¿Puedo usar la autenticación de 2 factores para las cuentas compartidas?

5

¿Es posible usar SecurID 2FA para cuentas compartidas de alto privilegio? Actualmente estoy utilizando CyberArk para guardar contraseñas para cuentas privilegiadas. cuando compruebo una contraseña, me gustaría asegurarme de que esta cuenta tiene que estar 2FA al punto final. El problema que veo es que todos mis administradores comparten estas cuentas. Para mí, eso significa que también tienen que compartir un token. Esto no es posible porque se distribuyen en todo el país y, de todos modos, es una mala práctica. ¿Se pueden asignar sus tokens individuales a otras cuentas abovedadas de modo que puedan 2FA a los puntos finales? ¿Hay alguna otra solución?

    
pregunta user2219930 01.04.2014 - 19:51
fuente

2 respuestas

7

Las cuentas compartidas son en sí mismas una mala práctica, porque no se puede saber quién está haciendo el acceso. Cada "administrador" debe tener su propia cuenta, a la que le otorgaría privilegios de administrador.

2FA trata sobre el uso simultáneo de dos métodos de autenticación, trabajando en dos categorías distintas. Las categorías son: "algo que sabes", "algo que tienes" y "algo que eres". Conocimiento se puede compartir (es decir, dos personas diferentes pueden saber la misma contraseña, una mala práctica, como dije anteriormente, pero aún así es posible). Los otros dos factores están intrínsecamente ligados a los individuos físicos; por ejemplo, si usa un token físico ("algo que usted posee"), entonces ese token puede estar en manos de una sola persona a la vez, que es todo el punto.

Por lo tanto, si utiliza dos factores de autenticación, al menos uno de ellos no se puede compartir. De ello se deduce que 2FA es intrínsecamente incompatible, a nivel conceptual, con una cuenta compartida. La consecuencia es que si logra tener una cuenta compartida, entonces no está usando 2FA (puede obtener una imitación de plástico barata de 2FA, pero no la real).

No uses cuentas compartidas. Las cuentas compartidas son malas.

    
respondido por el Tom Leek 01.04.2014 - 20:04
fuente
4

Independientemente de si se trata de una "mala práctica", es totalmente posible compartir un "secreto compartido" TOTP (cadena o código QR) en el momento de su creación, momento en el que puede tener múltiples dispositivos OTP virtuales que generarán lo mismo. códigos.

    
respondido por el Andy Grimm 17.11.2016 - 16:33
fuente

Lea otras preguntas en las etiquetas