A new user is registered. In her registration pack, along with her new username, e-mail address and so on is her initial password.
Qui devono essere prese in considerazione diverse cose.
In primo luogo, come vengono trasferiti il nome utente e la password all'utente? È passato su hardcopy o va a un intermediario (cioè: Supervisore o Assistente amministratore) tramite mezzi elettronici? Se il primo, deve essere conservato in un pacchetto sigillato, opaco, a prova di manomissione dal sysadmin all'utente. In quest'ultimo caso, l'amministratore di sistema dovrebbe inoltrare le informazioni tramite e-mail crittografate all'intermediario che utilizza un pacchetto sicuro (come descritto in precedenza) per trasferirlo all'utente. Tuttavia, è preferibile che non ci siano terze parti coinvolte in questa transazione - idealmente, solo il sysadmin e l'utente dovrebbero avere conoscenza o accesso alla prima password. Più preferibile sarebbe che solo l'utente ce l'ha, ma ciò non è possibile in alcuni scenari, come per gli account di dominio o di posta elettronica.
Secondo, le password per la prima volta dovrebbero sempre essere univoche e non determinabili da alcuna informazione esclusiva per l'utente. Il modo migliore per garantire ciò è utilizzare uno strumento di generazione password casuale e non riutilizzare le password generate tra gli utenti. Idealmente, il nome utente non dovrebbe avere alcuna relazione con nessuna informazione personalmente identificabile.
In terzo luogo, il meccanismo per garantire che le prime password vengano modificate dipende molto dall'ambiente in cui viene creato l'account. Molti sistemi hanno un'opzione che può essere impostata sugli account per costringere l'utente a cambiare la password al successivo accesso. Se questo è disponibile, è il mezzo più efficace e dovrebbe essere usato. Per i sistemi che non dispongono di tale funzionalità, l'utente rimane molto dipendente dalla conformità ai criteri aziendali. Questo può essere aiutato includendo una consulenza chiara e di spicco su come cambiare la password nel pacchetto di registrazione. Inoltre, utilizzando un file molto lungo e complesso (circa 20+ caratteri casuali che usano tutti i tipi di carattere disponibili dovrebbero fare), la prima password renderà l'utente più incline a cambiarlo.
Infine, se si adottano le misure appropriate come specificato sopra, il controllo delle modifiche della password potrebbe essere difficile. Se stai utilizzando uno strumento di cracking della password come Ophcrack o LophtCrack per verificarlo, dovrai aggiungere la prima password di ogni individuo alla tabella arcobaleno appena vengono creati. Alcuni sistemi includono la possibilità di controllare l'età della password dell'utente e l'ultimo tempo di accesso - questi possono essere controllati in base alla data di creazione dell'account e alla data di inizio dell'utente per vedere se l'utente l'ha cambiato al primo accesso. A parte questi metodi, l'elevata sicurezza delle tecniche descritte sopra rende la verifica delle modifiche della prima volta delle password quasi altrettanto difficile di quella della prima volta.
A new piece of hardware is deployed. In its factory state it has a default admin password so you can go in and configure the hardware.
Ci sono alcune misure da adottare qui, che possono rendere la prima password più sicura e aiutare a facilitare e verificare il loro cambiamento.
Il primo pezzo arriva all'acquisizione dei materiali. Prova ad acquistare solo hardware che:
-
Non ha una prima password e non funzionerà fino a quando il sysadmin non avrà configurato una password.
-
Se ha una prima password, ne usa una che viene generata in modo univoco per ciascun dispositivo e non riutilizzata tra le unità.
Dopo questo, l'unico modo per assicurarsi che vengano cambiati è spesso attraverso una verifica pratica del sistema, controllando se le prime credenziali sono ancora valide.