Perché richiedere ai nuovi utenti di cambiare la password?

Naviga le tue risposte
4

Ho notato che è pratica comune quando si imposta un account utente (account utenti di Windows e account utente di Google Apps nel mio caso) per richiedere ai nuovi utenti di creare la propria password subito dopo il loro primo accesso. Nella ricerca di una risposta a questa domanda, ho trovato molti post che spiegano come richiedere ai nuovi utenti di cambiare la loro password, ma non riesco a trovarli ovunque perché questo è considerato "la migliore pratica." Quali problemi vengono creati se generi e assegni una password univoca a ciascun nuovo utente e non non la cambiano?

Per chiarire, non sto chiedendo perché è una buona pratica richiedere agli utenti di cambiare le password periodicamente. La mia domanda è: quali sono i rischi se gli utenti nuovi continuano a utilizzare la password che ho impostato per loro invece di creare la propria password?

Sarebbe utile per me avere loro mantenere la loro password iniziale perché sono in un ambiente aziendale più piccolo, e se conosco la loro password posso configurare Google Drive Sync e Google Apps Sync per loro, invece di dover scrivere istruzioni per loro su come farlo da soli.

    
posta browly 23.10.2014 - 18:18
fonte

3 risposte

8

It would be convenient for me to have them keep their initial password because I am in a smaller business setting, and if I know their password I can set up Google Drive Sync and Google Apps Sync for them, instead of having to write instructions for them on how to do this themselves.

Questo è esattamente il motivo per cui è buona pratica richiedere loro di cambiare le password dopo il primo accesso; dovrebbero essere gli unici a conoscere le loro password. Elimina qualsiasi possibilità di abuso amministrativo o la percezione di abusi anche se non ne esiste nessuno. Inoltre, le password che scelgono hanno meno probabilità di essere dimenticate e richiedono il reset, o di essere scritte dove possono essere rubate e (di nuovo) abusate.

La seconda domanda relativa alle modifiche della password del periodo è già stata risolta nella seguente domanda: In che modo la modifica della password ogni 90 giorni aumenta sicurezza?

    
risposta data 23.10.2014 - 18:25
fonte
2

Costringendo gli utenti a selezionare la propria password all'accesso iniziale, (la prima volta che eseguono l'autenticazione), assicura che NOBODY altro conosca la password per l'account una volta che è stata modificata.

Questo è un processo di controllo chiamato controllo singolo. Controllo unico significa che una risorsa o l'accesso a qualcosa è gestito da un singolo individuo. Poiché la combinazione userid / password viene mantenuta sotto il controllo unico dell'utente, rafforza la responsabilità in quanto possiamo identificare con un discreto grado di certezza chi ha effettuato l'accesso a cosa e quando. Se la password è compromessa, (non più sotto controllo unico perché più persone conoscono la password), allora abbiamo meno responsabilità perché non possiamo essere certi di chi ha effettuato l'accesso con userid / password.

Le pratiche di controllo unico proteggono anche coloro che non hanno accesso alla risorsa o alle credenziali in questione. Dal momento che non dovresti avere accesso alle informazioni sulla password dell'utente, ti tiene al sicuro in caso di violazione. Se non imposti le modifiche della password, è possibile che tu possa essere visualizzato come sospetto, anche se non hai fatto nulla del genere. EDIT: (Questo è chiamato esposizione al rischio, dove non seguendo il processo di controllo unico si traduce in esposizione a rischio aggiuntivo)

È fondamentale applicare e mantenere i processi di controllo in modo che tutti siano al sicuro e protetti, e non esponiamo noi stessi o noi stessi a rischi inutili.

    
risposta data 23.10.2014 - 18:32
fonte
-2

La modifica iniziale della password è utilizzata principalmente per prevenire il problema della "password predefinita". Quando si impostano gli account, in particolare una grande quantità di account, gli amministratori tendono a utilizzare password come "changeme1", "changeme2" o tali password predefinite facili. Richiedendo la modifica della password, il "problema della password predefinita" viene eliminato.

Se generi password SECURE casuali, puoi tranquillamente disabilitare "Richiedi modifica password iniziale".

Tu come amministratore hai comunque accesso agli account utente, nei sistemi Windows puoi sempre, come amministratore, RunAs come qualsiasi altro account con privilegi più bassi. Quindi non importa se RunAs come utente del tuo account amministratore o se accedi direttamente all'account dell'utente. Hai lo stesso accesso a file e articoli comunque. Quindi il potenziale di abuso e responsabilità esiste ancora. Quel potenziale può essere prevenuto solo impiegando buoni amministratori, in altre parole, un amministratore dovrebbe essere un indizio di FIDUCIA che è ben controllato (richiedere una scheda rap dallo speculante prima di assumere il suo come amministratore).

In alcuni schemi di sicurezza elevata, invece, viene utilizzato un sistema di accesso duplice, in cui 2 amministratori devono collegarsi collettivamente con i propri nomi utente e password entro un ritardo di 30 secondi per consentire l'accesso all'amministratore, in modo che possano guardarsi l'un l'altro quindi nessuno abusa dei diritti di amministratore.

in questi sistemi, l'amministratore non dovrebbe conoscere alcuna password utente poiché ignorerebbe il sistema a 2 pieghe.

L'unico caso in cui solo l'utente dovrebbe conoscere la password è nel sistema a 2 pieghe, OPPURE se c'è qualche crittografia a cui solo l'utente dovrebbe avere accesso. Ma è piuttosto raro che le crittografie utilizzino le credenziali di Windows, ma normalmente usano la propria finestra di accesso e i propri sistemi.

    
risposta data 24.10.2014 - 02:36
fonte

Leggi altre domande sui tag

Quale scegliere per prima cosa nell'autenticazione a più fattori? È giusto inviare per posta elettronica a qualcuno la propria password da un account appena creato? [duplicare]