Gestión de contraseñas

Existen varias formas de software que se utilizan para ayudar a los usuarios u organizaciones a administrar mejor las contraseñas :

• Diseñado para ser utilizado por un solo usuario:
  • Las personas utilizan el software de administración de contraseñas para organizar y cifrar muchas contraseñas personales mediante un único inicio de sesión. A menudo, esto también implica el uso de una clave de cifrado . Los administradores de contraseñas también se conocen como billeteras de contraseñas .
• Diseñado para ser utilizado por múltiples usuarios/grupos de usuarios:
  • Las organizaciones utilizan el software de sincronización de contraseñas para hacer que diferentes contraseñas, en diferentes sistemas, tengan el mismo valor cuando pertenecen a la misma persona.
  • El software de autoservicio para restablecer contraseñas permite a los usuarios que olvidaron su contraseña o activaron un bloqueo contra intrusos autenticarse utilizando otro mecanismo y resolver su propio problema, sin llamar a un servicio de asistencia de TI.
  • El software de inicio de sesión único empresarial supervisa las aplicaciones iniciadas por un usuario y completa automáticamente los ID de inicio de sesión y las contraseñas.
  • El software de inicio de sesión único web intercepta el acceso del usuario a las aplicaciones web e inserta información de autenticación en el flujo HTTP(S) o redirige al usuario a una página separada, donde se autentica y se le dirige de regreso a la URL original.
  • Gestión de contraseñas privilegiadas (utilizada para proteger el acceso a cuentas privilegiadas compartidas).

Gestión de contraseñas privilegiadas

La administración de contraseñas privilegiadas es un tipo de administración de contraseñas que se utiliza para proteger las contraseñas de los ID de inicio de sesión que tienen privilegios de seguridad elevados. La mayoría de las veces, esto se hace cambiando periódicamente cada contraseña por un valor nuevo y aleatorio. Dado que los usuarios y los procesos de software automatizados necesitan estas contraseñas para funcionar, los sistemas de administración de contraseñas privilegiadas también deben almacenarlas y proporcionar diversos mecanismos para revelarlas de manera segura y adecuada. La gestión de contraseñas privilegiadas está relacionada con la gestión de identidades privilegiadas .

Ejemplos de contraseñas privilegiadas

Hay tres tipos principales de contraseñas privilegiadas. Se utilizan para autenticar:

Cuentas de administrador local

En los sistemas Unix y Linux, el usuario root es una cuenta de inicio de sesión privilegiada. En Windows, el equivalente es Administrador. En bases de datos SQL, el equivalente es sa. En general, la mayoría de los sistemas operativos, bases de datos, aplicaciones y dispositivos de red incluyen un inicio de sesión administrativo, que se utiliza para instalar software, configurar el sistema, administrar usuarios, aplicar parches, etc. En algunos sistemas, se asignan diferentes funciones privilegiadas a diferentes usuarios, lo que significa que hay cuentas de inicio de sesión más privilegiadas, pero cada una de ellas es menos poderosa.

cuentas de servicio

En el sistema operativo Windows, los programas de servicio se ejecutan en el contexto de cualquier sistema (muy privilegiado pero sin contraseña) o de una cuenta de usuario. Cuando los servicios se ejecutan como un usuario que no es del sistema, el administrador de control de servicios debe proporcionar un ID de inicio de sesión y una contraseña para ejecutar el programa de servicio, de modo que las cuentas de servicio tengan contraseñas. En los sistemas Unix y Linux, init e inetd pueden iniciar programas de servicio como usuarios sin privilegios sin conocer sus contraseñas, por lo que los servicios normalmente no tienen contraseñas.

Conexiones de una aplicación a otra

A menudo, una aplicación necesita poder conectarse a otra para acceder a un servicio. Un ejemplo común de este patrón es cuando una aplicación web debe iniciar sesión en una base de datos para recuperar cierta información. Estas conexiones entre aplicaciones normalmente requieren un ID de inicio de sesión y una contraseña, y esta contraseña.

Proteger contraseñas privilegiadas

Un sistema de administración de contraseñas privilegiadas protege las contraseñas privilegiadas mediante:

• Cambiar periódicamente cada contraseña a un nuevo valor aleatorio.
• Almacenamiento de estos valores.
• Proteger los valores almacenados (por ejemplo, mediante cifrado y almacenamiento replicado).
• Proporcionar mecanismos para revelar estas contraseñas a varios tipos de participantes en el sistema:
  • Administradores de TI.
  • Programas que inician servicios (por ejemplo, administrador de control de servicios en Windows).
  • Aplicaciones que deben conectarse a otras aplicaciones.

Infraestructura requerida

Un sistema de gestión de contraseñas privilegiado requiere una amplia infraestructura:

• Un mecanismo para programar cambios de contraseña.
• Conectores para diversos tipos de sistemas.
• Mecanismo para actualizar varios participantes con nuevos valores de contraseña.
• Amplia auditoría.
• Almacenamiento cifrado.
• Autenticación para partes que deseen recuperar valores de contraseña.
• Controles de acceso y autorización para decidir si la divulgación de la contraseña es apropiada.
• Almacenamiento replicado para garantizar que una falla del hardware o un desastre del sitio no provoque la pérdida de datos.

Ver también

• Administrador de contraseñas
• Lista de administradores de contraseñas
• Fatiga de contraseña
• Token de seguridad
• Tarjeta electrónica

Referencias