Posso usare l'autenticazione a 2 fattori per gli account condivisi?

Question

Posso usare l'autenticazione a 2 fattori per gli account condivisi?

#1 da (7 voti)
#2 da (4 voti)

5

È possibile utilizzare SecurID 2FA per account condivisi con privilegi elevati? Attualmente sto usando CyberArk per classificare le password per gli account con privilegi. quando eseguo il checkout di una password, desidero assicurarmi che questo account sia impostato su 2FA sull'endpoint. il problema che vedo è che tutti i miei amministratori condividono questi account. Per me significa che devono anche condividere un token. questo non è possibile, perché sono distribuiti in tutto il paese e comunque una cattiva pratica. I loro token individuali possono essere associati ad altri account blindati in modo che possano essere 2FA sugli endpoint? c'è qualche altra soluzione?

authentication privileged-account

posta user2219930 01.04.2014 - 19:51

fonte

2 risposte

Leggi altre domande sui tag authentication privileged-account

Forza l'autenticazione cert del client SSL / TLS anche se il server non lo richiede? Single File Encryption in un ambiente Windows

score 7 · Answer 1

Gli account condivisi sono di per sé una cattiva pratica, perché non puoi sapere chi sta effettivamente facendo l'accesso. Ogni "amministratore" deve avere il proprio account, al quale concedere i privilegi di amministratore.

2FA riguarda l'utilizzo contemporaneo di due metodi di autenticazione, che funzionano su due categorie distinte. Le categorie sono: "qualcosa che conosci", "qualcosa che possiedi" e "qualcosa che sei". La conoscenza può essere condivisa (cioè due persone diverse possono conoscere la stessa password - una cattiva pratica, come ho detto sopra, ma ancora fattibile). Gli altri due fattori sono intrinsecamente legati agli individui fisici; per esempio, se usi un token fisico ("qualcosa che possiedi"), allora quel token può essere nelle mani di una sola persona alla volta, che è il punto.

Pertanto, se si utilizzano due fattori di autenticazione, almeno uno di essi non può essere condiviso. Ne consegue che 2FA è intrinsecamente incompatibile, a livello concettuale, con un account condiviso. La conseguenza è che se si riesce ad avere un account condiviso, allora si è non usando 2FA (si potrebbe ottenere una imitazione plastica a basso costo di 2FA, ma non la cosa reale).

Non utilizzare account condivisi. Gli account condivisi sono malvagi.

score 4 · Answer 2

Indipendentemente dal fatto che si tratti di "cattiva pratica", è completamente possibile condividere un "segreto condiviso" TOTP (stringa o codice QR) nel momento in cui viene creato, a quel punto è possibile avere più dispositivi OTP virtuali che generano lo stesso codici.