Quando l'accesso automatico può essere accettabile dal punto di vista della sicurezza?

1

Nella mia organizzazione alcune persone IT richiedono l'installazione di dispositivi con login automatico configurato. La ragione per cui difendono è che l'utente sarà in grado di eseguire solo azioni a basso rischio: ad esempio, navigando solo su un sito e non essendo in grado di eseguire nessun altro processo.

È accettabile l'accesso automatico in questo scenario?

Sarebbe accettabile uno scenario più complesso?

Dipenderà interamente da come viene utilizzato il dispositivo e da come proteggiamo che l'utente sfugga alle misure di sicurezza e utilizzi il dispositivo in modo non autorizzato?

EDIT: quando dico "login automatico" intendo "senza alcun tipo di autenticazione", avviando direttamente sul desktop. Come una "modalità kiosk".

    
posta Eloy Roldán Paredes 24.12.2015 - 17:59
fonte

1 risposta

5

Avremmo bisogno di ulteriori informazioni sul tuo caso d'uso. È un computer kiosk?

In questo scenario non è più possibile legare azioni specifiche a utenti specifici. Inoltre, gli utenti possono lasciare accidentalmente informazioni che sono esposte ad altri utenti in modo imprevisto / inappropriato. Un altro utente può anche fare qualcosa di malevolo mentre ha accesso e questo potrebbe facilmente avere un impatto sul prossimo utente.

Molto dipenderà dalle tue situazioni. Forse sarebbe accettabile avere una sorta di accesso automatico con badge o smartcard senza e autenticazione con password aggiuntiva su questa macchina - quindi, ogni utente avrà ancora una sessione separata.

Potresti anche voler esaminare alcuni controlli per tornare a uno stato pulito e forzare una sessione massima. Ciò aiuterebbe ad affrontare il rischio che un utente faccia qualcosa di malizioso che avrà un impatto sul prossimo utente o sul primo utente che lascerà accidentalmente informazioni riservate che il prossimo utente non dovrebbe vedere.

C'è un software come Deep Freeze che può fornire alcune di queste funzionalità. Potresti anche voler utilizzare un qualche tipo di installazione per thin client che va solo a una sessione Citrix su una VM che puoi facilmente ripristinare a un certo punto nel tempo.

Mentre le azioni che l'utente intende fare sono basse, il rischio è ancora alto nelle azioni che l'utente potrebbe fare. È possibile bilanciare il rischio con alcuni processi e controlli.

Si noti che l'esecuzione di un sistema in modalità Kisok senza la ricostruzione in uno stato di pulizia non è sufficiente, in quanto l'utente può modificare il browser o trovare gli artefatti del sistema, anche in un browser bloccato utilizzando una modalità di privacy / incognito.

    
risposta data 25.12.2015 - 06:33
fonte

Leggi altre domande sui tag