Autentisering för delade konton
MFA för delade konton — utan att dela autentiseringsenheter
Lägg till multifaktorautentisering (MFA) för delade VPN- och fjärråtkomstkonton — samtidigt som individuell ansvarsskyldighet bibehålls. Flera teammedlemmar delar samma inloggningsuppgifter, men varje person autentiserar med sin egen telefon eller hårdvarutoken. Granskningsloggen visar exakt vilken enhet som användes vid varje inloggning.
Ett konto, flera autentiserare
Traditionell MFA kopplar en telefon eller token till ett konto. Autentisering för delade konton länkar flera telefoner och token till ett enda konto. Vid inloggning via RADIUS uppmanas användaren att ange sitt telefonnummer eller token-ID — Mideye validerar att det tillhör kontot och skickar MFA-utmaningen till den enheten. Valet registreras i granskningsloggen.
Autentisering för delade konton fungerar på alla system som autentiserar via RADIUS — VPN:er, brandväggar, fjärrskrivbordsgateways, SSH (via PAM) och liknande. Användaren anger det delade lösenordet, sedan skickar Mideye en RADIUS-utmaning som frågar vilken telefon eller token som ska användas för den andra faktorn.
Användningsområden
Leverantörs- och MSP-VPN-åtkomst
Externa leverantörer som delar ett enda VPN-konto för fjärrunderhåll. Varje leverantörsanställd använder sin egen telefon för att autentisera — och du ser exakt vem som anslöt. Säkerhet i leveranskedjan med full ansvarsskyldighet.
Delade adminkonton för VPN
IT-team som delar ett privilegierat VPN- eller fjärråtkomstkonto. Varje administratör autentiserar med sin personliga enhet samtidigt som det delade inloggningsuppgifterna används. Fullständig granskningslogg för regelefterlevnad.
Fjärråtkomst för skiftarbete
Driftteam som delar ett enda fjärråtkomstkonto över skift. Varje operatör använder sin egen token eller telefon — granskningsloggen visar vem som var i tjänst och när de anslöt.
Delade SSH-/Linux-konton
Delade root- eller servicekonton på Linux-servrar autentiserade via PAM RADIUS. Varje person identifierar sig med sin egen telefon eller token innan åtkomst beviljas.
Så här fungerar det
Konfiguration
- Skapa en Mideye-användare med autentiseringstyp Delat konto (10)
- Lägg till flera telefonnummer och/eller token-serienummer i användarens "Andra mobiler"-fält
- När användaren loggar in via ett RADIUS-aktiverat system skickar Mideye en utmaning som ber om deras telefon- eller tokennummer
- Mideye validerar att svaret finns i den registrerade listan och skickar sedan MFA-utmaningen (push eller token-OTP)
- Granskningsloggen registrerar kontonamnet och den specifika enhet som användes
Stödda autentiseringsmetoder
Säkerhet och regelefterlevnad
- Individuell ansvarsskyldighet — Granskningsloggen visar exakt vilken telefon eller token som användes, inte bara det delade kontonamnet
- Inga delade hemligheter — Varje person använder sin egen enhet. Inga delade telefoner, inga delade token, inga delade OTP:er
- Enhetsregistrering — Endast förregistrerade telefoner och token kan autentisera. Det går inte att använda godtyckliga enheter
- Enkelt avregistrering — Ta bort en teammedlems telefon från listan när de slutar. Inga lösenordsändringar behövs
- Redo för regelefterlevnad — Granskningsspår per person på delade konton hjälper till att uppfylla krav på åtkomstloggning i säkerhetsramverk och revisioner
Säkerhet i leveranskedjan
Tredjepartsleverantörer som delar ett VPN- eller fjärråtkomstkonto är en vanlig attackvektor. Autentisering för delade konton säkerställer att varje leverantörsinloggning är kopplad till en specifik persons enhet — även när delade inloggningsuppgifter används.
I kombination med Assisted Login kan du kräva internt godkännande innan leverantörer kan autentisera med det delade kontot.
Krav för privilegierad åtkomst
Autentisering för delade konton uppfyller regelkrav för hantering av privilegierad åtkomst och minsta privilegium.
🏦 DORA RTS Artikel 21 — Behov-till-användning-basis
Krav: "Tilldelning av privilegierad... åtkomst på en behov-till-användning-basis eller ad hoc."
Hur Mideye hanterar detta: Tidsbaserade åtkomstfönster i kombination med MFA per person säkerställer att privilegierade konton endast är tillgängliga under godkända underhållsfönster. Åtkomst upphör automatiskt — inga stående privilegier.
🔒 ISO/IEC 27001:2022 — Bilaga A 5.15 & A.5.18
Krav: Riktlinjer för åtkomstkontroll (A.5.15) och hantering av privilegierade åtkomsträttigheter (A.5.18).
Hur Mideye hanterar detta: Autentisering för delade konton ger individuell ansvarsskyldighet för privilegierade konton. Granskningsloggar visar exakt vem som åtkom det delade kontot och när, vilket stödjer tillämpning av lägsta privilegium och åtkomstgranskningar.
🇪🇺 NIS2-direktivet & PCI DSS — Hantering av delade konton
Delade konton avråds uttryckligen av de flesta regelverk, men när de är operationellt nödvändiga måste de ha individuell ansvarsskyldighet.
Hur Mideye hanterar detta: MFA per person för delade inloggningsuppgifter ger den granskningslogg som krävs för att identifiera vem som utförde vilken åtgärd, även när flera personer delar samma användarnamn.
Bästa praxis: Föredra individuella konton framför delade konton när det är möjligt. När delade konton är operationellt nödvändiga (nätverksenheter, äldre system, leverantörsåtkomst) tillhandahåller Autentisering för delade konton det individuella ansvarsskikt som krävs av ramverk för regelefterlevnad. Se vårt regelefterlevnadsnav för fullständiga ramverkskopplingar.
Lägg till MFA för dina delade konton
Autentisering för delade konton ingår i Mideye Server 5.6 och senare. Kontakta oss för att diskutera era krav på säkerhet för delade konton.
Kontakta sälj