre de usuario o "password1" o el nombre de su perro como contraseña, ¡un código de acceso de la empresa puede ser lo único entre usted y un empleado descontento que lo está pirateando! (por supuesto, también implica que tienes muchos otros agujeros de seguridad). Por otro lado, si adquirir la contraseña de alguien es razonablemente difícil, el código de acceso no le comprará nada. Un código de acceso se daría mucho más libremente que una contraseña, por lo que si pueden obtener la contraseña, podrán obtener el código.

Por lo tanto, los únicos modelos de amenaza que pueden distinguir entre su solución y la suya son los modelos de amenaza que están preocupados por un exempleado que puede obtener una contraseña de otro empleado (algo que estamos capacitados para no rendirnos en este día y edad) pero, por alguna razón, no podemos obtener un código de acceso que se comparte explícitamente entre todos. Es un caso bastante degenerado.

A Bruce Schneier le encanta decir "La seguridad siempre está en equilibrio con la facilidad de uso". En este caso, la utilidad de una contraseña compartida es muy mala. La seguridad obtenida es bastante mínima, en todo caso. El código de acceso debe considerarse como una mala operación de seguridad y desmantelarse.

Hay dos excepciones que se me ocurren. Una es que un código de acceso de la compañía puede ser desarrollado como un token para mantener a las personas honestas. Considere la insignia de la policía. En sí, es solo un trozo de metal en forma de escudo. Sin embargo, es un símbolo que recuerda a las personas (civiles y policías por igual) que están aceptando una mayor responsabilidad.

El otro ejemplo es que he visto laboratorios en los que, por razones de seguridad, todo el mundo debe usar su propio PIN, pero no se puede confiar en el lector de la insignia por sí solo. Además de este lector de credenciales y el pin, tienen un bloqueo de combinación en el que se confía . Todas las personas que trabajan en el laboratorio conocen el código de la cerradura de combinación, de modo que pueden abrir el laboratorio si son las primeras de la mañana. Una vez que se abre el combo, y hay al menos 1 persona autorizada allí, todos pueden usar su credencial / PIN para su comodidad. Por la noche, la cerradura de combinación está bloqueada. Si alguien es revocado de la lista, debe cambiar la combinación, porque era la parte del sistema que es "confiable".