Jaki powód może mieć firma, aby uniemożliwić użytkownikom zmianę hasła


0

Jeśli użytkownik chce zmienić hasło, musi albo pozwolić działowi IT wygenerować losowe hasło, albo musi przekazać mu nowe hasło przez telefon. Tak czy inaczej, dział IT najwyraźniej musi wiedzieć, jakie jest hasło (gdzie przechowują te informacje, nie jest znane).

Dział IT twierdzi, że jest to polityka firmy, ale nie widzę sensu. To nie jest tak, że użytkownicy mogą zrobić wszystko, aby zablokować firmę.

W rzeczywistości wydaje mi się, że powoduje to mniej bezpieczeństwa, ponieważ niewygodny proces sprawia, że ​​mniej prawdopodobne jest, że zajęty dział IT będzie okresowo dzwonił do użytkowników w celu zmiany hasła.


to dziwna polityka. Muszę założyć, że tworzą oni wiele kont na wielu systemach, które się ze sobą nie komunikują (jak na starym komputerze mainframe lub czymkolwiek, gdzie nikt poza nadmiernie uprzywilejowanym administratorem nie może zmieniać passowrds).
Frank Thomas

Pracowałem kiedyś dla firmy, która nie tylko uniemożliwiała użytkownikom zmianę haseł e-mail, ale także czyniła je takimi samymi (tylko 6 znaków i bardzo łatwo zgadnąć). W końcu udało mi się ich przekonać, by zezwalali mi na resetowanie haseł wszystkich po tym, jak jedno konto zostało przejęte i używane do wysyłania powodzi spamowych. Na szczęście spamer nigdy nie zdawał sobie sprawy, jak żyła złota znajduje się tuż pod samorodkiem jednego konta.
Cvnk,

1
„Jaki powód może mieć firma, aby uniemożliwić użytkownikom zmianę hasła” - Dlaczego firma potrzebuje IT, aby je zmienić? Dlaczego ich nie zapytasz? Poproś o zapoznanie się z polityką, prawdopodobnie wyjaśniono powód.
Ramhound,

Odpowiedzi:


0

Znam tylko jeden powód, a to z horroru, w którym audytor wymagał od IT przedstawienia haseł wszystkim użytkownikom.

Poza kimś, kto ślepo śledzi scenariusz horroru (zamiast oświadczyć strasznie niekompetentnemu audytorowi), nie ma jednego powodu, dla którego byłby to dobry pomysł.


Żeby było to bardziej wyraźne:

  • Nie ma powodu, aby nikomu podawać swoje hasło. Obejmuje to informatyków. Mogą poprosić Cię o zalogowanie się (i wpisujesz hasło, gdy nie patrzą na klawiaturę), aby pomóc w rozwiązaniu problemów, ale nigdy nie powinny prosić o hasło.
  • Dostęp do wspólnych zasobów (np. Współpracownik odchodzący z pracy) powinien być wykonywany ostrożnie. Rozwiązaniem nie jest uzyskanie hasła innego użytkownika, ale prawa dostępu do potrzebnych danych. (jeszcze raz NIGDY nie udostępniaj hasła).
  • Nigdy nie podawaj hasła nikomu przez telefon. ... Chyba mógłbym kontynuować, ale nie ma jednego powodu, aby ktokolwiek miał twoje hasło w pracy. Żaden. Nada. Zamek błyskawiczny. Zilch. Rien.


Dobrze, teraz, co jest na uboczu, tytuł ypur brzmiał: „Jaki powód może mieć firma, aby uniemożliwić użytkownikom zmianę hasła”. Nie mogę też wymyślić żadnego rozsądnego powodu. W rzeczywistości ktoś musi wygenerować początkowe hasło. Jeśli nie możesz zmienić hasła bez powiadomienia go, że musisz udać się do biura IT, poproś, aby odwrócił wzrok lub opuścił pokój i wpisał początkowe hasło. Powinieneś także powtarzać to co roku (lub częściej, jeśli spodziewasz się, że ktoś zobaczy, że wpiszesz hasło).

W sumie jest to całkowicie szalone.


0

Przyczyny tej nieparzystej polityki mogą być częściowe. Czasami sieć systemów wymaga zmiany hasła, aby powstała na jednym serwerze i rozprzestrzeniła się na resztę. Może się to zdarzyć, jeśli istnieje mieszanka, taka jak serwery Microsoft i Linux, które mają własną ścieżkę bezpieczeństwa / audytu. Ma to wiele długoterminowych problemów, ale tak, możesz mieć zmiany w IT. Zespół zajął się centralnym serwerem haseł, aby wszystko działało przez ponad rok. Nie jestem pewien, dlaczego zajęło im to tak długo.

Z drugiej strony IT widziałem naprawdę dziwne rzeczy. Może to być zgodne z prawem, wynikające z umów z klientami lub innych ograniczeń, które mogą zmusić dział IT do przeprowadzenia takiej konfiguracji. Czasami informator mówi, że możesz nie podać powodu, dla którego zastosowano tę niewłaściwą konfigurację. Większość reguł HR zawiera w sobie komponent „nie udostępniaj hasła”.

Ostatnie, co widziałem, to kiedy Exec chce poznać hasło każdego lub mieć program monitorujący, który potrzebuje hasła każdego. Wyjaśniłem, że tak się nie stanie. Wsparło mnie wyższe kierownictwo, w przeciwnym razie ...

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.