Quali implementazioni sono possibili per il doppio controllo?

Un approccio consiste nell'utilizzare password temporanee e un'applicazione di gestione delle password. Il processo potrebbe funzionare come:

1. Un amministratore invia una richiesta di accesso a un server per una determinata finestra temporale
2. Un amministratore separato approva questa richiesta
3. Con la richiesta approvata, dall'inizio della finestra temporale il primo amministratore può ora accedere a una password temporanea per il server
4. L'amministratore si collega come al solito, usando la password temporanea
5. Alla fine della finestra temporale, la password temporanea viene automaticamente reimpostata su un nuovo valore

Ho visto sistemi come questo, ma tutti hanno usato degli script su misura, basati su un sistema di gestione delle richieste esistente. Non so da nessuna parte, puoi semplicemente scaricare un'applicazione del genere.

Ovviamente, una volta che l'amministratore ha la password temporanea, ha accesso con una sola mano al server. Se hai bisogno della regola dei due uomini per tutto il percorso - che ci devono essere due amministratori seduti su un computer per eseguire il lavoro - questo approccio non funzionerà.

Una variante su questo ho visto è che un token ID sicuro è detenuto dallo staff operativo. Quando l'amministratore deve accedere al server, fornisce una password (che solo loro conosce) e telefona allo sportello operativo per ottenere il codice dal token ID sicuro. Non sono convinto che questa soluzione sia una buona idea, ma si abitua.

Due persone con la stessa password (ognuna di esse sa una metà) non è una buona idea dal punto di vista della sicurezza poiché ognuna avrà la conoscenza della password. Questo potrebbe dimezzare le loro possibilità di indovinare l'altra metà con attacchi noti (forza bruta, dizionario, ..).

Suggerirei Condivisione segreta di Shamir . Ogni persona avrebbe una password e solo la combinazione genererebbe un segreto condiviso. Entrambe le password devono essere cambiate ogni volta che vengono utilizzate difficili.

Oltre alla menzione di @ rda Shamir Secret Sharing, o all'idea di @ paj28 di un meccanismo di autorizzazione fuori banda, puoi anche prendere in considerazione una soluzione molto più semplice, che non richiede molta codifica o impostazione:

Utilizza l'autenticazione a 2 fattori, dando a ogni persona un fattore diverso.
Per esempio. fornisci un token hardware a uno e una password all'altra. Il vantaggio di questa soluzione è che può essere applicato direttamente anche all'accesso a Windows in modo semplice. La debolezza, ovviamente, è la stessa che usare un singolo fattore ovunque: un token hardware senza password è solitamente banale da rubare. Per contrastare ciò, dovrebbe esserci ancora un altro fattore, ad es. ci sono alcuni token che richiedono un PIN (separato dalla password del SO).
Un'altra soluzione simile è che per avere la password del sistema operativo, l'altra è la chiave fisica (o biometrica) per accedere al centro dati in cui si trova il server. O uno ha la password, l'altro è permesso attraverso il firewall. O utente OS vs utente dell'applicazione (e verificare che corrispondano).

La maggior parte di questi sono abbastanza semplici da configurare, ma probabilmente non così forti o rigorosi come Shamir. Dipende davvero dallo scenario specifico e da quali requisiti e vincoli hai.