Quando le politiche di accesso al sistema iniziano a diventare fonte di incidenti di sicurezza? [chiuso]

Naviga le tue risposte
0

Considera l'ipotesi che stiamo trattando con sistemi che gestiscono informazioni segrete che sono cruciali per l'esistenza di un'organizzazione. Mi piacerebbe sapere quale sia un buon equilibrio tra requisiti di sicurezza e usabilità in termini di complessità delle password, politica di cambio password, requisiti dei fattori di autenticazione multipla e così via ...

Esistono best practice per questo argomento?

Conosco diverse situazioni che potrebbero mettere a repentaglio la sicurezza a causa di una severa politica:

  • Scrivi le password perché sono difficili da ricordare o perché devi cambiarle così spesso.
  • Lascia intenzionalmente la scheda PKI nei laptop anche quando non è presidiata.
  • Salvataggio della password anche in testo normale. Ancora peggio quando usano i file Excel offrendo un vasto menu di utenti e password agli hacker.
posta 29.07.2015 - 19:37
fonte

1 risposta

2

Molte organizzazioni affrontano questo problema, con i dipendenti che rappresentano il "collegamento più debole" nella sicurezza. Nel complesso, l'autenticazione basata su password ha dimostrato di essere un gap. Non ci si può ragionevolmente aspettare che i dipendenti ricordino undici o dodici password che devono cambiare mensilmente. Di recente abbiamo affrontato questo problema nella mia organizzazione e abbiamo raggiunto alcune conclusioni.

  1. L'autenticazione a due fattori accoppiata a una soluzione SSO (Single Sign-On-On-Solution) renderà i dipendenti più soddisfatti e ridurrà il profilo di rischio di più voci di password indipendenti.
  2. Per l'autenticazione a due fattori, i dispositivi multimediali come le unità flash non sono la forma migliore, ma è meglio di niente. I dipendenti li lasceranno sfortunatamente nelle loro postazioni di lavoro. Una forma più strong di due fattori implementerebbe una verifica cellulare (Duo Mobile offre questo). Quando un utente tenta di accedere, gli verrà chiesto di controllare il proprio telefono cellulare. Se si tratta di uno smartphone con l'app Duo Mobile, nella barra delle applicazioni verrà visualizzata una notifica che richiede l'approvazione del login. In caso contrario, le funzioni di messaggistica di testo possono essere utilizzate per un codice di accesso. Questo può anche funzionare con un telefono dell'ufficio (non l'opzione migliore, ma richiede che l'attaccante si trovi fisicamente al banco degli impiegati).
  3. Se hai intenzione di utilizzare un'autenticazione a due fattori molto strong, SSO è un must per evitare che i dipendenti diventino eccessivamente agitati. L'autenticazione a due fattori deve essere configurata per un vault della password che dispone di plug-in del browser per SSO e memorizza altre password per il recupero, consentendo a questa soluzione di funzionare con applicazioni che non supportano un metodo SSO. Durante la nostra ricerca, LastPass e AuthLite avevano queste opzioni disponibili. Avevano anche funzionalità che gestivano le modifiche delle password per i dipendenti, modificando automaticamente le password dei dipendenti dopo un periodo di scadenza. Poiché le password sono state generate dal sistema, hanno rimosso il mal di riutilizzo della password.

Alla fine, siamo andati con un vault della password che offriva funzionalità SSO accoppiate con l'autenticazione a due fattori di flash drive (a fini di costo) per accedere al vault del dipendente.

    
risposta data 29.07.2015 - 20:19
fonte

Leggi altre domande sui tag

In quali circostanze la tua e-mail potrebbe non essere inviata al destinatario previsto? [chiuso] Come eseguire il comando di inserimento o aggiornamento SQL mediante l'iniezione SQL