|
|
 | Hvad mener I om denne procedure?
Fra : Tommy |
Dato : 22-11-11 09:55 |
|
Hej. Jeg kunne godt tænke mig at høre gruppens mening om denne
procedure. Jeg arbejder i en større organisation hvor vi logger på via
nogle forskellige domæner afhængig af afdeling. I en anden afdeling er
der åbenbart sket en fejl så alle identer er blevet nulstillet.
Dette løses ved at sende en sms til alle der er tilmeldt en sms service
i organisationen. I sms,en forklares kort fejlen og at alle passwords nu
er nulstillet med et nyt, samme password til alle. Passwordet står også
i sms'en.
D.v.s. at alle medarbejdere nu har samme password, det mest usikre man
næsten kan finde på, indtil de har været logget på igen. Det vil så også
betyde at de som er syge, på barsel eller på anden måde er væk i længere
tid står med et password som ville kunne knækkes på et par sekunder.
Jeg er ret overrasket over den fremgangsmåde, hvad mener I? Jeg kan da
godt se at det er den letteste måde at løse problemet hurtigt på, men
hvad med sikkerheden? Det er trods alt ret følsomme oplysninger de
identer har adgang til.
| |
 Jonathan Stein (22-11-2011)
| Kommentar
Fra : Jonathan Stein |
Dato : 22-11-11 12:05 |
|
Den 22-11-2011 09:54, Tommy skrev:
> Jeg er ret overrasket over den fremgangsmåde, hvad mener I? Jeg kan da
> godt se at det er den letteste måde at løse problemet hurtigt på, men
> hvad med sikkerheden? Det er trods alt ret følsomme oplysninger de
> identer har adgang til.
Hvis det er persondata, vil Datatilsynet næppe være begejstret...
M.v.h.
Jonathan
| |
Tommy (22-11-2011)
| Kommentar
Fra : Tommy |
Dato : 22-11-11 13:03 |
|
Den 22-11-2011 12:04, Jonathan Stein skrev:
> Hvis det er persondata, vil Datatilsynet næppe være begejstret...
Nej det vil jeg heller ikke tro. Det er jo selvfølgelig et Intranet og
en intern besked der er sendt ud hvor de som modtager den normalt har
samme adgang til de samme oplysninger. Så Internt er der nok ikke nogen
data sikkerhedsproblemer i det hvis det kun drejer sig om at kollegaer
kan skaffe sig adgang til andre kollegaers identer fordi de kender det
nye password.
Men jeg tænker på hvor det ligger dels med at sende en sms ud som vel
potentielt ville kunne sniffes. Og det faktum at en lang række identer i
en periode har er så usikkert password. Også selv om det er i et
Intranet som det naturligvis er svært, men nok ikke umuligt, at skaffe
sig adgang til udefra...
| |
 Chano Andersen (22-11-2011)
| Kommentar
Fra : Chano Andersen |
Dato : 22-11-11 23:24 |
|
Den 22/11/11 13.03, Tommy skrev:
> Og det faktum at en lang række identer i
> en periode har er så usikkert password.
Hvis man autogenerere et password, som så bruges på alle konti, og kun
kendes af folk der alligevel har adgang til de beskyttede data, så burde
det ikke være helt slemt. Men hvis man bruger Abcd1234 blot for at
tilfredsstille Windows kompleksitetskrav, så er det alt for usikkert.
- Chano Andersen
| |
Cykelsmeden (23-11-2011)
| Kommentar
Fra : Cykelsmeden |
Dato : 23-11-11 13:53 |
|
Den 22-11-2011 09:54, Tommy skrev:
> Hej. Jeg kunne godt tænke mig at høre gruppens mening om denne
> procedure. Jeg arbejder i en større organisation hvor vi logger på via
> nogle forskellige domæner afhængig af afdeling. I en anden afdeling er
> der åbenbart sket en fejl så alle identer er blevet nulstillet.
>
Tyder ikke på kvalificeret ITpersonale!
> Dette løses ved at sende en sms til alle der er tilmeldt en sms service
> i organisationen. I sms,en forklares kort fejlen og at alle passwords nu
> er nulstillet med et nyt, samme password til alle. Passwordet står også
> i sms'en.
>
Håber ikke det er en organisation som har nogen form for følsomme data,
være sig personlige eller forretningsmæssige. Alene at kunne få tanken
at distribuere ET FÆLLES passwd VIA SMS.
> D.v.s. at alle medarbejdere nu har samme password, det mest usikre man
> næsten kan finde på, indtil de har været logget på igen. Det vil så også
> betyde at de som er syge, på barsel eller på anden måde er væk i længere
> tid står med et password som ville kunne knækkes på et par sekunder.
>
Betyder måske ikke så meget afhængig af forholdene, men at udstille sin
egen inkompetance på denne måde, burde i sig selv kvalificere til et
personaleskifte i ITafdelingen.
En virksomhed med flere domæner må også formodes at have medarbejdere
med forskellige rettigheder.
> Jeg er ret overrasket over den fremgangsmåde, hvad mener I? Jeg kan da
> godt se at det er den letteste måde at løse problemet hurtigt på, men
> hvad med sikkerheden? Det er trods alt ret følsomme oplysninger de
> identer har adgang til.
En metode kunne være i loginbilledet, at bede folk henvende sig ved
sekretariat, og få en lukket kuvert med individuelt passwd, og måske
udsende de uafhentede kuverter.
//finn
| |
|
|