R: [ml] sistema di logon e locking per stazione con utilizzo promiscuoed

/vendor/
Ciao Fabrizio,
Io ti consiglio Innitor Intelligent Access (http://www.technesecurity.it/innitor/iia.htm) associato a tante eToken R2 di Aladdin (http://www.technesecurity.it/etoken/r2.htm) quanti sono gli operatori che devono poter accedere a questa postazione. Con questa applicazione puoi creare, passami il termine (forzato), una sessione "multi-utente" come chiedi, oppure puoi fare in modo che alla disconnessione del token USB Explorer venga chiuso (logoff).
Cesare

-----Messaggio originale-----
Da: Igor Falcomata' [mailto:koba@xxxxxxxxxxxxx] 
Inviato: mercoledì 30 giugno 2004 9.53
A: ml@xxxxxxxxxxxxx
Oggetto: [ml] sistema di logon e locking per stazione con utilizzo promiscuoed intensivo [was: adeguamento alla 196 e utenti "promiscui"]

Direi che per la parte tecnica siamo pienamente in-topic. L'ultima parte (password del giorno & co) e' piu' adatta su lex<at>, eventuali risposte _a quella parte_ direttamente li', thnx

Koba,
moderatore

----- Forwarded message from Fabrizio Ermini <fabrizio.ermini<at>sysdat.it> -----
Subject: adeguamento alla 196 e utenti "promiscui"
From: "Fabrizio Ermini" <fabrizio.ermini<at>sysdat.it>
Date: Tue, 29 Jun 2004 17:57:46 +0200

(nota per il moderatore: scrivo su ml perchè è un quesito più che altro tecnico, se ritieni di passarla su lex insieme a tutte le altre sulla 196 fai pure, sono iscritto anche di la'...)

Salve a tutti. Ho incontrato una situazione un po' particolare nell'ambito di una consulenza e mi farebbe piacere sentire un po' di argomentazioni al riguardo.

The problem: cliente a cui faccio consulenza per il DPS è un gruppo di hotel. In ogni hotel c'e' un PC w2k installato al banco reception che permette agli incaricati di inserire/consultare i dati degli ospiti. Il PC pero' è utilizzato a rotazione 24 ore su 24 da n incaricati diversi, sia per turnazione sia perchè comunque c'e' un solo PC e ci sono diversi banconisti.

Al momento l'autenticazione da quei PC è fatta con un utente "astratto"
chiamato "reception" la cui password è in pratica nota da più incaricati; il criterio è che alla bisogna basta ce ne sia uno che lo può sbloccare e poi tutti lavorano con la stessa sessione.

Ovvio che la prima cosa che ho fatto è stato far notare al cliente l'illegalità di tale soluzione... ma al momento di consigliare come mettersi in regola, la soluzione brutale di dare un id personale ad ogni incaricato si è rivelata non priva di problemi. Infatti se anche facciamo così, comunque difficilmente i receptionist potranno permettersi di fare continuamente logoff/login per problemi di tempo (questa puzza di scusa, ma lasciamogli il beneficio del dubbio), e quindi finirebbero per usare liberalmente l'uno l'account dell'altro in ogni caso.
Inoltre, c'e' un fortissimo turnover di incaricati alla reception (per motivi di stagionalità ecc.) e quindi anche dover dare continuamente nuovi account è sentito come un grosso peso.
E poi c'e' il problema del lock: essendo un computer in posizione critica (l'unica protezione da un'area ad accesso praticamente pubblico come la hall di un albergo è un bancone...) direi che l'implementazione di un blocco tramite screen saver o similare sia mandatoria; a quel punto se il computer si blocca con la password dell'incaricato X, quando arriva l'incaricato Y e trova il PC bloccato come lo apre?

Quali alternative ci potrebbero essere? Ho pensato anche a suggerire un'autenticazione con dongle USB o altro artificio "fisico". In quel modo evito di dover implementare password condivise, ma non risolvo del tutto il problema dell'identificazione degli incaricati. Tramite un meccanismo del genere è possibile implementare un sistema di lock "multiuser"? Cioè: se l'incaricato X si deve allontanare toglie il token e blocca il computer; quando arriva l'incaricato Y inserisce il suo token e sblocca il computer, e così via.

Usare un discorso tipo "password del giorno" per cui si mantiene una password condivisa (nota a più incaricati) ma che vale solo per un giorno e poi viene ruotata dall'amministratore di sistema potrebbe essere accettata a norma 196?

Vi passo la palla, ciao a tutti
Fabrizio

----- End forwarded message -----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List