Měly by se účty uživatelů jen blokovat anebo rovnou mazat?
Na první pohled není důvod ponechávat v systému účty zaměstnanců, kteří již u vás nepracují anebo již nejsou vašimi klienty.
Jako best practice se doporučuje tyto účty smazat. Jednoduše proto, že když dojde k jejich smazání, nemůže je nikdo hacknout. V okamžiku, kdy účet jen zablokujete, může dojít k jeho odblokování např. za použití technik sociálního inženýrství. Jenže jsou zde určité konsekvence…
V případě účtů zaměstnanců se zpravidla postupuje tak, že se účet zablokuje (disable), v AD se uživatel přesune do jiné OU, a data včetně e-mailů se pak uloží do archivu a předají zaměstnanci, který na uvolněnou pozici nastoupil anebo přímému nadřízenému daného uživatele. U e-mailu se pak nastaví automatická odpověď, do které se uvede, že daná osoba už v organizaci nepracuje a v dané záležitosti že je třeba se obracet na osobu X.
Po určité době, nejpozději pak do jednoho roku se účet smaže. A právě tehdy nastává problém. Onen problém spočívá v tom, že v okamžiku, kdy je daný účet smazán, tak již neexistuje a kdokoliv pak může tento účet se stejným jménem vytvořit znovu a nejen účet, ale i e-mailovou adresu.
Ve Windows samozřejmě nedojde k tomu, že by uživatel se stejným username získal přístup ke zdrojům, ke kterým měl přístup jeho jmenovec, to zajistí tzv. SID, který je unikátní, a který je přidělen každému nově vytvořenému účtu, a kterému jsou de facto přidělována práva souborům apod.
Jenže v ostatních systémech a aplikacích to tak být nemusí, a v okamžiku, kdy řízení přístupu je založeno nikoliv na SID, ale username, např. v nějaké DB je uloženo jen jméno z domény a role, tak pak dojde k ověření uživatele v doméně a kontrola, zda předávané username má danou roli a pokud ano, tak je přístup povolen.
V případě e-mailu pak nový zaměstnanec stejného jména, získává i stejný e-mail jako měl jeho předchůdce před x lety a třeba i na úplně jiné pozici. A teď si představte, že jinému zaměstnanci nebo klientovi dané firmy od tohoto uživatele přijde e-mail, obdobný jako mu chodil dříve. (Dokonce nemusí mít ani úplně stejné jméno, záleží na tom, jak firma e-maily ze jména tvoří.)
O tom, že by ve firmách k takovýmto zneužitím docházelo, nevíme, ale že k nim dochází na internetu, je bohužel realita. Problém spočívá v tom, že v okamžiku, kdy uživatel svůj účet zruší, tak je jméno, pod kterým byl registrován, uvolněno k opětovnému použití.
Nahrávání ...
Štítky: informační bezpečnost
K článku “Měly by se účty uživatelů jen blokovat anebo rovnou mazat?” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Takto dochází např. ke zneužívání účtu na Twitteru, kde jak už to bývá zvykem, dostal tento útok i jméno. Říká se mu DoubleSwitch attack, a dochází při něm ke zneužití hacknutých důvěryhodných účtů k šíření jakýchkoliv informací, které tak získají punc důvěryhodnosti. Na začátku je samozřejmě nějaký malware a získání přihlašovacích údajů k tomuto účtu. Poté následuje změna hesla a e-mailové adresy pro reset hesla a přejmenování účtu na účet ne nepodobný jiné důvěryhodné osobě nebo organizaci. Přejmenováním účtu však dojde k uvolnění původního jména, které je nyní k dispozici, což ví jen útočník a tak se ihned pod tímto účtem zaregistruje. Získání účtu zpět jeho oprávněným vlastníkem je potom problematické, protože je možná jen přes online formulář anebo přes telefon.