Gli utenti dovrebbero poter riutilizzare / riciclare le stesse credenziali di accesso su una rete per sistemi diversi? Questo dovrebbe essere vietato / scoraggiato o le implicazioni per la sicurezza sono minime? Se è disapprovato, i nomi utente e le password dovrebbero essere univoci, o il riutilizzo dei nomi utente va bene?
(Questa è un'estensione di una domanda precedente: Does lunghezza / complessità / unicità del nome utente hanno un impatto positivo sulla sicurezza? )
Quando si tratta di nomi utente, è generalmente meglio tenerli uguali. Il vantaggio è che facilita la chiusura dell'account quando un utente non deve più avere accesso. Se tutti gli utenti hanno nomi utente diversi per sistemi diversi, sarebbe un lavoro cercare di scoprire quali account appartengono a un utente che lascia lavoro, e c'è il rischio che ci siano account rimanenti.
Si noti qui che sto parlando del riutilizzo del nome utente, non del riutilizzo della password.
Ora parleremo del riuso della password: E ora le basi su quando il riutilizzo della password può essere accettabile o meno.
Direi, dipende dalle circostanze. Suggerirei di considerare attentamente "Cosa succede se questo nome utente / password è trapelato". Se l'impatto della perdita di una singola password che va a entrambi i sistemi in questione, sarebbe simile all'impatto di una sola password, direi, non c'è pericolo nel permettere il riutilizzo delle credenziali qui.
Ad esempio: un account utente su un computer + un account e-mail negli stessi locali. Questo non sarebbe un grosso problema se questi sono identici, perché se come utente malintenzionato manca la password di posta elettronica, normalmente si può accedere alla cache / database del client di posta e ottenere le e-mail in questo modo, e il contenuto dell'email è normalmente più sensibile al semplice accesso di un utente locale, quindi anche il contrario sull'impatto sarebbe trascurabile consentendo il riutilizzo delle credenziali qui.
Oltre a ciò, una cosa di cui devi essere a conoscenza è che alcuni software potrebbero contenere vulnerabilità che consentirebbero a un avversario di scoprire la password.
Un esempio: un software di contabilità potrebbe memorizzare userdb come testo in chiaro sul disco rigido. Se il riutilizzo delle credenziali viene eseguito, un avversario può facilmente ottenere le password di altri utenti.
Il modo migliore per farlo è quello di suddividere tutto in diverse zone di sicurezza, in base alle loro capacità e ai rischi per la sicurezza.
Basso: i software che non sono ben fatti possono contenere vulnerabilità. Account che non hanno una grande importanza nella protezione. Anche gli account cloud o i servizi Web esterni rientrano in questa categoria, in quanto non è possibile conoscere il livello di sicurezza del servizio Web in questione. Tuttavia, i servizi web ben fatti, come gli account aziendali per Google e gli account interni su servizi esterni ben fatti per la gestione delle risorse aziendali, dovrebbero essere classificati nella zona "Media".
Medio: account utente locali per utenti normali. Sistemi di accesso e software ben realizzati da un fornitore affidabile, e si può essere certi che il software non sia stato fatto in modo sconsiderato. Gli account utente locali che appartengono a servizi esterni che appartengono all'azienda (ad esempio, gli account di Google Apps, gli account di authoring sul blog della società, ecc.) Dovrebbero rientrare anche in questa categoria Medium.
Alto: account amministratore. Password utilizzate per la crittografia dei dati. Conti molto importanti. Account Phone-in / VPN / RDP (accesso remoto).
Quindi assicurati che le password non vengano riutilizzate attraverso le zone. Le password all'interno di una zona sono una buona idea da riutilizzare per evitare "problemi di password" che invece causerebbero svalutazioni di password.
In questo sistema di zonizzazione, un utente normale dovrebbe ricordare solo 2 password interne all'azienda e gli amministratori dovrebbero ricordare 3 password interne all'azienda.
Dipende davvero dalla situazione. Se si utilizza l'autenticazione raggio e si sta riconnettendo alla propria infrastruttura AD e il suo utilizzo all'interno dice il proprio ambiente di routing e commutazione per accedere alla CLI, allora è OK. Tuttavia questo solo perché il raggio è un servizio aaa. Se si utilizzano lo stesso utente e la stessa password per creare modifiche a livello di amministratore di dominio, è molto grave e non è una buona pratica in alcun modo. In generale, non si dovrebbe mai permettere che le password vengano riutilizzate anche se si parla di 6 mesi lungo la strada. I nomi utente nel mondo Windows AD in genere devono essere riutilizzati. Tuttavia, la password come ho detto prima non dovrebbe mai essere rifiutata in quanto diventano più insicure nel tempo.
Leggi altre domande sui tag authentication user-management user-education credential-reuse