Esiste qualche ragione plausibile per impedire una modifica della password in un sistema di autenticazione?

10

Mi collego alla VPN di un'altra azienda con un nome utente e una password specifici dell'azienda (non stanno dando a tutti la stessa password per accedere a qualsiasi azienda o qualcosa di ridicolo come quello.) Dopo che uno dei nostri dipendenti è andato via, io contattato questa azienda per l'aggiornamento della nostra password. Mi è stato detto che non sono in grado di modificare le password e possono solo emettere nuovi nomi utente. Fare questo significherebbe circa due mesi di incapacità di usare il loro sistema a causa di scartoffie e burocrazia, quindi ovviamente un inconveniente.

C'è qualche motivo oltre alla scarsa progettazione che il loro sistema non sarebbe in grado di accettare una modifica della password? Anche le password sono recuperabili. Questa è una grande azienda e probabilmente ci sono alcune centinaia di aziende che utilizzano questo sistema, e dal momento che sono legate al governo non ci sono alternative.

    
posta John Straka 27.10.2011 - 20:07
fonte

3 risposte

8

Sono d'accordo che questo deve essere un cattivo design. Si consiglia di avere la stabilità della password su determinati periodi per la sincronizzazione tra sistemi o quando un nuovo sistema è integrato in un sistema più grande. Tranne che per tali circostanze, si desidera poter modificare una password ogni volta che una password potrebbe essere stata esposta, il che potrebbe essere in qualsiasi momento.

L'unica cosa che posso pensare è che la password è utilizzata per uno scopo secondario, ad esempio la creazione di una firma digitale di ogni persona che legge un particolare documento. In un caso come questo in cui la password viene utilizzata per tenere un registro delle azioni di una persona sarebbe complicato o confuso cambiare le password. Tuttavia, la soluzione più semplice consiste nel rilasciare una password per l'autenticazione e un'altra crittografia per le firme digitali.

    
risposta data 28.10.2011 - 08:02
fonte
7

Penso che la radice di esso sia un design scadente come hai detto tu. Ogni volta che ho visto un sistema che non può cambiare una password, è stato sviluppato in questo modo per vari motivi, nessuno dei quali è per motivi di sicurezza, e nessuno dei quali è dove è la soluzione migliore per un problema .

L'unico progetto che posso pensare a quello che viene da remoto è dove si dispone di un sistema di gestione delle identità che sincronizza gli account disapunti tra sistemi legacy / incompatibili con un archivio di account centrale e l'unico modo in cui le password possono rimanere sincronizzate è se il la password viene cambiata nella posizione centrale. Non penso che sia così, perché tu dici che non possono cambiarlo affatto. O quello o il sistema di gestione è controllato da un altro dipartimento ed è solo una cosa politica, ecc.

    
risposta data 27.10.2011 - 21:31
fonte
1

È possibile che le password siano recuperabili tramite una sorta di sistema di archiviazione sicuro e, se si dovesse cambiare la password, la copia di backup memorizzata non sarebbe più valida.

    
risposta data 28.10.2011 - 20:03
fonte

Leggi altre domande sui tag