Spesso le istituzioni educative devono ottenere e mantenere la conformità e la certificazione in numerosi standard di sicurezza informatica . Mantenere una suite di crittografia debole o la crittografia non corretta potrebbe metterli fuori norma, che potrebbero essere scoperti al loro prossimo audit.
Quando vedo "password NT" mi preoccupo molto-- Le password di Windows possono essere violate in circa 13,6 secondi . Un sambaNTPassword
è solo un hash MD4 , che è un algoritmo di hashing che è orribilmente rotto ed è stato per oltre un decennio.
Detto questo, questi sistemi dovrebbero essere sottoposti a audit occasionali e alla fine verranno scoperti e indirizzati se possibile (o sarà necessario implementare una deroga e altre misure di mitigazione, ad esempio un secondo fattore di autenticazione che protegge gli account degli amministratori). Quindi se scegli di non fare nulla, non significa che non lo risolveranno ... alla fine.
Se nascondono intenzionalmente questa vulnerabilità durante gli audit di conformità, questo non è tecnicamente illegale, ma possono perdere le varie certificazioni se vengono scoperti e aprirsi alla responsabilità civile se vengono violati.
Per quanto riguarda questo commento
and our students are not so smart to understand that they can obtain and decrypt them
^ È una dichiarazione ridicola di qualcuno che sta dimenticando che la generazione più giovane aggira i loro anziani di diversi ordini di grandezza quando si tratta di cose come questa. Questo ragazzo ha rilevato vulnerabilità nell'XBox a età di cinque anni !!!! (Ora lavora per la sicurezza Microsoft)
however, please, keep this secret.
Non sarei d'accordo, ma sii educato al riguardo. Dovresti essere chiaro che non sei disposto a mentire per coprire gli errori di qualcun altro.
What would you do next?
Personalmente, considererei questo come un "momento insegnabile" (ricorda che sei ancora uno studente) ed esprimi che vorresti saperne di più. Vedi se riesci ad organizzare un incontro con uno degli addetti alla conformità alla cybersecurity dell'università-- questi sono i signori che firmano i moduli che giurano e affermano che stanno rispettando la conformità e che lavorano regolarmente con i revisori dei conti. Una volta che l'hai portato alla sua attenzione, puoi tranquillamente dire che hai fatto tutto ciò che potevi fare, e che sarà il loro lavoro portarlo da lì.