نوشته‌شده در

تأیید هویت – آیا دلایل عینی برای استفاده از کاربر / رمز عبور اختصاص داده شده به جای ارائه دهندگان هویت در یک سازمان بزرگ وجود دارد؟

من برای یک سازمان بزرگ کار می کنم (هزاران نفر از کارمندان + شاید ده ها هزار نفر از کاربران خارجی که دسترسی جزئی به کسری از اطلاعات داخلی دارند) و بسیاری از این افراد با استفاده از نام کاربری / رمز عبور (که به طور مرتب منقضی می شوند) تایید می شوند. [19659002] با این حال، بسیاری از این افراد (برای کارکنان مشخص است صرف نظر از اینکه آیا آنها معمولا در ویندوز، لینوکس یا iOS کار می کنند) با یک حساب کاربری Active Directory (آدرس ایمیل داخلی) و AFAIK تمام سیستم های ما اجازه ورود به سیستم را با استفاده از ADFS فراهم می کنند.

حتی برای آن دسته از کاربران خارجی که دسترسی بسیار محدودی دارند (مثلا برای بعضی از گزارش ها) ما می توانیم یک راه حل را با استفاده از ارائه کننده اصلی هویت (مثلا گواهی هویت گوگل) پیاده کنیم، اگر ADFS مجاز نباشد.

Creating usernames / password یک بار برای کاربران و بسیاری از آنها از فایل های اکسل و ایمیل برای ذخیره آنها استفاده می کنند که یک خطر امنیتی است. همچنین از اشتراک کاربری شنیدم، بنابراین نمیتوانم بدانم که چه کسی از یک کاربر خاص استفاده کرده است.

بنابراین، با استفاده منحصربفرد از اعتبارهای ویندوز و شاید برخی ارائه دهندگان هویت دیگر، کاربر باید فقط از یک جفت اعتبار در هنگام برخورد با تمام سیستم های شرکت. همچنین، به اشتراک گذاری اعتبار ناپدید خواهد شد.

سوال: آیا دلایل عینی برای استفاده از کاربر / رمز اختصاصی به جای ارائه دهندگان هویت در یک سازمان بزرگ وجود دارد؟

نوشته‌شده در

آیا یک مدل تهدید کاملا ذهنی است یا می تواند براساس رهنمودهای عینی باشد؟

همه ما می دانیم که در زمینه امنیت همه چیز به مدل تهدید بستگی دارد، که اساسا بدان معنی است که شما باید تعریف کنید چه کسی یا چه چیزی از شما محافظت می کند. اما چه کسی باید این تصمیم را بگیرد و بر اساس کدام هدف؟ از آنجا که شما نمی توانید 19459003 همه چیز را از همه چیز را محافظت کنید، باید تهدیدات بیشتر را انتخاب کنید و روی آن ها تمرکز کنید. اما من فکر می کنم که بدون تصمیم گیری های ذهنی، احتمال احتمال تهدید را ندارم، و نمی دانم آیا روش یا مجموعه ای از بهترین شیوه هایی وجود دارد که می توانند کمک کنند.

من از این سوال می پرسم چون متوجه شدم که من نمی تواند تصمیم بگیرد از چه چیزی محافظت کند. آسان است می گویند "پیوست ها را از فرستندگان مشکوک باز نکنید"، اما تصمیم می گیرد چه کسی مشکوک است و دقیقا چطور؟ این می تواند به عنوان "کسی که در لیست تماس شما نیست" تعریف شود و یا "هر کسی تا زمانی که از [insert your favorite rogue country here] نیست" باشد، اما این به نظر من بسیار منسجم است. اگر من به مرورگر من اعتماد نکنم، ممکن است آن را در داخل VM استفاده کنم، اگر به VM اعتماد نکنم، ممکن است از یک دستگاه air-gapped استفاده کنم، اگر به ماشین اعتماد نکنم … خوب، هرگز به پایان می رسد، بنابراین، دوباره، چه کسی تصمیم می گیرد چه باید بپردازم و بر چه اساس؟ یا به عنوان مثال، چگونه می توانم بدانم اگر حتی از دولت نیز محافظت کنم، اگر احتمالا هدفم باشد؟ این ممکن است مانند یک خط نازک بین یک مدل تهدید و پارانویا وجود داشته باشد اما حداقل پارانوی واقعی میتواند تشخیص دهد. دکتر برخی از علائم را در یک کتاب رسمی بررسی می کند و تصمیمات را بر اساس آن (یا حداقل باید) تعیین کند. به طور مشابه، اگر یک روش عینی برای تعریف مدل های تهدید وجود داشته باشد، پزشک کتاب خود را باز می کند و مانند آن خواهد بود: "بله، چین به طور رسمی به عنوان کشور سرکش به عنوان infosec در نظر گرفته، بنابراین در این مورد شما باید قطعا ایمیل را رد کنید از آنجا "و یا" نه، در وضعیت شما فقط باید نرم افزار را در بازپرداخت رسمی توزیع خود اعتماد کنید؛ اگر به آن اعتماد نکنید، ممکن است پارانوئید باشید و ممکن است این قرص ها را مصرف کنید. "