(2FA = Two Factor Authentication, per quelli che si sintonizzano)
I was wondering if anyone is using Kerberos for their 2FA solution into their CDE for PCI DSS compliance.
Kerberos è un meccanismo di autenticazione più comunemente utilizzato per concedere l'accesso in base alle credenziali della password. In quanto tale, non fornisce 2FA; fornisce 1FA. Ho visto Kerberos utilizzato come 1FA negli ambienti CDE.
Esistono sistemi 2FA che incorporano Kerberos, come RedHat's Identity Management server, ma in questi casi Kerberos viene utilizzato per" qualcosa che conosci "e incollato su" qualcosa che hai "(software o hardware OTP) utilizzando LDAP e possibilmente RADIUS. E il MIT sembra avere integrato Duo OTP altro direttamente con Kerberos, a alcuni costi del supporto client .
Quindi - Kerberos potrebbe essere parte di una soluzione 2FA valida per il tuo CDE, ma in generale fornisce solo un fattore, quindi è necessario un ulteriore sollevamento.
Also what does PCI DSS say about SSO once 2FA has occured through Radius Server.
Il DSS non affronta il Single Sign-On di per sé , tuttavia, afferma:
Multi-factor authentication can be performed either upon authentication to the particular network or to the system component.
(DSS 3.2 sezione 8.3)
Non sono un QSA, ma penso che si possa legittimamente affermare che tale linguaggio potrebbe essere utilizzato per sostenere che 2FA non è richiesto su ciascun componente del sistema, a patto che sia utilizzato per il login iniziale a la rete CDE. Il che significa che il DSS non sembra proibire SSO quando richiede 2FA.
Leggi altre domande sui tag sso kerberos multi-factor pci-dss