Politica di modifica pin per RSA SecurID

Naviga le tue risposte
1

La mia azienda consente l'accesso remoto con autenticazione che include:

  1. nome utente
  2. password / frase (20+ caratteri)
  3. PIN selezionato dall'utente + codice token RSA SecurID

Le nostre password devono essere cambiate ogni 6 settimane, e ovviamente il token SecurID cambia ogni 60 secondi.

Recentemente la politica è stata leggermente modificata e il PIN deve essere modificato ogni 12 mesi (in precedenza non era necessario modificare il PIN). Non riesco a vedere personalmente come ciò accresca la sicurezza, ma non sono un esperto.

Quali vantaggi in termini di sicurezza offre una politica di modifica del PIN come questa, e in particolare (se possibile), quale minaccia / attacco viene mitigato da questo?

    
posta Sam 07.06.2017 - 00:59
fonte

1 risposta

1

Niente di veramente, se il tuo ambiente impiega già una password di 20 caratteri, questo PIN è una specie di "raddoppio" su questo. I token RSA vengono solitamente distribuiti come soluzione unica. Accedi con il tuo nome utente, conosci la password e hai il token (che fornisce un codice). La trinità di chi sei, qualcosa che conosci, qualcosa che hai.

Hai il livello extra di una password complessa che è più strong del pin usato per il token.

Voglio dire, correggimi se sbaglio? ma penso che l'unica cosa a cui questo protegge contro in queste condizioni sono le chiavi perse o le vecchie chiavi in natura che sono sconosciute per qualche motivo. Anche un processo di fine vita che è automatico, poiché le chiavi che hanno più di un anno semplicemente non saranno utili a nessuno in fondo alla strada.

Alcuni degli amministratori di sistema più paranoici potrebbero pensare se un utente malintenzionato ottiene una chiave e sa da chi potrebbe essere per sempre un rischio, dal momento che tutto ciò che devono fare è scoprire il resto dei dettagli, senza avere la vista in vista di quel sistema dà all'aggressore un tempo illimitato, in teoria, di fare la ricognizione. Questa regola fornirebbe un limite di un anno per scoprire il resto dei dettagli richiesti. Una sorta di raccolta automatica dei rifiuti, se vuoi. Ma questa è l'unica cosa che posso pensare qui.

    
risposta data 07.06.2017 - 02:12
fonte

Leggi altre domande sui tag

Le uscite di questo software di generazione di stringhe casuali sono sicure da utilizzare come password complesse? Perché Keybase firma hash di prove precedenti?