OWISAM-AU-008

From OWISAM
Jump to: navigation, search

Debilidades en el repositorio de credenciales (OWISAM-AU-008)

Descripción

Este control está enfocado a entornos con una infraestructura Enterprise. Pretende abarcar la evaluación del nivel de seguridad que existe en el repositorio de credenciales, es decir, en dónde y cómo están almacenadas. Se parte de la base de que un atacante puede ganar acceso a alguna de las máquinas en las que se almacenan los datos de acceso de los usuarios. Si estos datos no están debidamente cifrados, la seguridad de los sistemas de la organización estaría severamente comprometida. Sin embargo, si esta información se encuentra protegida será mucho más complicado comprometer la demás infraestructura de la organización.


Prueba

Para verificar la seguridad de las credenciales se debe tener acceso a ellas, por lo cual o se compromete el sistema o se pide acceso al sistema que las almacena.


Recomendaciones

Las credenciales de acceso de cada usuario deben almacenarse en forma de hashes usando un algoritmo criptográfico seguro (p.e. SHA-2) que a su vez deberían estar cifrados con una clave única y robusta definida por el administrador.


Referencias

n/a