PKI - Contas compartilhadas e não repúdio

1

Espero que isso não seja uma pergunta idiota, mas aqui está o cenário:

Temos um domínio 2008R2 de servidor, usando a autenticação PKI gerenciada pelo safenet. Para alguns sistemas em nosso domínio, devido a restrições de design, vários usuários devem usar uma única conta compartilhada. Isso é facilmente gerenciado pela adição da conta compartilhada ao cartão inteligente, mas isso levanta a questão do não repúdio. Essencialmente:

Is there a way to keep track of what card logged into the shared account? or some other way to differentiate user usages to track who was actually using the account at a given time?

Nestas condições, nenhum cartão teria apenas a conta compartilhada, todos os cartões também teriam uma conta de usuário designada, a conta compartilhada seria secundária.

    
por Gravy 03.11.2014 / 21:28

1 resposta

0

Seu design contorna completamente todo o propósito da autenticação de dois fatores. Você tomou o fator "algo que você tem" e mudou para "algo que um monte de pessoas tem / compartilha".

O número de série ou identificador exclusivo do cartão inteligente não é transmitido para o servidor, portanto, ele não sabe qual cartão inteligente foi usado para autenticar, supondo que as credenciais nos cartões inteligentes sejam as mesmas.

Você pode auditar a inserção de cartões inteligentes no lado do cliente, o Gerenciador PnP (UserPnp, WudfUsbccidDrv, etc.) deve gravar alguns eventos exclusivos no log de eventos do cliente que contêm um número de série que provavelmente poderia ser usado para identificar exclusivamente qual cartão inteligente foi inserido no momento, mas você pode não ter controle sobre quais sistemas clientes seus usuários podem inserir seus cartões inteligentes.

    
por 03.11.2014 / 22:43