Si las cuentas de servicio se configuran para que nunca se bloqueen

6

Últimamente he estado en una discusión con nuestro equipo de seguridad y quiero obtener una respuesta de este grupo.

Actualmente, nuestra política de seguridad establece que las cuentas de dominio se bloquearán después de 5 intentos fallidos. Esto se aplica a todas las cuentas de dominio, incluidas las cuentas de servicio. Para que quede claro, me refiero a una cuenta de servicio como una cuenta utilizada por las aplicaciones para autenticar y "ejecutar" como ese usuario.

Veo un gran problema al permitir el bloqueo de las cuentas de servicio, crea un DoS fácil para ese servicio. Cualquier empleado deshonesto que conozca la cuenta, simplemente puede fallar en 5 intentos de inicio de sesión y el servicio se detendrá ya que ya no puede comunicarse con las bases de datos y otros servidores. He bloqueado las cuentas que configuran un nuevo servidor y tengo un espacio adicional al final de la contraseña.

Pregunto, dados los riesgos, ¿por qué debería permitirse el bloqueo de la cuenta de servicio después de x número de inicios de sesión fallidos?

    
pregunta Brettski 14.04.2014 - 19:49
fuente

2 respuestas

8

El bloqueo automático es un mecanismo de defensa contra ataques de diccionario en línea : el atacante quiere probar contraseñas potenciales, repetidamente, hasta que encuentre la correcta. El bloqueo después de 5 intentos evita que el ataque realmente funcione.

Esto tiene sentido solo si la contraseña es vulnerable a un ataque de diccionario, es decir, si la contraseña se generó en la privacidad de un cerebro humano. Tales entidades biológicas simplemente no son buenas para ser aleatorias. Por lo tanto, las contraseñas elegidas por los humanos no son seguras y requieren protección adicional.

Una cuenta de

servicio no debe tener una contraseña débil, elegida por un humano. Tal contraseña se ingresa solo durante las fases de configuración, por los administradores, quienes no tendrán que recordarla. Una contraseña de la cuenta de servicio se debe generar con una computadora y ser completamente aleatoria. Con 16 caracteres aleatorios (letras mayúsculas y minúsculas, dígitos y un par de signos de puntuación), tendrá 96 bits de entropía, mucho más que suficiente para resistir los ataques de diccionario. Este es el tipo de contraseña que deben tener sus cuentas de servicio. Si usa tales contraseñas, el bloqueo automático se vuelve inútil y puede desactivarlo, ya que (como descubrió) tiene algunos efectos secundarios inconvenientes.

Para generar una contraseña aleatoria de este tipo, use la siguiente línea de comandos en cualquier máquina Linux:

(dd if=/dev/urandom bs=12 count=1 2>/dev/null) | openssl base64 -a -e

En Windows, usa PowerShell:

$rng = New-Object System.Security.Cryptography.RNGCryptoServiceProvider
$buf = New-Object byte[] 12
$rng.GetBytes($buf)
[System.Convert]::ToBase64String($buf)
    
respondido por el Tom Leek 14.04.2014 - 20:04
fuente
0

Creo que los beneficios superan la irritación de que un usuario se bloquee. Sí, un empleado malintencionado puede hacer lo mismo, pero ahora tiene un problema que puede manejar. Necesitas encontrar a este empleado deshonesto y darle una buena charla. Eso es mucho mejor que la bruta de empleados deshonestos forzando contraseñas débiles. Si tiene un problema con estar bloqueado con 5 intentos, empújelo a 10. El número es lo suficientemente bajo como para que no beneficie a los brutos forzando mucho.

    
respondido por el Krtko 14.04.2014 - 19:57
fuente

Lea otras preguntas en las etiquetas