Come posso garantire che le password predefinite non siano più in uso?

9

Esistono due situazioni in cui le password "predefinite" vengono utilizzate su una rete:

  1. Un nuovo utente è registrato. Nel suo pacchetto di registrazione, insieme al suo nuovo nome utente, indirizzo e-mail e così via è la sua password iniziale.

  2. Viene distribuito un nuovo componente hardware. Nel suo stato di fabbrica ha una password di amministratore predefinita in modo da poter entrare e configurare l'hardware.

Come posso verificare se queste password predefinite vengono ancora utilizzate sulla mia rete e imporre che vengano modificate?

    
posta thunderror 01.02.2011 - 16:31
fonte

6 risposte

10

Molto dipende dal contesto - vedi il commento @nealmcb.

Se è per un sistema operativo, la maggior parte dei sistemi operativi in questi giorni offre un'impostazione per "modifica al primo utilizzo"

Se si tratta di un'applicazione che controlli, non fornire agli utenti una password predefinita - genera per loro una password univoca che scade al primo utilizzo.

Se si tratta di un dispositivo spedito dal fornitore - più complicato, a meno che non sia possibile convincere il venditore a farlo per te.

In sintesi - varie opzioni diverse, ma è necessario inserire la domanda nel contesto o non si possono ottenere risposte utili. Vedi la sezione "quale sfondo" nella faq .

    
risposta data 01.02.2011 - 19:41
fonte
6

One way I have read about is, to have a default password which says the"admin'sname"rocks sort of a password. Most users change that. Can you think of anything else?

Utilizza i sistemi che non hanno una password predefinita.

    
risposta data 01.02.2011 - 17:25
fonte
6

A new user is registered. In her registration pack, along with her new username, e-mail address and so on is her initial password.

Qui devono essere prese in considerazione diverse cose.

In primo luogo, come vengono trasferiti il nome utente e la password all'utente? È passato su hardcopy o va a un intermediario (cioè: Supervisore o Assistente amministratore) tramite mezzi elettronici? Se il primo, deve essere conservato in un pacchetto sigillato, opaco, a prova di manomissione dal sysadmin all'utente. In quest'ultimo caso, l'amministratore di sistema dovrebbe inoltrare le informazioni tramite e-mail crittografate all'intermediario che utilizza un pacchetto sicuro (come descritto in precedenza) per trasferirlo all'utente. Tuttavia, è preferibile che non ci siano terze parti coinvolte in questa transazione - idealmente, solo il sysadmin e l'utente dovrebbero avere conoscenza o accesso alla prima password. Più preferibile sarebbe che solo l'utente ce l'ha, ma ciò non è possibile in alcuni scenari, come per gli account di dominio o di posta elettronica.

Secondo, le password per la prima volta dovrebbero sempre essere univoche e non determinabili da alcuna informazione esclusiva per l'utente. Il modo migliore per garantire ciò è utilizzare uno strumento di generazione password casuale e non riutilizzare le password generate tra gli utenti. Idealmente, il nome utente non dovrebbe avere alcuna relazione con nessuna informazione personalmente identificabile.

In terzo luogo, il meccanismo per garantire che le prime password vengano modificate dipende molto dall'ambiente in cui viene creato l'account. Molti sistemi hanno un'opzione che può essere impostata sugli account per costringere l'utente a cambiare la password al successivo accesso. Se questo è disponibile, è il mezzo più efficace e dovrebbe essere usato. Per i sistemi che non dispongono di tale funzionalità, l'utente rimane molto dipendente dalla conformità ai criteri aziendali. Questo può essere aiutato includendo una consulenza chiara e di spicco su come cambiare la password nel pacchetto di registrazione. Inoltre, utilizzando un file molto lungo e complesso (circa 20+ caratteri casuali che usano tutti i tipi di carattere disponibili dovrebbero fare), la prima password renderà l'utente più incline a cambiarlo.

Infine, se si adottano le misure appropriate come specificato sopra, il controllo delle modifiche della password potrebbe essere difficile. Se stai utilizzando uno strumento di cracking della password come Ophcrack o LophtCrack per verificarlo, dovrai aggiungere la prima password di ogni individuo alla tabella arcobaleno appena vengono creati. Alcuni sistemi includono la possibilità di controllare l'età della password dell'utente e l'ultimo tempo di accesso - questi possono essere controllati in base alla data di creazione dell'account e alla data di inizio dell'utente per vedere se l'utente l'ha cambiato al primo accesso. A parte questi metodi, l'elevata sicurezza delle tecniche descritte sopra rende la verifica delle modifiche della prima volta delle password quasi altrettanto difficile di quella della prima volta.

A new piece of hardware is deployed. In its factory state it has a default admin password so you can go in and configure the hardware.

Ci sono alcune misure da adottare qui, che possono rendere la prima password più sicura e aiutare a facilitare e verificare il loro cambiamento.

Il primo pezzo arriva all'acquisizione dei materiali. Prova ad acquistare solo hardware che:

  • Non ha una prima password e non funzionerà fino a quando il sysadmin non avrà configurato una password.

  • Se ha una prima password, ne usa una che viene generata in modo univoco per ciascun dispositivo e non riutilizzata tra le unità.

Dopo questo, l'unico modo per assicurarsi che vengano cambiati è spesso attraverso una verifica pratica del sistema, controllando se le prime credenziali sono ancora valide.

    
risposta data 04.02.2011 - 12:46
fonte
3

Verifica periodicamente le password e assicurati che si trovi nel tuo dizionario.

    
risposta data 01.02.2011 - 18:18
fonte
3

Senza ulteriori informazioni / contesto, un modo potrebbe essere quello di impostare una passphrase lunga e complessa, che sarebbe noioso scrivere ripetutamente.

Se il sistema lo supporta, "il cambiamento al primo utilizzo" sarebbe certamente preferito.

    
risposta data 02.02.2011 - 03:06
fonte
2

Le nostre password predefinite di sistema sono solo un uso e le nostre password per le applicazioni sono predefinite speciali a seconda dell'applicazione. Sappiamo come si presenta la password predefinita in ogni applicazione, quindi è facile cercare i valori predefiniti e arrivare alle parti offensive.

    
risposta data 03.02.2011 - 23:14
fonte

Leggi altre domande sui tag