Je zou moeten kunnen (in advanced settings) voor zo'n extra security kiezen, bv session cookies enkel vanop hetzelfde IP (of ruimer, in een andere optie, hetzelfde land).
Security is vaak een afterthought en een ramp.
MFA is vaak slecht geimplementeerd; SMS, of zelfs zonder SMS maar wel "een telefoonnummer vereist", geen authenticator optie, geen true MFA (bv 2 authenticator TOTPs die je op aparte devices kan zetten), etc.
Maar het ergste... als je jezelf per ongeluk ns buiten locked (bv IP restriction en je IP veranderde), geraak er dan maar ns terug in met hun kwalitatieve technische helpdesks en personeel; van die multinational socmed systems, die zijn nu niet gekend door hun professionele contact met de klanten.
Zulke diensten zouden eigenlijk de user deels moeten laten kiezen hoe streng hij zijn beveiliging wil.
Een user met een YT account om wat channels te favouriten, heeft mss een minder strenge security nodig dan een bedrijf wiens voornaamste inkomen aan die YT accounts gelinkt is.
meon schreef: 24 maa 2023, 20:09
... en merk je dat ze niet eens de meest basic MFA ingeschakeld hebben staan voor global admin-accounts en dan bedenk ik me dat het puur toeval is dat die bedrijven nog bestaan...
Heb er al meegemaakt die de hoofd domain admin account gebruikten om een kiosk systeem toe te laten aan een file op een share te kunnen (via de administrative share dan nog ).
"Jama, khad ni genoeg tijd om da tegoei in te stellen"
Nee, dat zie ik, daarom ook dat al uw users gewoon full control rechten hebben op alle shares die ze gebruiken.
"Ja, want anders gaf da constant errors enzo"
Ja, principle of least privilege tegoei instellen heeft tijd, geld, en zweet nodig, met eventuele iets te strenge foutjes die je dan bij het testen rechtzet.
Toch om zot van te worden?
CCatalyst schreef: 24 maa 2023, 16:20
EDIT: als ik hierboven zie was het veel eenvoudiger, blijkbaar gewoon via zo'n malware bestand met een tweede extensie? Dat Linus zich daar laat aan vangen...
Uit het filmpje wordt duidelijk dat het om een niet-technische medewerker ging, die zich liet vangen aan een sponsor mail (waar ze er afdoende, legitieme, van krijgen).
Die had mss iets teveel access, maar vaak is dat dan omdat die net iets moet doen dat je niet finegrained kan afzonderen, waardoor je ipv die access te weigeren, al snel iets meer access geeft, gewoon om die zijn job te laten doen.
Mooi vb: In het XP tijdperk (in het onderwijs) lockten leerkrachten regelmatig hun desktop (zoals gevraagd).
Alleen logt die desktop niet uit als je ergens anders dan inlogt, en dan zit je met een locked sessie.
Op XP kon je geen andere user inloggen als er een locked sessie was, dan was die PC onbruikbaar.
De enigen die die sessie konden unlocken, waren 1) de user zelf, en 2) domain admins.
Bij de user gaat de sessie dan terug open, als een admin het doet logt de sessie zich af.
Dat recht kon je (jammer genoeg) niet delegeren, bv naar een custom user group toe.
In dat geval beslisten we om het recht toch niet te delegeren door de andere leerkrachten admin te maken, maar het is wel "tempting" voor kleinere settings, en ik kan me gerust voorstellen dat er scholen waren die dat wel deden.
Je kan uiteraard het recht om te locken afnemen (dat deden we bv bij de leerlingen), maar leerkrachten konden aan teveel interne dingen aan, en die PCs onbewaakt achterlaten vonden we een nog slechter idee.
Het gevolg was dus "vaak rondlopen om de sessie als admin te unlocken zodat de volgende leerkracht les kon geven".
Conclusie:
Je kan jezelf eigenlijk nooit 100% kan beschermen, en dat het een kwestie is van "when, not if".
1 user die 1 onbewaakt momentje heeft, 1 helpdesker die zich laat social engineeren, en alles kan platliggen.
En gokken op het falen van de mens in de ketting, is nooit een slechte gok.
Dus vooral disaster recovery protocols klaarhebben, maar da's uiteraard makkelijker met interne spullen (waar je fysieke access hebt), of hooguit bedrijven waar je contracten en desnoods SLAs mee hebt, maar wordt een stuk moeilijker als het om accounts bij multinationals gaat die wel belangrijk zijn voor jouw bedrijf, maar met wie je omzeggens geen enkel contract of drukkingsmiddel hebt om ze ook hun deel te laten doen.
).
), anderzijds kan ik dat perfect begrijpen als je opschaalt,
