web-dev-qa-db-ja.com

会社のポリシーでは、すべてのパスワードを管理者と共有する安全なパスワードに入れる必要があると述べています。これは安全ですか?

タイトルにあるように、私の会社には、たとえばワークステーションとサーバーログインは、オンラインの金庫に保管する必要があります。どちらを使用するかは明言しませんが、パスワードの痛みの終焉を約束するものをいくつか見ることができます。これらのパスワードは会社の管理者と共有されます-そのビットがどのように機能するかはわかりませんが、パスワードを読み取ることもできます。

これは本当に安全ですか?上司からの理由は2つあります。

  1. パスワードを忘れた場合は、パスワードを尋ねることができます。
  2. 私が悪を回すと、彼らは私を締め出すことができます。

私はこれらに同意しません。最初のものについては、確かに、Google Appsのような私たちが使用するほとんどのこと、たとえば管理者にはリセットボタンがあります。 2つ目は、とにかくパスワードを変更するだけで、安全なパスワードを更新することはできません。

これが安全ではないのは正しいですか?それともこれが唯一の方法ですか?

passwordsaccess-controlcorporate-policy
25
Lazrus

あなたが指定した理由のどれも、エスクローyourパスワードの正当な理由ではありません。あらゆる種類の「認証者」情報をエスクローする正当な理由はいくつかあります。他のカップルがこれらについて触れていますが、少し明確にしようと思います。

  1. 暗号化キー:組織が暗号化キーのエスクローコピーにアクセスできることは、絶対に理にかなっています。結局のところ、暗号化するデータ(もちろん、会社の暗号化を仕事の目的でのみ使用している場合)はとにかくtheirデータです。したがって、キーを紛失した場合や、会社から離れた場合に備えて、データへのアクセスを保持する必要があります。ただし、暗号化キー デジタル署名に使用するキーと同じにすることはできません 。また、実際にはauthenticator-キーに使用するパスコードにアクセスできません。代わりに、データを復号化するためにtheirオーセンティケーターと連携するownエスクローキーが必要です。

  2. フェイルセーフアカウント:また、システム管理者自身のアカウントの場合に、組織が管理者レベルのアカウントにアクセスするために必要な資格情報のバックアップコピーを持っている必要があります。ロックアウトされている、または彼らは会社を出発します。ただし、認証情報はnotはシステム管理者自身のアカウントのものである必要があります。これらは、緊急用のみを目的とするローカルシステムアカウント用である必要があります。そのために、アカウントはneverを緊急時以外にも使用する必要があり、その使用状況は綿密に監視して警告する必要があります。従来、このようなアカウントの資格情報は改ざん防止用の封筒に封印され、安全な物理的な金庫に保管されていました。デジタル相当があるかもしれないと考えられますが、私は個人的に徹底的なレビューなしでそれらを信用しません。

管理者がyourパスワードを使用することが悪い考えである理由は2つあります。最初の理由は、物事がうまくいかない場合に不必要な作業を引き起こす可能性があるため、潜在的に非常に悪いことです。ただし、2番目の方法は実際にこれを逆転させ、事態が悪化した場合に、企業にとってそれがあなたよりも悪化する可能性があります本当に間違っています。

  1. 乱用の可能性:明らかなもの-マネージャーは、自分が持っているのと同じ特権で、必要かどうかに関係なく、事実上、システムに無制限にアクセスできます。最も単純にこれは、マネージャがこれを利用して、本来ならすべきではないことをシステム上で実行できることを意味します。これはまた、標準的な手順に従わずに特定の変更を急ぎたいときに、彼らがあなたのポジションをバイパスする可能性を残します。

  2. 否認防止の損失:他の誰かがあなたの資格情報を持っている場合-特に、このような場合、彼らが行うことを証明できる-偽装することができますそれらの資格情報が有効であるすべてのシステム上のユーザー。これにより、アカウントで実行されたアクションが実際にユーザーによって実行されたことを明確に証明することが困難になります。マネージャーdoesがあなたのアカウントを使用することを決定し、王室のシステムを台無しにしてしまう場合、アカウントがログに記録されていても、それをスケープゴートとして使用するのは非常に簡単ではありません。会社にとってさらに悪いのは、もしあなたのマネージャーがあなたのパスワードを持っている間にあなたがロイヤルシステムを台無しにするために何かをするなら、彼らはそれがそれであることを証明するのに苦労するでしょう実際にあなたそれはそれをやった。

TL; DR:管理者がyourパスワードのいずれかを持っていると考えるのに十分な理由はありません。彼らが与えた理由については:

  1. 「パスワードを忘れた場合...」別のシステム管理者がパスワードをリセットできます。または、管理者は緊急アカウント(上記の「フェイルセーフアカウント」を参照)で「ガラスを破る」ことができ、自分でそれを行うことができます。
  2. 「あなたが悪を回したら...」再び、あなたは別のシステム管理者、または緊急アカウントによってロックアウトされる可能性があります。
25
Iszi

最初の理由(パスワードを忘れた場合に備えてパスワードを戻す)は非常に弱いものです。パスワードを忘れた場合は、適切なパスワードではないため、新しいパスワードを選択してリセットできるようにする方が理にかなっています。 2番目の理由は完全に偽物です。パスワードを知らなければ「ロックアウト」できない場合、システム管理者をできるだけ早く起動する必要があります。彼は右クリックする方法を知りません。

ほとんどの場合、マネージャーは自分がコントロールしていると感じ、実際には非常に近い範囲でmanageしたいと考えています。おそらく、彼らはどこかで神を怒らせる可能性があるので、従業員がパスワードとして悪態の言葉を使用するのを防ぎたいだけかもしれません。どちらにしても、これはセキュリティポリシーを非常に前向きに考案した人の能力を強調するものではありません。

編集:ただし、ポリシーは、暗号化に使用されるパスワードに対してある種の意味があります。 Zipアーカイブをパスワードで保護する場合。この種のパスワードはリセットできません。パスワードを忘れると(パスワードを忘れた場合、またはバスに衝突したために「利用できなくなった」場合)、データが失われます。その場合、パスワードのエスクローは理にかなっています。しかし、authenticationパスワードの場合、いいえ、それは愚かなポリシーです。

10
Thomas Pornin

いいえ、それは良い考えではありません。トーマスはそれがそれ自身の目標を達成しない理由を説明しました、しかしそれはそれより悪いです。

悪意のある従業員が不正行為を行って会社に損害を与えた場合、どうなるかを考えてみましょう。

裁判の間、あなたは損害を引き起こしたのが従業員であったことを示すログについて証言するよう召喚され、この従業員として他に誰がログインできるか尋ねられます。管理者を含む金庫にアクセスできる人なら誰でもログインできると正直に答えると、その従業員とロギングシステムは賢くありません。

アクターと認証資格情報の違いを曖昧にすると、企業がアクセスロギングを使用して不正行為や損害賠償を阻止する能力が著しく損なわれます。

IBACシステムが明示的に委任を処理できない場合、マネージャーは部下にパスワードを配布することがよくありますが、これはその逆であり、ぼかしが下位の従業員のはるかに大きなグループの資格情報に影響します。

6
Mike Samuel

「バス要因」に関して@Thomas Porninに同意しますが、もう1つ検討する必要があります。「オンラインセーフ」はまったく安全ではない可能性があります。パスワードを書面で1つの物理的な金庫に保管し、そこに保管しておくと、緊急の場合に管理者の明確な許可を得て金庫を開けることができます。

2
Deer Hunter

資格情報がアクセスを提供する情報の種類、組織の種類(金融、ヘルスケア)または場所に応じて、だれも資格情報を必要としない規制(銀行の場合はGLBA、ヘルスケアの場合はHIPAA)が適用される場合があります。

たとえば、MA 201 CMR 17(http://www.mass.gov/ocabr/docs/idtheft/201cmr1700reg.pdf)では、MAの居住者に関する特定の機密情報にアクセスできる場合、一意のIDとパスワードを持っている必要があります。そのデータにアクセスするには、「一意のIDとパスワード(ベンダー提供のデフォルトパスワードではない)をコンピューターにアクセスできる各ユーザーに割り当てますか?これらのIDとパスワードは、それらのアクセス制御のセキュリティを維持するために合理的に設計されていますか?」

HIPAA 164.308(a)(5)(ii)(D):各ユーザーは、コンピューター、EHRソフトウェア、またはその他のシステムやリソースにアクセスするときに、一意の識別子(ユーザーIDとパスワード)を持っています。

1
DaveM

UserIDを作成して所有者に添付すると、それは本質的に従業員の財産になります[もちろん、個人の財産ではありません;)]その従業員と一緒に雇用されるまで、そのアカウントで実行されるすべてのアクション/アクティビティに責任と責任があります。会社。

一般に、すべての会社(あなたの会社を除く)のパスワードポリシーは、アクセス資格情報を誰とも共有しないことを推奨しています。

必要に応じて、アクセス資格情報をMr.x/Team xと共有し、安全ボールトにいるが、次のことができることを示す共有/汎用ユーザーとして宣言する必要があります。それらによって必要に応じてアクセスされます。

私があなたに提案するのは、先に進み、彼らに必要なものを渡して、上司、上司、およびPassword Safety Vault Manager [パスワード安全ボールトにアクセスするときにログブックを保持する責任者]にメールであなたにその旨を伝えることです。パスワードエンベロープ(シールフラップに署名)を用意し、金庫で保管できるようにします。

よろしく

0
user30026

2番目の要件は、前述のとおり完全に偽です。従業員/管理者の権限を取り消すために、パスワードを知っている必要はありません。

最初の要件は有効ですが、上司と2つのことについて話し合います。1)会社は、ログオンの使用に起因する犯罪または民事上の不正行為からあなたを免除する法的放棄書に署名する必要があります。彼らはあなたのログオンが共有されることを要求したので、彼らはあなたがあなたのパスワードであなたのボスが子供ポルノサイトをサーフィンすることに対して責任を負うことができないことを認めなければなりません。

2)@Mike Samuelによって提起されたDiscovery問題。あなたの会社に対して何らかの法的証拠があった場合、あなたの上司は完全にねじ込まれるかもしれません。 (そして、#1との関係があることを指摘するかもしれません-ログオンに関連するあらゆる罪で訴訟または起訴された場合、弁護士は証拠開示要求を発行することを余儀なくされます。)

ローテクパスワードエスクローは、私の業界では比較的通常の方法です。両側を保護するために設定された要件に「改ざん防止/改ざん防止/改ざん防止」を追加します。

パスワード(単一システムの場合)を用紙に書きます。それを折りたたみ、不透明な封筒に入れます。封筒を封印し、境界を越えて署名します。次に、署名と境界にテープを貼ります。

システムごとにこれを繰り返します。

次に、すべての封筒を大きなマニラ封筒に挿入します。封筒を封印します。あなたとあなたの上司は、印鑑全体に署名/副署します。

安全な場所に保管してください。これは、ビジネスがバス要因から保護されていることを意味します。

その封筒を開き、パスワードを使用するためのポリシー/手順を記述します。

封筒が開いていないことを定期的に確認します(通常のパスワード変更を行う場合はfrex)。

0
Mark C. Wallace