31 dic. 2013

Cuentas de administrador con contraseña que no expira

En una encuesta completamente no científica que realicé durante una presentación reciente de TechEd, pregunté cuanta gente que tiene credenciales de administración de dominio tienen también configurado su cuenta de administrador para que esté exenta de la política de contraseñas que requiere cambios periódicos.

La respuesta fue una risa nerviosa.

Mientras que algunas organizaciones tienen políticas estrictas respecto del cambio de contraseñas, el forzado de esas políticas a menudo es inconsistente. A menor tamaño del departamento de TI, menos probable que los usuarios privilegiados sean estrictos en adherir políticas de seguridad tales como cambiar regularmente la contraseña de las cuentas privilegiadas.

¿Porqué? Probablemente porque nadie salvo los propios administradores podrían percatarse que la política está siendo violada.

En tanto continúe la tendencia inevitable de administradores únicos a manejar cada vez más computadoras, el tamaño del departamento de TI de muchas organizaciones se ha ido reduciendo. Mientras una compañía con 1500 personas hace diez años tendría un pequeño equipo de administradores, la misma compañía podría tener hoy uno o dos solamente.

Con la reducción del tamaño de la administración viene la reducción de la supervisión entre pares. “Quis custodiet ipsos custodes” (¿quien vigila a los vigilantes?) es una pregunta fácil de responder cuando los vigilantes se controlan unos a otros, mucho menos fácil de responder si solo hay uno o dos vigilantes. Quizás en grandes equipos de TI son mejores con el auto-control cuando se trata de cumplimiento de políticas de seguridad sencillamente porque hay más presión entre pares.

Si bien hay consultas que se pueden ejecutar en el Centro de Administración de Directorio Activo para determinar cuales cuentas no han cambiado recientemente su contraseña, esta no es una tarea que sea probable que la ejecute nadie fuera del equipo de administración.

Mientras que algunos administradores pueden encogerse de hombros y decidir que si bien esa es una mala práctica, hay poco riesgo para ellos porque se aseguran que nadie los mire por encima del hombro cuando ingresan su contraseña. La realidad es que como el autor de ciencia ficción señala en un blog reciente (http://www.antipope.org/charlie/blog-static/2013/12/trust-me.html ), los keyloggers se están haciendo pequeños, pueden ser dispositivos USB pasantes e incluso pueden formar parte del propio teclado. A menos que un administrador verifique su computadora cada vez en busca de la presencia de tales dispositivos, alguien que trabaje en la misma organización podría poner tal dispositivo físicamente en la computadora del administrador (otro buen argumento para el doble factor de autenticación para las cuentas privilegiadas.)

Al final de cuentas si uno selecciona la opción "la contraseña no expira nunca" eso depende de uno. Habilitándole se reduce la seguridad de su organización y con el advenimiento de cuentas de servicio administradas, hay menos razones para usar contraseñas estáticas con cualquier cuenta de usuario.

Traducción: Raúl Batista - Segu-Info
Autor: Orin Thomas
Fuente: Windows IT Pro

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!