it-swarm.com.de

Warum sollten Sie gemeinsam genutzte Benutzerkonten vermeiden?

Ich kenne die bewährte Methode, keine freigegebenen Benutzerkonten zuzulassen, aber wo ist diese bewährte Methode definiert? Ist es ein ISO-Standard oder so? Was sind die Gründe, immer Konten pro Person zu erstellen?

69
Steve Venton

Alice und Eva arbeiten für Bob. Alice ist eine sehr gute Arbeiterin, die genau das tut, was Bob von ihr verlangt. Eve ist ein krimineller Mastermind, der unbedingt Bobs Firma zerstören will.

Alice und Eve teilen sich beide das gleiche Konto.

Eve meldet sich bei dem Konto an und verwendet es, um einen wichtigen Geschäftsprozess zu sabotieren. Das Überwachungsprotokoll erfasst diese Aktion.

Woher weiß Bob, wer seine Firma sabotiert hat? Er muss den schlechten Schauspieler loswerden, kann aber nicht beide entlassen, weil seine Firma von der Arbeit abhängt, die sie leisten. Er könnte nur einen feuern, aber er hat keine Möglichkeit zu wissen, welcher sein Freund und welcher sein Feind ist.

Wenn Alice und Eva getrennte Konten hätten, könnte Bob sicher sein, dass Eva diejenige war, die die Sabotage durchgeführt hat. Eva könnte sogar die Sabotage vermeiden, wenn sie weiß, dass ihr Konto geprüft und sie gefasst wird.

BEARBEITEN: Hinzufügen von Kommentaren:

Wenn Eve beendet wird, müssen Sie jetzt das Kennwort für jedes Konto zurücksetzen, auf das sie Zugriff hatte, anstatt nur ihre persönlichen Konten zu deaktivieren. Dies ist viel schwieriger zu verwalten, und Sie werden Konten verpassen.

Darüber hinaus entfällt Ihre Möglichkeit, den Zugriff detailliert zu steuern. Wenn Alice Schecks ausstellt und Eve sie unterschreibt, haben Sie im Wesentlichen keine technologische Möglichkeit, dies durchzusetzen, wenn sie dasselbe Konto verwenden.

Außerdem ist es für eine bestimmte Person schwieriger, böswillige Änderungen an ihrer Umgebung zu bemerken. Alice weiß, welche Dateien sich auf Alices Desktop befinden. Alle neuen Dateien werden wahrscheinlich eine rote Fahne für sie setzen. Alice weiß nicht, welche Dateien sich auf dem gemeinsam genutzten Desktop von Alice und Eve befinden. Es ist wahrscheinlich, dass neue Dateien mit einem Achselzucken und der Annahme konfrontiert werden, dass ein anderer Benutzer sie dort abgelegt hat, kein böswilliger Akteur.

Echte Geschichte, passiert an einem Arbeitsplatz eines Freundes (Gerichtsstand: Deutschland):

Eine Mitarbeiterin seiner grob beleidigten Kunden per E-Mail ihrer Firma. Sie wurde dafür gefeuert. Sie ging vor Gericht. Dort machte ihr Anwalt das Gericht darauf aufmerksam, dass die Mitarbeiter ihre Passwörter teilten (zum Beispiel für die Beantwortung der E-Mail eines Kunden in Abwesenheit eines bestimmten Kollegen).

Der Richter entschied, dass es keinen guten Beweis dafür gab, dass die fragliche Person wirklich diejenige war, die die beleidigenden E-Mails verschickte. Die Person musste wieder eingestellt und für den Lohnausfall entschädigt werden.

Moral: Eine Funktion von Benutzerkonten besteht darin, Benutzer voneinander zu unterscheiden, um ihre Aktion überprüfbar zu machen. Nur private Konten erfüllen diese Funktion.

30
Daniel

Sie sollten in allen Kontexten ein getrenntes Konto verwenden (Sicherheit oben).
Adonalsium-Beispiel zeigen Sie, weil es erforderlich ist. Es gibt einige seltene Situationen, in denen es "nicht möglich" oder "nicht nützlich" ist ...

Beispiele: "nicht möglich" (ältere Protokolle/Anwendungen) "nicht relevant" (anonyme Aktionen)

Wenn dies nicht möglich ist, Sie sich jedoch identifizieren müssen, müssen Sie das Risiko verringern, indem Sie so viele Quelleninformationen wie möglich hinzufügen (z. B. Verbindungsinformationen, Verbindungszeit usw.).

Sie können die Risikobewertungsmethode nach ISO 27001 und das Risikomanagement nach ISO 31000 als Ausgangspunkt für die Beantwortung Ihrer Frage "Warum gemeinsam genutzte Benutzerkonten vermeiden?" Überprüfen.

15
WaltZie

Die typische Antwort ist Verantwortlichkeit, Rückverfolgbarkeit usw.; Mit anderen Worten, um wissen zu können, wer genau was getan hat.

Ein gemeinsames Konto hat n potenzielle Personen, die etwas tun, aber alles, was Sie haben, zeigt auf ein Konto, das diese Sache tut.

Dieses Problem wird normalerweise behoben, indem sichergestellt wird, dass jemand legal für die Aktivitäten dieses Kontos verantwortlich ist. Dies kann machbar sein oder auch nicht, und Sie haben möglicherweise nicht jemanden, der die Verantwortung für die Handlungen anderer übernimmt.

Dieses Problem tritt häufig auf, wenn Sie einige Überwachungsaktivitäten auslagern. Das Konto, das die Überwachungsaufgaben ausführt, sollte vertraglich für das Unternehmen verantwortlich sein, das für seine Aktionen verantwortlich ist.

Wenn Sie keine verantwortliche Person zuweisen können, ist es Sache des Managements, eine Entscheidung auf der Grundlage des Risikos zu treffen: keinen Service zu haben oder nicht zu wissen, wer was mit diesem Konto macht.

9
WoJ

Best Practices werden nirgends "definiert", das bedeutet der Begriff. Eine bewährte Methode ist einfach eine etablierte Methode, um Dinge zu tun, die die meisten Menschen für die beste halten.

Es geht umgekehrt. Sobald eine "Best Practice" vorherrscht, beschließt normalerweise jemand in einem Normungsgremium, sie in eine ISO oder eine andere Norm aufzunehmen. Es ruht dann dort, normalerweise ohne explizite Begründung oder eine zirkuläre Begründung, die darauf hinweist, dass dies die beste Vorgehensweise ist.

Die Gründe für diese besondere Praxis sind ebenfalls praktische. Wenn Alice und Bob einen Account teilen und etwas Schlimmes passiert, zeigen beide auf die andere Person und Sie haben keine Möglichkeit herauszufinden, wer es getan hat. Bei persönlichen Konten wird behauptet, es sei kompromittiert worden, aber dann haben Sie zumindest einen einzigen Punkt, um weitere Untersuchungen durchzuführen.

Es gibt auch explizite Anforderungen an die Rechenschaftspflicht in vielen Teilbereichen wie der Einhaltung von Vorschriften, und diese spielen dabei eine Rolle.

5
Tom

Ich kenne nur eine Ausnahme von dieser Regel. Es gibt einen einzelnen Computer, der von mehreren Benutzern gemeinsam genutzt wird, und die folgenden Aussagen sind alle zutreffend:

  • ein und nur einer dieser Benutzer ist zu jedem Zeitpunkt für diese Maschine verantwortlich
  • das Konto kann nur auf dem lokalen Computer verwendet werden - deaktiviert über das Netzwerk

Dies kann auf 7/7 24/24 Systemen passieren. In diesem Anwendungsfall behalten Sie eine akzeptable Zurechenbarkeit bei, indem Sie den Benutzer kennen, der zu einem bestimmten Zeitpunkt anwesend war, vorausgesetzt, Sie können die obige zweite Regel festlegen. Tatsächlich ist es jedoch gleichbedeutend damit, ein Konto ohne Kennwort zu haben und nur physische Sicherheit zu verwenden.

4
Serge Ballesta

Ein weiteres Problem, das noch nicht erwähnt wurde, ist, dass jemand, der eine Benachrichtigung erhält, dass auf sein Konto zugegriffen wird oder zu einem Zeitpunkt zugegriffen wurde, zu dem er nicht darauf zugreift/nicht zugreift und nicht erwartet, dass dies jemand anderes tut. ' Es ist viel wahrscheinlicher, dass ein Alarm ausgelöst wird, als wenn sie glauben, dass jemand, den sie autorisiert haben, auf das Konto zugegriffen hat.

Angesichts der Anzahl der Fälle, in denen es erforderlich sein kann, dass jemand eine andere Person autorisiert, eine bestimmte Aktion in seinem Namen auszuführen, wäre es äußerst hilfreich, wenn die Dienste ein Mittel enthalten könnten, mit dem Konten sekundäre Anmeldeinformationen mit eingeschränkten Rechten autorisieren und widerrufen könnten . Auf diese Weise kann das System melden, welche Anmeldeinformationen für den Zugriff auf ein Konto verwendet wurden, sodass jemand die erwarteten von unerwarteten Aktivitäten besser unterscheiden kann.

3
supercat

Hier sind einige Punkte zum leichteren Verständnis und zur schnellen Überprüfung.

Rechenschaftspflicht

Die Rechenschaftspflicht ist ein weiteres wichtiges Prinzip der Informationssicherheit, das sich auf die Möglichkeit bezieht, Aktionen und Ereignisse zeitlich auf die Benutzer, Systeme oder Prozesse zurückzuführen, die sie ausgeführt haben, um die Verantwortung für Aktionen oder Auslassungen festzulegen.

Compliance

Wenn Sie den Weg zur Einhaltung der DSGVO oder der meisten Vorschriften beschreiten möchten, müssen Sie in der Lage sein, eine Zeile zu definieren, auf die jedes Konto Zugriff hat.

legal

Im Falle einer Prüfung müssen Sie in der Lage sein, die Konten zu identifizieren, die kompromittiert wurden oder für eine Aktion verantwortlich waren.

Verwalten und schützen

Um ein Konto zu schützen, zu verwalten und zu überwachen, ist es einfacher, einen separaten individuellen Zugriff zu haben, um abnormale Nutzung zu löschen, zu ändern und zu erkennen.

Selbst wenn Sie keine Vorschriften befolgen, sollten Sie (empfohlen) die "Best Practices" befolgen, um Ihren gesamten Netzwerkprozess in großem Umfang zu unterstützen.

3
Vcode

Zusätzlich zu dem Überwachungsproblem, auf das andere Antworten hinweisen, gemeinsam genutzte Benutzerkonten sind von Natur aus weniger sicher als ein Einzelbenutzerkonto auf derselben Plattform.

Wenn mehr Personen die Anmeldeinformationen für die Anmeldung kennen, ist dieses Konto weniger sicher. Sie haben jetzt viel mehr potenzielle Opfer von Social-Engineering-Angriffen. Jede weitere Person mit Zugriff auf das Konto ist ein weiterer Angriffsvektor gegen die Sicherheit dieses Kontos. Wie das Sprichwort sagt, können zwei ein Geheimnis für sich behalten, wenn einer tot ist.

Ich würde auch vor der Verwendung gemeinsamer Anmeldungen aus psychologischer Sicht warnen. Gemeinsame Anmeldungen bedeuten nicht nur Bedenken hinsichtlich der Prüfung/des Verschuldens, sondern auch, dass beide die Schuld teilen. Sie könnten die persönliche Rechenschaftspflicht und Arbeitsmoral beeinträchtigen. Wenn es sich um ein freigegebenes Profil handelt, fühlt sich jede Person weniger für die Sicherheit dieses Kontos verantwortlich. Selbst wenn sie die richtigen Dinge tun (z. B. einen Passwort-Manager verwenden und Phishing-E-Mails vermeiden), was ist, wenn ihr Mitarbeiter dies nicht tut? Warum sollten sie zusätzliche Anstrengungen unternehmen, wenn eine andere Person sowieso nur das Falsche tut?

Außerdem vermute ich, dass freigegebene Anmeldungen schwächere Kennwörter haben, die das Konto schützen. Der Versuch, ein sicheres Passwort zu teilen und es für mehrere Personen ordnungsgemäß zu verwalten, wäre unpraktisch. Sie würden wahrscheinlich entweder den kleinsten gemeinsamen Nenner für Passwortschwäche haben (CompanyName01?) oder ein Passwort, das physisch für alle in der Umgebung sichtbar ist.

1
ryanyuyu

Wie von vielen gesagt, sind Rechenschaftspflicht, Rückverfolgbarkeit, Haftung usw. die Hauptgründe. Es gibt eine Reihe von zusätzlichen Punkten zu beachten:

  • Wie geheim sind die Informationen, auf die zugegriffen wird? Im Extremfall verwenden viele öffentliche FTP-Server (d) ein freigegebenes Konto "anonym". Und ist das Konto, mit dem Sie auf öffentliche WWW-Server zugreifen (ein nicht authentifiziertes Konto), nicht grundsätzlich dasselbe? Was ist mit WPA2-Passwörtern?
  • Wenn Sie eine Unternehmensrichtlinie erstellen, ist es viel einfacher, "NIEMALS Konten freigeben" zu erzwingen, als "Nun, Sie sollten niemals ein Konto freigeben, aber in einigen Fällen, wie z. B. ein schreibgeschütztes Konto, um nicht so geheime Informationen für a begrenzte Zeit zwischen zwei Personen, die zusammenarbeiten, können Sie dies tun, wenn das tatsächliche Risiko gering ist ".
  • Es gibt auch einen Verwaltungsaufwand für gemeinsam genutzte Konten. Ein bereits gegebenes Beispiel ist die Notwendigkeit, Passwörter zu ändern, wenn jemand geht.
  • Einige Konten müssen freigegeben werden. Ein Beispiel ist root unter Unix/Linux. Ja, Sie werden die Verwendung von root in der Produktion stark einschränken, z. B. Sudo mit umfassender Protokollierung und Sicherheitsüberwachung, einem Kennwort-Tresor usw., aber es handelt sich immer noch um ein freigegebenes Konto .
1
Ljm Dullaart