是否可以将 SecurID 2FA 用于高特权共享帐户?我目前正在使用 CyberArk 来保管特权帐户的密码。当我签出密码时,我想确保该帐户必须 2FA 到端点。我看到的问题是我所有的管理员都共享这些帐户。对我来说,这意味着他们还必须共享一个令牌。这是不可能的,因为它们分布在全国各地,无论如何都是不好的做法。他们的个人令牌是否可以映射到其他受保护的帐户,以便他们可以 2FA 到端点?还有其他解决方案吗?
我可以对共享帐户使用 2 因素身份验证吗?
信息安全
验证
特权帐户
2021-09-11 03:48:01
3个回答
共享帐户本身就是一种不好的做法,因为您无法知道实际上是谁在进行访问。每个“管理员”都应该有自己的帐户,您可以授予该帐户管理员权限。
2FA是关于同时使用两种身份验证方法,处理两个不同的类别。这些类别是:“你知道的东西”、“你拥有的东西”和“你是的东西”。知识可以共享(即两个不同的人可能知道相同的密码——正如我上面所说的那样,这是一种不好的做法,但仍然可行)。另外两个因素本质上与物理个体有关。例如,如果使用物理令牌(“您拥有的东西”),那么该令牌一次只能在一个人手中,这就是重点。
因此,如果您使用两个身份验证因素,则其中至少一个不能共享。因此,2FA 在概念上与共享帐户本质上是不兼容的。结果是,如果您成功拥有一个共享帐户,那么您就没有使用 2FA(您可能会得到 2FA 的廉价塑料仿制品,但不是真品)。
不要使用共享帐户。共享帐户是邪恶的。
不管这是否是“不好的做法”,完全有可能在创建时共享一个 TOTP“共享密钥”(字符串或二维码),此时您可以拥有多个虚拟 OTP 设备,它们将生成相同的代码。
在 CyberArk 中执行此操作的最佳方法是:使用“独家”平台策略。启用此功能后,您将始终了解哪些共享用户在特定时间使用该帐户。希望这能解释