Amministratore di rete che conosce tutte le password degli utenti

10

Ogni volta che è il momento di cambiare la password, ogni utente nel nostro ufficio deve fornire la nostra nuova password al reparto IT e lo cambiano e amp; memorizzalo. Puoi fornire qualcosa che dettagli perché questa è una cattiva politica aziendale?

Windows Server 2012; Gli utenti hanno Windows 7 Professional su desktop

    
posta Carrie 03.01.2017 - 17:21
fonte

4 risposte

21

Ciò significa che il reparto IT è responsabile della conoscenza di tali password. Tutto ciò che accade sulla rete non può più essere attribuito all'utente, ma ora potrebbe essere l'utente o chiunque nel reparto IT o chiunque abbia accesso all'archivio delle password.

L'IT non dovrebbe volere questa responsabilità.

    
risposta data 03.01.2017 - 17:28
fonte
11

Questa politica è dannosa?

Non ne ho idea. "Cattivo" non è un termine tecnico ed è definito ambiguamente. Di sicuro non lo farei mai.

Questa prassi è prassi comune?

No.

Esistono requisiti potenziali che sarebbero in contrasto con questo criterio?

Ci sono dei potenziali requisiti che sarebbero coerenti con questa pratica?

  • Se la tua organizzazione richiede una password comune su diversi sistemi tra cui non è possibile la sincronizzazione automatica delle password
  • Se la tua politica e le tue procedure richiedono ai manager di conoscere le password dei loro rapporti, ad es. per la supervisione (anche se di solito ci sono alternative migliori)
  • Se i dipendenti hanno una storia di scegliere password poveri, e non c'è modo di impostare le regole di complessità della password soddisfacenti
  • Se i tuoi dipendenti hanno una storia di dimenticanza delle loro password e non c'è modo di impostare il ripristino della password self-service
  • Se la tua organizzazione non desidera concedere la possibilità di modificare le password per i dipendenti in generale
  • Se le password consentono l'accesso alle risorse di terze parti a cui l'azienda deve avere accesso in generale (ad esempio, un account Twitter ufficiale)
risposta data 04.01.2017 - 01:30
fonte
4

Cattiva idea? È spaventoso.

  • La maggior parte degli utenti riutilizza le password attraverso gli ambienti: ufficio e lavoro. Suggerimento, suggerimento: conto bancario.

  • Questo mi porta a credere che il tuo reparto IT stia facendo manualmente questo lavoro: lento e aperto all'abuso da parte di un lavoratore infelice.

  • Trasmissione di password in chiaro in chiaro

  • Archiviazione delle password in testo normale

Inoltre, sono sicuro che è possibile venire con un centinaio di altri motivi: ho appena elencato il più ovvio come punto di partenza per te.

    
risposta data 03.01.2017 - 17:25
fonte
0

Uno dei principi chiave della sicurezza informatica è Riservatezza.

Immaginerei che le password vengano sottoposte a hash e archiviate in un database, ma l'amministratore deve conoscere il valore in testo normale prima di eseguire l'hash. La tua password dovrebbe essere nota solo a te, se l'amministratore decide domani che è stanco della sua vita e vuole infliggere danno a qualcuno e conosce la tua password. Diciamo che hanno fatto avanzamenti indesiderati verso di te e li hai spazzati via, hanno il potere di infliggere danni nel tuo nome e dare la colpa a te.

Se fossi un hacker, ciò aumenterebbe la possibilità di ottenere entrate, se ci sono due vettori di attacco piuttosto che uno solo.

    
risposta data 03.01.2017 - 17:31
fonte

Leggi altre domande sui tag