Una password * aggiuntiva * per tutta l'azienda offre una vera sicurezza?

Funziona contro i robot

Le credenziali secondarie sono utili contro gli attacchi di script non mirati.

Dipende completamente da cosa viene protetto da chi e da cosa. Nella mia esperienza personale come amministratore di sistemi web Linux questo tipo di schema di credenziali secondarie funziona bene per proteggere le note applicazioni Web, come WordPress e altri popolari sistemi basati sul web, da attacchi di scripting automatizzati a forza bruta che sfruttano difetti noti in quei sistemi. p>

Se, ad esempio, hai un gran numero di app Web come WordPress installate su server e non hai il tempo o le risorse per correggere ogni installazione ogni volta che viene rilasciato un aggiornamento, una serie di credenziali secondarie offre alcune informazioni di base livello di protezione oltre le normali raccomandazioni di aggiornamento e patching. Di solito imposto una password di autenticazione di base Apache sugli URL per le centrali di controllo e le schermate di amministrazione su quelle configurazioni e trasferisco semplicemente le credenziali alle parti interessate via email senza preoccupazioni.

I destinatari di quelle credenziali potrebbero pubblicarli ovunque internamente per tutto ciò che mi interessa. Lanciati su un post-it direttamente sulla tua scrivania; Sto bene con quello. Lo scopo principale di questo tipo di configurazione dell'autenticazione base Apache secondaria non è di impedire attacchi mirati da parte di qualcuno come uno stagista o segretario canaglia, ma piuttosto di impedire alle reti bot di scripting senza cervello del mondo di usare i tuoi sistemi per qualsiasi roba che sono progettati iniettare in punti deboli noti su sistemi non aggiornati.

Inutile contro i vivi

Le credenziali secondarie sono assolutamente inutili contro un attacco mirato.

Detto questo, il concetto di un insieme generico di credenziali secondarie combinato con le credenziali personali è assolutamente inutile contro la protezione dei sistemi dagli attacchi mirati per molte delle ragioni sopra esposte. Se qualcuno della tua azienda desidera l'accesso a un sistema protetto con un set secondario di credenziali, può ottenere quella password con poco o nessun sforzo attraverso i banali livelli dell'ingegneria sociale, ad esempio semplicemente girovagando e curiosando tra i banchi dei colleghi.

Passato, diciamo che i sistemi sono presi di mira da un utente malintenzionato da remoto. Penetrazione delle e-mail e qualcuno che fa un dump di -e leggendo-la casella postale di un dipendente alla fine fornirà tutte le informazioni necessarie per accedere a un sistema.

Sarebbe infinitamente meglio utilizzare certificati o dispositivi di autenticazione a due fattori rispetto a una password aziendale.

Il metodo della password aziendale soffre del problema della distribuzione delle chiavi (come lo si ottiene solo ai dipendenti e abbastanza tempestivamente), la gente dimentica o altrimenti la perde e l'ampia distribuzione aumenta notevolmente la probabilità di compromissione. Ti garantisco che diventerà culturalmente inciso per dare la password dell'azienda a quasi chiunque o scriverla su post-it in tutto l'ufficio perché il dolore delle rotazioni è dovuto alle persone con una nuova password che non hanno scelto.

La password aziendale non offrirà molta protezione. Probabilmente cambierà spesso azienda medio / grande. Gli utenti finiranno per scriverli su post-it. E come hai detto, un determinato aggressore non avrà alcun problema a ottenere quella password.

Inoltre, avrai bisogno di un sistema per distribuire in modo sicuro la suddetta password in tutta la tua azienda, che sarà un overhead non trascurabile da prendere in considerazione.

In alternativa, hai pensato all'autorizzazione di 2 fattori? Distribuire una chiave fisica o utilizzare un'app su uno smartphone che genera un token. Quando un dipendente lascia, prende la sua chiave / revoca il suo accesso, tutti gli altri utenti non devono essere influenzati.

Questo sarebbe molto più sicuro di avere una password per tutti e sarebbe indubbiamente più facile da implementare.

In generale è inutile, ma potrebbero essere presenti alcuni vantaggi secondari da considerare.

In qualsiasi scenario di sicurezza come questo, il passo numero uno è sempre per sviluppare il tuo modello di minaccia . Di cosa stanno cercando di difendersi? Script kiddies? Agenzie a tre lettere? Cittadini stranieri che non si fermeranno davanti a nulla per hackerare i tuoi server? Impiegati scontenti? Quanto tempo dovrai difendere contro di loro? Sei preoccupato per una disgraziata "Mi hai fatto incazzare, quindi ti sto per hackerare" o "Sono così infuriato dalla tua compagnia che passerò mesi a pianificare ed eseguire l'attacco perfetto?"

Di solito non lo consiglio, ma in questo caso particolare, potremmo essere in grado di pensare a un modello di minaccia inversa. Possiamo esaminare la sicurezza esistente (utente / pass + accesso) rispetto alla sicurezza desiderata (utente / pass) e determinare quali modelli di minacce potrebbero distinguere tra i due.

In entrambi i casi, un utente malintenzionato deve compromettere l'account di un'altra persona, perché il suo account è stato disabilitato o rimosso. Ottenere il nome utente è sempre facile, quindi la differenza è quanto è difficile ottenere la password di qualcuno oltre al codice di accesso aziendale piuttosto che ottenere la password?

La risposta a questo, poiché tutte le domande di buona sicurezza sono "dipende". Quanto sono bravi i tuoi dipendenti a scegliere le password? Se trovi regolarmente che le persone utilizzano il proprio nome utente o "password1" o il nome del loro cane come password, un codice di accesso aziendale può essere l'unica cosa tra te e un dipendente insoddisfatto che ti sta hackerando! (Ovviamente, implica anche che tu abbia molti altri buchi di sicurezza). D'altra parte, se acquisire la password di qualcuno è ragionevolmente difficile, il codice di accesso non ti comprerà nulla. Un codice di accesso sarebbe dato molto più liberamente di una password, quindi se possono ottenere la password, possono ottenere il codice.

Quindi gli unici modelli di minacce che possono distinguere tra la tua soluzione e la loro sono modelli di minaccia che sono preoccupati per un ex dipendente che può ottenere una password di un'altra persona (qualcosa che siamo addestrati a non mollare in questo giorno ed età) ma per qualche motivo non è possibile ottenere un codice di accesso che sia esplicitamente condiviso tra tutti. È un caso piuttosto degenerato.

Bruce Schneier ama dire "La sicurezza è sempre in equilibrio con l'usabilità". In questo caso, l'usabilità di una password condivisa è terribilmente spaventosa. La sicurezza ottenuta è piuttosto minima, semmai. Il codice di accesso dovrebbe essere considerato come un cattivo commercio di sicurezza e smantellato.

Ci sono due eccezioni a cui posso pensare. Uno è che un codice di accesso aziendale può essere sviluppato come un token per mantenere le persone oneste. Considera il distintivo della polizia. In sè, è solo un pezzo di metallo a forma di scudo. Tuttavia, è un simbolo che ricorda alle persone (civili e di polizia) che stanno accettando una maggiore responsabilità.

L'altro esempio è che ho visto dei laboratori in cui, per motivi di sicurezza, tutti devono essere contrassegnati con il proprio PIN, ma il lettore di badge non è considerato affidabile. Oltre a questo lettore di badge e pin, hanno un lucchetto a combinazione che è fidato. Ogni persona che lavora in laboratorio conosce il codice del lucchetto a combinazione, in modo che possa aprire il laboratorio se è il primo mattino. Una volta aperta la combo e vi è almeno una persona autorizzata, è consentito a tutti utilizzare semplicemente il proprio badge / PIN per comodità. Di notte, il lucchetto a combinazione è bloccato. Se qualcuno viene revocato dall'elenco, deve cambiare la combinazione, perché era la parte del sistema che è "trusted".