Gli account di servizio devono essere impostati per non bloccarsi mai

6

Recentemente ho partecipato a una discussione con il nostro team di sicurezza e voglio ottenere una risposta da questo gruppo.

Attualmente la nostra politica di sicurezza dichiara che gli account di dominio verranno bloccati dopo 5 tentativi falliti. Questo vale per tutti gli account di dominio, inclusi gli account di servizio. Per essere chiari, mi riferisco a un account di servizio come account utilizzato dalle applicazioni per autenticarsi e "eseguire" come tale utente.

Vedo un grosso problema nel consentire il blocco degli account di servizio, crea un DoS facile per quel servizio. Qualsiasi dipendente canaglia che conosce l'account, può semplicemente fallire 5 tentativi di accesso e il servizio si interromperà poiché non può più comunicare con i database e altri server. Ho bloccato gli account creando un nuovo server e avendo uno spazio extra alla fine della password.

Chiedo, dati i rischi, perché dovrebbe essere consentito bloccare l'account di servizio dopo il numero x di accessi non riusciti?

    
posta Brettski 14.04.2014 - 19:49
fonte

2 risposte

8

Il blocco automatico è un meccanismo di difesa contro attacchi dizionario online : l'attaccante vuole provare potenziali password, ripetutamente, finché non trova quello giusto. Il blocco dopo 5 tentativi impedisce che l'attacco funzioni effettivamente.

Questo ha senso solo se la password è vulnerabile ad un attacco di dizionario, cioè se la password è stata generata nella privacy di un cervello umano. Tali entità biologiche semplicemente non sono buone per essere casuali. Quindi le password scelte dall'uomo non sono forti e richiedono una protezione extra.

Un account servizio non dovrebbe avere una password debole, scelta da un essere umano. Tale password viene inserita solo durante le fasi di configurazione, dagli amministratori, che non devono ricordarlo. Una password dell'account di servizio dovrebbe essere generata con un computer ed essere fatalmente casuale. Con 16 caratteri casuali (lettere maiuscole e minuscole, cifre e un paio di segni di punteggiatura), avrai 96 bit di entropia, molto più che sufficienti per resistere agli attacchi del dizionario. Questo è il tipo di password che dovrebbe avere il tuo account di servizio. Se usi queste password, il blocco automatico diventa inutile e puoi disattivarlo, poiché (come hai scoperto) ha alcuni effetti collaterali non convenienti.

Per generare una password casuale, utilizzare la seguente riga di comando su qualsiasi macchina Linux:

(dd if=/dev/urandom bs=12 count=1 2>/dev/null) | openssl base64 -a -e

Su Windows, usa PowerShell:

$rng = New-Object System.Security.Cryptography.RNGCryptoServiceProvider
$buf = New-Object byte[] 12
$rng.GetBytes($buf)
[System.Convert]::ToBase64String($buf)
    
risposta data 14.04.2014 - 20:04
fonte
0

Penso che i benefici superino l'irritazione di un utente che viene bloccato. Sì, un dipendente canaglia ti può fare, ma ora hai un problema che puoi gestire. Devi trovare questo dipendente canaglia e fargli una bella chiacchierata. Questo è molto meglio del bruto dipendente furioso che costringe password deboli. Se stai riscontrando un problema con il blocco di 5 tentativi, spingilo a 10. Il numero è abbastanza basso da non doverlo trarre in inganno.

    
risposta data 14.04.2014 - 19:57
fonte

Leggi altre domande sui tag