Amministratore di rete che conosce tutte le password degli utenti

Ciò significa che il reparto IT è responsabile della conoscenza di tali password. Tutto ciò che accade sulla rete non può più essere attribuito all'utente, ma ora potrebbe essere l'utente o chiunque nel reparto IT o chiunque abbia accesso all'archivio delle password.

L'IT non dovrebbe volere questa responsabilità.

Questa politica è dannosa?

Non ne ho idea. "Cattivo" non è un termine tecnico ed è definito ambiguamente. Di sicuro non lo farei mai.

Questa prassi è prassi comune?

No.

Esistono requisiti potenziali che sarebbero in contrasto con questo criterio?

• Se la tua organizzazione mantiene la conformità alla sicurezza informatica (ad es. PCI, FDIC, ISO o TCSEC ) questa pratica non è consentita
• Se le tue operazioni richiedono non ripudio
• Se le operazioni richiedono auditabilità
• Questa norma è in contrasto con il principio del privilegio minimo .
• Questa politica è in contrasto con il principio di compartimentalizzazione .
• Potrebbe essere illegale in determinati contesti.
• Potresti avere problemi a licenziare un dipendente la cui password viene utilizzata per scopi proibiti (ad esempio, un dipendente la cui password è stata usato per il porno ).

Ci sono dei potenziali requisiti che sarebbero coerenti con questa pratica?

• Se la tua organizzazione richiede una password comune su diversi sistemi tra cui non è possibile la sincronizzazione automatica delle password
• Se la tua politica e le tue procedure richiedono ai manager di conoscere le password dei loro rapporti, ad es. per la supervisione (anche se di solito ci sono alternative migliori)
• Se i dipendenti hanno una storia di scegliere password poveri, e non c'è modo di impostare le regole di complessità della password soddisfacenti
• Se i tuoi dipendenti hanno una storia di dimenticanza delle loro password e non c'è modo di impostare il ripristino della password self-service
• Se la tua organizzazione non desidera concedere la possibilità di modificare le password per i dipendenti in generale
• Se le password consentono l'accesso alle risorse di terze parti a cui l'azienda deve avere accesso in generale (ad esempio, un account Twitter ufficiale)

Cattiva idea? È spaventoso.

• La maggior parte degli utenti riutilizza le password attraverso gli ambienti: ufficio e lavoro. Suggerimento, suggerimento: conto bancario.

• Questo mi porta a credere che il tuo reparto IT stia facendo manualmente questo lavoro: lento e aperto all'abuso da parte di un lavoratore infelice.

• Trasmissione di password in chiaro in chiaro

• Archiviazione delle password in testo normale

Inoltre, sono sicuro che è possibile venire con un centinaio di altri motivi: ho appena elencato il più ovvio come punto di partenza per te.

Uno dei principi chiave della sicurezza informatica è Riservatezza.

Immaginerei che le password vengano sottoposte a hash e archiviate in un database, ma l'amministratore deve conoscere il valore in testo normale prima di eseguire l'hash. La tua password dovrebbe essere nota solo a te, se l'amministratore decide domani che è stanco della sua vita e vuole infliggere danno a qualcuno e conosce la tua password. Diciamo che hanno fatto avanzamenti indesiderati verso di te e li hai spazzati via, hanno il potere di infliggere danni nel tuo nome e dare la colpa a te.

Se fossi un hacker, ciò aumenterebbe la possibilità di ottenere entrate, se ci sono due vettori di attacco piuttosto che uno solo.