Alicja i Ewa pracują dla Boba. Alice jest bardzo dobrym pracownikiem, który robi dokładnie to, o co prosi ją Bob. Ewa jest kryminalistą, który chce zniszczyć firmę Boba.

Alicja i Ewa mają to samo konto.

Ewa loguje się na konto i używa go do sabotowania ważnego procesu biznesowego . Dziennik audytu rejestruje tę czynność.

Skąd Bob wie, kto sabotował jego firmę? Musi pozbyć się złego aktora, ale nie może zwolnić ich obu, ponieważ jego firma zależy od pracy, którą wykonują. Mógłby wystrzelić tylko jednego, ale nie ma możliwości dowiedzenia się, który z nich jest jego przyjacielem, a który wrogiem.

Gdyby Alicja i Ewa mieli oddzielne konta, Bob mógłby być pewien, że to Ewa była dokonał sabotażu. Ewa może nawet uniknąć sabotażu, jeśli wie, że jej konto zostanie sprawdzone i zostanie złapana.

EDYCJA: Dodawanie z komentarzy:

Jeśli Ewa zrezygnowała, musisz teraz zresetować hasło do każdego konta, do którego miała dostęp, zamiast tylko wyłączać jej konta osobiste. Jest to o wiele trudniejsze w zarządzaniu i pominiesz konta.

Dodatkowo pozbawia Cię to możliwości szczegółowej kontroli dostępu. Jeśli Alicja powinna wypisywać czeki, a Ewa powinna je podpisywać, zasadniczo nie masz technologicznego sposobu na wymuszenie tego, jeśli mają to samo konto.

Ponadto, danej osobie trudniej jest zauważyć złośliwe oprogramowanie zmiany w ich środowisku. Alicja wie, jakie pliki są na jej pulpicie. Wszelkie nowe pliki prawdopodobnie wywołają dla niej czerwoną flagę. Alicja nie wie, jakie pliki znajdują się na wspólnym pulpicie Alicji i Ewy. Prawdopodobnie nowe pliki spotkają się ze wzruszeniem ramion i założeniem, że umieścił je tam inny użytkownik, a nie złośliwy aktor.

Prawdziwa historia, wydarzyła się w miejscu pracy przyjaciela (jurysdykcja: Niemcy):

Współpracownik z jego niegrzecznie obrażonych klientów za pośrednictwem jej firmowego e-maila. Została za to zwolniona. Poszła do sądu. Tam jej prawnik poinformował sąd o tym, że pracownicy dzielili się swoimi hasłami (np. Do odpowiadania na pocztę klienta pod nieobecność pewnego współpracownika).

Sędzia orzekł, że tak nie ma dobrego dowodu na to, że ta osoba naprawdę wysłała obraźliwe e-maile. Osoba ta musiała zostać ponownie zatrudniona i zrekompensować utracone wynagrodzenie.

Morale: Jedną z funkcji kont użytkowników jest odróżnianie użytkowników od siebie, aby ich działania mogły podlegać kontroli. Tę funkcję spełniają tylko konta prywatne.

Powinieneś używać oddzielnego konta we wszystkich kontekstach (bezpieczeństwo na górze).
Przykład Adonalsium pokazuje, że jest to wymagane. Istnieją rzadkie sytuacje, w których jest to „niemożliwe” lub „nieużyteczne” ...

Przykłady: „niemożliwe” (starsze protokoły / aplikacje) „nie dotyczy” (działania anonimowe)

Jeśli nie jest to możliwe, ale musisz się zidentyfikować, musisz złagodzić ryzykuje dodawanie większej ilości informacji źródłowych, jak to możliwe (np. informacje o połączeniu, czas połączenia itp.)

Możesz sprawdzić metodologię oceny ryzyka ISO 27001, zarządzanie ryzykiem ISO 31000 jako punkt wyjścia do odpowiedzi na pytanie „Dlaczego unikać wspólnych kont użytkowników? ”

Typową odpowiedzią jest odpowiedzialność, identyfikowalność itp .; Innymi słowy, aby wiedzieć, kto dokładnie co zrobił.

Wspólne konto ma n potencjalnych osób, które coś robią, ale wszystko, co masz, wskazuje, że jedno konto robi to.

Ten problem zwykle rozwiązuje się, upewniając się, że ktoś jest prawnie odpowiedzialny za działania na tym koncie. Może to być wykonalne lub nie, i możesz nie mieć kogoś, kto bierze odpowiedzialność za działania innych.

Ten problem często występuje, gdy zlecasz niektóre działania monitorujące na zewnątrz - konto, które wykonuje zadania monitorowania, powinno być umowne odpowiedzialny za tę firmę, która jest odpowiedzialna za jej działania.

Jeśli nie możesz wyznaczyć osoby odpowiedzialnej, to do kierownictwa należy podjęcie decyzji opartej na ryzyku: brak usługi vs. wiedząc, kto co robi z tym kontem.

Najlepsze praktyki nie są nigdzie „zdefiniowane”, to właśnie oznacza ten termin. Najlepsza praktyka to po prostu ustalony sposób robienia rzeczy, które większość ludzi uważa za najlepsze.

Jest odwrotnie. Kiedy dominuje „najlepsza praktyka”, zwykle ktoś z rady normalizacyjnej decyduje się na umieszczenie jej w jakiejś ISO lub innej normie. Następnie spoczywa na tym, zwykle bez wyraźnego uzasadnienia lub rozumowania okrężnego, wskazując, że jest to najlepsza praktyka.

Powody tej konkretnej praktyki są również praktyczne. Jeśli Alicja i Bob mają wspólne konto i stanie się coś złego, obaj wskażą drugą osobę i nie będziesz mieć możliwości ustalenia, kto to zrobił. W przypadku kont osobistych twierdzą, że zostały przejęte, ale wtedy masz przynajmniej jeden punkt do dalszego zbadania.

Istnieją również wyraźne wymagania dotyczące odpowiedzialności w wielu podpolach, takich jak zgodność, i grać w to.

Znam tylko jeden wyjątek od tej reguły. Istnieje jeden komputer, który jest współużytkowany przez kilku użytkowników, a wszystkie następujące stwierdzenia są prawdziwe:

• jeden i tylko jeden z tych użytkowników jest w dowolnym momencie odpowiedzialny za ten komputer
• konto może być używane tylko na komputerze lokalnym - wyłączone przez sieć

Może się to zdarzyć w systemach 7 dni w tygodniu 24/24. W tym przypadku nadal zachowujesz akceptowalną możliwość przypisania sprawy, znając użytkownika, który był obecny w określonym momencie, pod warunkiem, że możesz ustawić powyższą drugą regułę. Ale w rzeczywistości jest to równoznaczne z posiadaniem konta bez hasła i korzystaniem tylko z zabezpieczeń fizycznych.

Inną kwestią, o której jeszcze nie wspomniano, jest to, że jeśli ktoś otrzyma powiadomienie, że jego konto jest używane lub ktoś uzyskał dostęp do niego w czasie, gdy nie ma / nie miał do niego dostępu i nie oczekuje, że ktoś inny to zrobi , jest dużo bardziej prawdopodobne, że uruchomią alarm, niż gdyby sądzili, że dostęp do konta mógł uzyskać ktoś, kogo upoważnili.

Biorąc pod uwagę, że liczba przypadków, w których może to być konieczne, aby ktoś upoważnił kogoś innego do wykonania określonej czynności w jego imieniu, byłoby niezwykle pomocne, gdyby usługi mogły obejmować środki, za pomocą których konta mogą autoryzować i unieważniać dodatkowe dane uwierzytelniające z ograniczonymi prawami. Umożliwiłoby to systemowi zgłoszenie, które dane uwierzytelniające zostały użyte do uzyskania dostępu do konta, umożliwiając w ten sposób komuś lepsze odróżnienie oczekiwanej od nieoczekiwanej aktywności.

Oto kilka podpowiedzi ułatwiających zrozumienie i szybkie sprawdzenie.

Odpowiedzialność

Odpowiedzialność to kolejna ważna zasada bezpieczeństwa informacji, która dotyczy możliwość śledzenia działań i zdarzeń w czasie do użytkowników, systemów lub procesów, które je wykonały, w celu ustalenia odpowiedzialności za działania lub zaniechania.

Zgodność

Jeśli podążasz ścieżką zgodności z RODO lub większością przepisów, musisz być w stanie zdefiniować wiersz określający, do którego konta mają dostęp.

Informacje prawne

W przypadku audytu musisz być w stanie wskazać konta, które zostały przejęte lub były odpowiedzialne za działanie.

Zarządzaj i chroń

Aby chronić, zarządzać i monitorować konto, łatwiej jest mieć osobny dostęp do usuwania, modyfikowania i wykrywania nieprawidłowego użytkowania.

Nawet jeśli nie przestrzegasz żadnych przepisów, które nadal powinieneś (zalecane) przestrzegać „b est praktyk "pomaga w całym procesie sieciowym na dużą skalę.

Oprócz kwestii kontroli, na którą wskazują inne odpowiedzi, konta użytkowników współdzielonych są z natury mniej bezpieczne niż konta jednego użytkownika na tej samej platformie .

Jeśli więcej osób zna dane logowania, to konto jest mniej bezpieczne. Masz teraz o wiele więcej potencjalnych ofiar ataków socjotechnicznych. Każda dodatkowa osoba mająca dostęp do konta jest kolejnym wektorem ataku na bezpieczeństwo tego konta. Jak to się mówi, dwóch może zachować tajemnicę, jeśli jeden nie żyje.

Przestrzegałbym również przed korzystaniem ze wspólnych loginów z psychologicznego punktu widzenia. Oprócz samych obaw związanych z audytem / winą, wspólne logowanie oznacza również nieodłącznie współdzielenie chwały i winy. Możesz zniechęcać do osobistej odpowiedzialności i etyki pracy. Jeśli jest to profil współdzielony, każda osoba poczuje się mniej odpowiedzialna za bezpieczeństwo tego konta. W końcu, nawet jeśli robią wszystko, co trzeba (na przykład używać menedżera haseł i unikać e-maili phishingowych), co jeśli ich współpracownik nie robi tego? Dlaczego mieliby wkładać dodatkowy wysiłek, skoro inna osoba i tak zrobi coś złego?

Dodatkowo podejrzewam, że wspólne loginy będą miały słabsze hasła chroniące konto. Próba udostępnienia silnego hasła i prawidłowego zarządzania nim wielu osobom byłaby niewygodna. Prawdopodobnie skończysz z najniższym wspólnym mianownikiem słabości hasła ( CompanyName01 ?) Lub z fizycznym zapisem hasła, aby wszyscy w okolicy mogli go zobaczyć.

Jak wielu mówi, rozliczalność, identyfikowalność, odpowiedzialność itp. to główne przyczyny. Należy wziąć pod uwagę kilka dodatkowych kwestii:

• Jak tajne są uzyskiwane informacje? W skrajnym przypadku wiele publicznych serwerów FTP używa (d) wspólnego konta „anonimowego”. Czy konto, którego używasz do uzyskiwania dostępu do publicznych serwerów www (konto nieuwierzytelnione), nie jest w zasadzie takie samo? A co z hasłami WPA2?
• Kiedy tworzysz politykę firmy, znacznie łatwiej jest wymusić „NIGDY NIGDY nie udostępniaj kont” niż „no cóż, nigdy nie powinieneś udostępniać konta, ale w niektórych przypadkach konto tylko do odczytu z niezbyt tajnymi informacjami przez ograniczony czas między dwiema współpracującymi ze sobą osobami. Możesz to zrobić, jeśli rzeczywiste ryzyko jest niskie ”.
• Konta współdzielone są również obciążone administracyjnie . Podany już przykład to konieczność zmiany haseł, gdy ktoś wychodzi.
• Niektóre konta wymagają współużytkowania. Przykładem jest root w systemie Unix / Linux. Tak, nałożysz wiele ograniczeń na użycie root w środowisku produkcyjnym, takich jak sudo z rozbudowanym rejestrowaniem i monitorowaniem bezpieczeństwa, magazynem haseł itp., Ale nadal jest kontem współdzielonym.