(2FA = autenticación de dos factores, para aquellos que simplemente están sintonizando)
Me preguntaba si alguien está utilizando Kerberos para su solución 2FA en su CDE para el cumplimiento de PCI DSS.
Kerberos es un mecanismo de autenticación más comúnmente utilizado para otorgar acceso basado en credenciales de contraseña. Como tal, no proporciona 2FA; proporciona 1FA. He visto utilizar Kerberos como 1FA en entornos CDE.
Hay sistemas 2FA que incorporan Kerberos, como RedHat's Identity Management , pero en esos casos Kerberos se usa para" algo que usted sabe "y está pegado a" algo que tiene "(Software o Hardware OTP) usando LDAP y posiblemente RADIUS. Y el MIT parece tener integrado Duo OTP más directamente con Kerberos, en algunos costos de soporte al cliente .
Entonces, Kerberos puede ser parte de una solución 2FA válida para su CDE, pero en general solo proporciona un factor, por lo que se requiere un levantamiento adicional.
Además, ¿qué dice PCI DSS sobre SSO una vez que se ha producido 2FA a través de Radius Server?
El DSS no aborda el inicio de sesión único per se , sin embargo, sí establece:
La autenticación multifactor se puede realizar ya sea en autenticación a la red particular o al componente del sistema.
(DSS 3.2 sección 8.3)
No soy un QSA, pero creo que se podría argumentar legítimamente que ese lenguaje podría usarse para argumentar que no se requiere 2FA en el inicio de sesión de cada componente del sistema, siempre que se use para el inicio de sesión inicial La red CDE. Lo que quiere decir que el DSS no parece prohibir el SSO cuando requiere 2FA.
Lea otras preguntas en las etiquetas multi-factor pci-dss sso kerberos