Měly by se účty uživatelů jen blokovat anebo rovnou mazat?

Na první pohled není důvod ponechávat v systému účty zaměstnanců, kteří již u vás nepracují anebo již nejsou vašimi klienty.

Jako best practice se doporučuje tyto účty smazat. Jednoduše proto, že když dojde k jejich smazání, nemůže je nikdo hacknout. V okamžiku, kdy účet jen zablokujete, může dojít k jeho odblokování např. za použití technik sociálního inženýrství. Jenže jsou zde určité konsekvence…

V případě účtů zaměstnanců se zpravidla postupuje tak, že se účet zablokuje (disable), v AD se uživatel přesune do jiné OU, a data včetně e-mailů se pak uloží do archivu a předají zaměstnanci, který na uvolněnou pozici nastoupil anebo přímému nadřízenému daného uživatele. U e-mailu se pak nastaví automatická odpověď, do které se uvede, že daná osoba už v organizaci nepracuje a v dané záležitosti že je třeba se obracet na osobu X.

Po určité době, nejpozději pak do jednoho roku se účet smaže. A právě tehdy nastává problém. Onen problém spočívá v tom, že v okamžiku, kdy je daný účet smazán, tak již neexistuje a kdokoliv pak může tento účet se stejným jménem vytvořit znovu a nejen účet, ale i e-mailovou adresu.

Ve Windows samozřejmě nedojde k tomu, že by uživatel se stejným username získal přístup ke zdrojům, ke kterým měl přístup jeho jmenovec, to zajistí tzv. SID, který je unikátní, a který je přidělen každému nově vytvořenému účtu, a kterému jsou de facto přidělována práva souborům apod.

Jenže v ostatních systémech a aplikacích to tak být nemusí, a v okamžiku, kdy řízení přístupu je založeno nikoliv na SID, ale username, např. v nějaké DB je uloženo jen jméno z domény a role, tak pak dojde k ověření uživatele v doméně a kontrola, zda předávané username má danou roli a pokud ano, tak je přístup povolen.

V případě e-mailu pak nový zaměstnanec stejného jména, získává i stejný e-mail jako měl jeho předchůdce před x lety a třeba i na úplně jiné pozici. A teď si představte, že jinému zaměstnanci nebo klientovi dané firmy od tohoto uživatele přijde e-mail, obdobný jako mu chodil dříve. (Dokonce nemusí mít ani úplně stejné jméno, záleží na tom, jak firma e-maily ze jména tvoří.)

O tom, že by ve firmách k takovýmto zneužitím docházelo, nevíme, ale že k nim dochází na internetu, je bohužel realita. Problém spočívá v tom, že v okamžiku, kdy uživatel svůj účet zruší, tak je jméno, pod kterým byl registrován, uvolněno k opětovnému použití.

Blokujete účty zaměstnanců, co už u vás nepracují anebo je mažete?

Nahrávání ... Nahrávání ...


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Email this to someone
email
Print this page
Print

Štítky:

  1. Miroslav Čermák

    Takto dochází např. ke zneužívání účtu na Twitteru, kde jak už to bývá zvykem, dostal tento útok i jméno. Říká se mu DoubleSwitch attack, a dochází při něm ke zneužití hacknutých důvěryhodných účtů k šíření jakýchkoliv informací, které tak získají punc důvěryhodnosti. Na začátku je samozřejmě nějaký malware a získání přihlašovacích údajů k tomuto účtu. Poté následuje změna hesla a e-mailové adresy pro reset hesla a přejmenování účtu na účet ne nepodobný jiné důvěryhodné osobě nebo organizaci. Přejmenováním účtu však dojde k uvolnění původního jména, které je nyní k dispozici, což ví jen útočník a tak se ihned pod tímto účtem zaregistruje. Získání účtu zpět jeho oprávněným vlastníkem je potom problematické, protože je možná jen přes online formulář anebo přes telefon.


K článku “Měly by se účty uživatelů jen blokovat anebo rovnou mazat?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: