#1 楼
爱丽丝和夏娃为鲍勃工作。爱丽丝是一位非常出色的工人,完全按照鲍勃的要求去做。夏娃是摧毁鲍勃公司的罪魁祸首。爱丽丝和夏娃都拥有相同的帐户。业务流程。审核日志记录了此操作。
Bob如何知道谁破坏了他的公司?他必须摆脱坏演员,但不能解雇他们两个人,因为他的公司取决于他们所做的工作。他只可以开枪,但他无法知道哪一个是他的朋友,哪个是他的敌人。谁进行了破坏活动。如果夏娃知道自己的帐户将被审计并且将被逮捕,她甚至可能会避免进行破坏活动。需要重置她有权访问的每个帐户的密码,而不仅仅是禁用她的个人帐户。这很难管理,而且您会错过帐户。
此外,它使您无法对访问进行精细控制。如果爱丽丝应该写支票,而夏娃应该签名,则基本上没有技术手段可以强制他们共享同一个帐户。恶意更改其环境。爱丽丝知道爱丽丝桌面上的文件。任何新文件都可能对她造成危险。爱丽丝不知道爱丽丝和夏娃的共享桌面上有哪些文件。新文件可能会耸耸肩,并假定其他用户而不是恶意参与者将其放在了那里。
评论
+1除非夏娃(Eve)是犯罪策划者,否则会侵入鲍勃(Bob)的帐户,因此他不得不开除他自己:-)
– TripeHound
19年2月25日在16:22
一个更常见的情况:夏娃退出或被解雇。现在您必须更改Eve所使用的所有内容的凭据(假设您知道),您不能仅禁用Eve的帐户。
– JimmyJames
19年2月25日在16:41
共享帐户还使得检测不良行为者何时获得对其应具有的帐户的访问权限变得更加困难。
– JimmyJames
19年2月25日在16:44
即使Eve不想破坏公司,Alice和Eve共享帐户也意味着Bob不能在不将Alice授予Elice的情况下授予其其他权限。如果Alice得到晋升并且现在可以访问数据X,那么Eve也会获得它。
–minnmass
19年2月25日在19:10
@ jpmc26这是正确的,但这不特定于共享帐户还是非共享帐户。
– Monica辩护律师走出去
19年2月26日在13:38
#2 楼
真实的故事发生在一个朋友的工作场所(辖区:德国):他的同事通过她的公司电子邮件侮辱了他的客户。她为此被开除。她确实上了法庭。在那儿,她的律师使法院意识到员工共享密码的事实(例如,在没有某位同事的情况下答复客户的邮件)。
法官裁定在那不能很好地证明所讨论的人确实是发送侮辱性电子邮件的人。必须重新雇用此人并为损失的工资提供补偿。
士气:用户帐户的功能之一是区分用户彼此,使他们的行为可审计。只有私人帐户才能实现该功能。
评论
这是经典,在许多国家都有很多变化。在几乎所有地方都可以找到类似的示例。它是如此的主流,以至于在大多数法国保德信公司(任命来解决劳资纠纷的法国法庭)中,都没有搞笑故事的资格。
–xdtTransform
19年2月26日在15:30
题外话:但这只是一个错误的电子邮件设置。在过去15到20年中,每种电子邮件系统都支持委派邮箱访问,甚至Gmail和以前称为Hotmail都支持它。
– D
19 Mar 1 '19 at 0:54
@D:过去总是提供技术解决方案,但是在这种情况下,公司选择让员工仅共享Windows密码,这就是该政策的结果。
–丹尼尔(Daniel)
19年1月1日15:46
@slebetman:我认为这个故事的寓意应该是:用户帐户的功能之一就是区分用户彼此,使他们的行为可审计。只有私人帐户才能执行该功能。
–丹尼尔(Daniel)
19年3月1日在16:03
@Daniel就是答案!此页面上的其他所有内容都会使人分心。
–轨道轻度竞赛
19-3-2在16:36
#3 楼
您应该在所有情况下都使用单独的帐户(顶部是安全性)。Adonalsium示例向您展示,因为它是必需的。
在一些罕见的情况下,它是“不可能”或“无效”的.. 。
示例:
“不可能”(旧版协议/应用程序)
“不相关”(匿名操作)
如果不可能,但您需要确定,您必须减轻风险,添加尽可能多的源信息(例如,连接信息,连接时间等)。
您可以检查ISO 27001风险评估方法,ISO 31000风险管理作为回答您的问题“为什么避免共享用户帐户?”的起点
评论
ISO 27001没有详细介绍任何RM方法,它基本上说“嘿,RM是一个好主意,应该有一个。” RM在27005中进行了详细说明,但又在较高的层次上没有特定的方法,仅列出了一些示例(还有一些不好的示例!)。 27k在这方面确实没有帮助,即使我已经知道27k,在我的风险管理课程中也很难教给人们适当的风险管理。
–汤姆
19 Mar 3 '19 at 8:51
#4 楼
典型的答案是问责制,可追溯性等;换句话说,要知道谁确实做了什么。 >通常通过确保有人对该帐户的活动负法律责任来解决此问题。这可能是可行的,也可能是不可行的,并且您可能没有人来对他人的行为负责。当您将某些监视活动外包时,经常会出现此问题-应该执行监视任务的帐户
如果不能指派负责人,则应由管理层根据风险做出决策:没有服务或。不知道谁对那个帐户做什么。
#5 楼
最佳实践无处“定义”,这就是该术语的含义。最佳实践只是做事的一种既定方法,大多数人认为这是最好的方法。反之亦然。一旦“最佳实践”成为主流,通常标准委员会中的某人就会决定将其纳入某些ISO或其他规范中。然后就停在那里,通常没有明确的理由,也没有循环的理由指出这是最佳实践。如果爱丽丝和鲍勃共享一个帐户,但发生了一些不好的事情,他们俩都将指向对方,那么您将无法确定谁做了。对于个人帐户,他们会声称它已受到损害,但您至少只有一点可以进行进一步调查。他们参与其中。
评论
但是,某人(或组织)写并发布记录最佳实践的东西并不罕见。但这并没有定义它们,哪些实践应该/不应该包含在本文档中可能会引起争议,但是明确同意不共享帐户,OP只是问是否有人写下来。
– Peter Cordes
19年2月27日9:00
否,OP特别询问是否已定义,例如按照ISO规范。我的回答是,如果它在ISO规范中,那么它就存在,因为他们认为这是最佳做法,而不是相反。
–汤姆
19-2-27在15:47
我很高兴有人真正解决了问题的标准部分。 PCI DSS要求8.1和8.5涉及使用唯一帐户而不是共享帐户。 NIST SP 800-53还包含有关共享帐户的标识和使用的部分。
– HackneyB
19 Mar 3 '19 at 0:52
#6 楼
我只知道该规则的一个例外。一台机器可以由多个用户共享,并且以下断言都是正确的:一个,并且这些用户中只有一个随时负责此计算机/>该帐户只能在本地计算机上使用-通过网络禁用
这可能在7/7 24/24系统上发生。在该用例中,只要您可以设置上述第二条规则,就可以通过了解特定时刻的用户来保持可接受的可插补性。但是实际上,这等效于拥有一个没有密码的帐户,而仅使用物理安全性。
评论
通常,在此设置中,最佳实践是使用管理软件每隔几个小时滚动一次密码,并让工作人员根据需要将共享密码检出到其个人帐户中。
– Monica辩护律师走出去
19年2月27日在20:08
另请注意,与为多个用户正确配置凭据相比,此处介绍的方法具有0个优势。如果您可以学习如何配置仅本地访问,则可以学习如何正确配置sudo。
–铁·格林姆(Iron Gremlin)
19年3月1日,1:12
#7 楼
另一个尚未提及的问题是,如果某人收到通知,告知他们某帐户正在被访问或曾经在/不希望访问该账户,并且不希望其他人访问该账户,那么他们就是如果他们认为该帐户可能已由他们授权的人访问,那么发出警报的可能性要大得多。鉴于可能需要进行报警的案件数量某人授权他人代表他们执行某些特定操作,如果服务可以包含一种帐户可以授权和撤销权限有限的辅助凭据的方式,那将非常有帮助。这将使系统能够报告使用了哪个凭据来访问帐户,从而使某人可以更好地区分预期活动与意外活动。
#8 楼
以下是一些易于理解和快速回顾的要点。及时向执行这些操作的用户,系统或流程建立起责任,以确立行为或疏忽的责任。或大多数法规,您需要能够在每个帐户可以访问的位置上定义一条线。法律
如果进行审核,则需要查明
管理和保护
要保护,管理和监视帐户,可以更容易地单独访问删除,修改和管理帐户。检测异常使用情况。
即使您未遵循任何法规,也仍应(建议)遵循“最佳做法”,它可以帮助您。我们的整个网络过程是大规模的。
评论
这只是其他答案的总结,没有新内容吗?
– schroeder♦
19-2-27在21:50
#9 楼
除了其他答案指出的审核问题之外,共享用户帐户本质上不如同一平台上的单用户帐户安全。如果更多的人知道登录凭据,则该帐户的安全性较低。现在,您有更多潜在的社会工程攻击受害者。每个拥有帐户访问权限的人都是该帐户安全受到攻击的另一个媒介。俗话说,如果一个人死了,两个人可以保守秘密。
从心理学的角度来看,我也警告不要使用共享登录。除了审核/犯罪方面的顾虑外,共享登录也固有地意味着将荣耀归咎于双方。您可能没有激励个人责任感和职业道德。如果是共享配置文件,则每个人都将对该帐户的安全负责。毕竟,即使他们做了所有正确的事情(例如使用密码管理器和避免网络钓鱼电子邮件),但如果他们的同事不这样做怎么办?当另一个人反正会做错事时,为什么还要付出额外的努力呢?
另外,我怀疑共享登录名的密码会弱一些,以保护该帐户。尝试共享一个强密码并在多个人之间正确管理它会很不方便。您可能会以密码弱点的最低公分母(
CompanyName01?)或实际写下的密码来查看该区域的所有人。 #10 楼
正如许多人所说,责任,可追溯性,责任等是主要原因。还有许多需要考虑的要点:访问的信息有多秘密?在极端情况下,许多公共FTP服务器使用(d)共享帐户“匿名”。您用于访问公共www服务器的帐户(未经身份验证的帐户)是否基本不相同? WPA2密码怎么办?
创建公司策略时,强制执行“永不共享帐户”比“绝对不要共享帐户”要容易得多,但是在某些情况下,例如只读帐户要在两个人在一起工作的有限时间内不那么秘密地进行信息保密,您可以这样做,如果实际风险较低的话。”
共享帐户也有管理负担。已经给出的示例是有人离开时需要更改密码。
某些帐户需要共享。一个示例是Unix / Linux上的
root。是的,您将在生产中对root的使用设置很多限制,例如具有广泛日志记录和安全监控,密码库等的sudo,但它仍然是共享帐户。
评论
对于那些在评论中回答的人-请不要这样做。我已经删除了。如果您想将它们写为答案,将非常有帮助。