Hay varias formas de software que se utilizan para ayudar a los usuarios u organizaciones a administrar mejor las contraseñas :
- Destinado a ser utilizado por un solo usuario:
- Las personas utilizan el software de administración de contraseñas para organizar y cifrar muchas contraseñas personales con un solo inicio de sesión. A menudo, esto también implica el uso de una clave de cifrado . Los administradores de contraseñas también se conocen como carteras de contraseñas .
- Diseñado para ser utilizado por varios usuarios / grupos de usuarios:
- Las organizaciones utilizan el software de sincronización de contraseñas para organizar diferentes contraseñas, en diferentes sistemas, para que tengan el mismo valor cuando pertenecen a la misma persona.
- El software de autoservicio para restablecer la contraseña permite a los usuarios que olvidaron su contraseña o provocaron un bloqueo por intrusos autenticarse mediante otro mecanismo y resolver su propio problema, sin llamar a un servicio de asistencia técnica de TI.
- El software Enterprise Single Signon monitorea las aplicaciones iniciadas por un usuario y automáticamente completa los ID de inicio de sesión y las contraseñas.
- El software de inicio de sesión único web intercepta el acceso del usuario a las aplicaciones web e inserta información de autenticación en el flujo HTTP (S) o redirige al usuario a una página separada, donde el usuario se autentica y vuelve a la URL original.
- Gestión de contraseñas privilegiadas (se utiliza para proteger el acceso a cuentas privilegiadas compartidas).
Gestión de contraseñas privilegiadas
La administración de contraseñas privilegiadas es un tipo de administración de contraseñas que se utiliza para proteger las contraseñas de los ID de inicio de sesión que tienen privilegios de seguridad elevados. Esto se hace con mayor frecuencia cambiando periódicamente cada una de esas contraseñas a un valor nuevo y aleatorio. Dado que los usuarios y los procesos de software automatizados necesitan estas contraseñas para funcionar, los sistemas de administración de contraseñas privilegiadas también deben almacenar estas contraseñas y proporcionar varios mecanismos para revelar estas contraseñas de una manera segura y apropiada. La gestión de contraseñas privilegiadas está relacionada con la gestión de identidades privilegiadas .
Ejemplos de contraseñas privilegiadas
Hay tres tipos principales de contraseñas privilegiadas. Se utilizan para autenticar:
Cuentas de administrador local
En los sistemas Unix y Linux, el usuario root es una cuenta de inicio de sesión privilegiada. En Windows, el equivalente es Administrador. En bases de datos SQL, el equivalente es sa. En general, la mayoría de los sistemas operativos, bases de datos, aplicaciones y dispositivos de red incluyen un inicio de sesión administrativo, que se utiliza para instalar software, configurar el sistema, administrar usuarios, aplicar parches, etc. En algunos sistemas, se asignan diferentes funciones privilegiadas a diferentes usuarios, lo que significa que hay más cuentas de inicio de sesión privilegiadas, pero cada una de ellas es menos poderosa.
Cuentas de servicio
En el sistema operativo Windows, los programas de servicio se ejecutan en el contexto de cualquier sistema (muy privilegiado pero no tiene contraseña) o de una cuenta de usuario. Cuando los servicios se ejecutan como un usuario que no es del sistema, el administrador de control de servicios debe proporcionar un ID de inicio de sesión y una contraseña para ejecutar el programa de servicio, de modo que las cuentas de servicio tengan contraseñas. En los sistemas Unix y Linux, init e inetd pueden iniciar programas de servicio como usuarios sin privilegios sin conocer sus contraseñas, por lo que los servicios normalmente no tienen contraseñas.
Conexiones de una aplicación a otra
A menudo, una aplicación debe poder conectarse a otra para acceder a un servicio. Un ejemplo común de este patrón es cuando una aplicación web debe iniciar sesión en una base de datos para recuperar información. Estas conexiones entre aplicaciones normalmente requieren un ID de inicio de sesión y una contraseña y esta contraseña.
Asegurar contraseñas privilegiadas
Un sistema de administración de contraseñas privilegiadas asegura las contraseñas privilegiadas mediante:
- Cambiar periódicamente cada contraseña a un nuevo valor aleatorio.
- Almacenar estos valores.
- Proteger los valores almacenados (p. Ej., Mediante cifrado y almacenamiento replicado).
- Proporcionar mecanismos para divulgar estas contraseñas a varios tipos de participantes en el sistema:
- Administradores de TI.
- Programas que inician servicios (por ejemplo, administrador de control de servicios en Windows).
- Aplicaciones que deben conectarse a otras aplicaciones.
Infraestructura requerida
Un sistema de gestión de contraseñas privilegiado requiere una amplia infraestructura:
- Un mecanismo para programar cambios de contraseña.
- Conectores a varios tipos de sistemas.
- Mecanismo para actualizar a varios participantes con nuevos valores de contraseña.
- Auditoría extensa.
- Almacenamiento encriptado.
- Autenticación para partes que deseen recuperar valores de contraseña.
- Controles de acceso y autorización para decidir si la divulgación de la contraseña es apropiada.
- Almacenamiento replicado para garantizar que una falla de hardware o un desastre en el sitio no provoque la pérdida de datos.