Re: [ml] sistema di logon e locking per stazione con utilizzo promiscuo

mi vengono in mente due soluzioni banali:
l'uso di smartcard o di periferiche biometriche.
Per la prima, ci sono centinaia di soluzioni a basso costo; per la
seconda, ricordo che trust (ad esempio) commercializzava un mouse con in
mezzo un sensore biometrico, dal costo di poco piu di 150 euro.

Il mer, 2004-06-30 alle 09:53, Igor Falcomata' ha scritto:
> Direi che per la parte tecnica siamo pienamente in-topic. L'ultima parte
> (password del giorno & co) e' piu' adatta su lex<at>, eventuali risposte _a
> quella parte_ direttamente li', thnx
> 
> Koba,
> moderatore
> 
> ----- Forwarded message from Fabrizio Ermini <fabrizio.ermini<at>sysdat.it> -----
> Subject: adeguamento alla 196 e utenti "promiscui"
> From: "Fabrizio Ermini" <fabrizio.ermini<at>sysdat.it>
> Date: Tue, 29 Jun 2004 17:57:46 +0200
> 
> (nota per il moderatore: scrivo su ml perchè è un quesito più che altro
> tecnico, se ritieni di passarla su lex insieme a tutte le altre sulla 196
> fai pure, sono iscritto anche di la'...)
> 
> Salve a tutti. Ho incontrato una situazione un po' particolare nell'ambito
> di una consulenza e mi farebbe piacere sentire un po' di argomentazioni al
> riguardo.
> 
> The problem: cliente a cui faccio consulenza per il DPS è un gruppo di
> hotel. In ogni hotel c'e' un PC w2k installato al banco reception che
> permette agli incaricati di inserire/consultare i dati degli ospiti. Il PC
> pero' è utilizzato a rotazione 24 ore su 24 da n incaricati diversi, sia
> per turnazione sia perchè comunque c'e' un solo PC e ci sono diversi
> banconisti.
> 
> Al momento l'autenticazione da quei PC è fatta con un utente "astratto"
> chiamato "reception" la cui password è in pratica nota da più incaricati;
> il criterio è che alla bisogna basta ce ne sia uno che lo può sbloccare e
> poi tutti lavorano con la stessa sessione.
> 
> Ovvio che la prima cosa che ho fatto è stato far notare al cliente
> l'illegalità di tale soluzione... ma al momento di consigliare come
> mettersi in regola, la soluzione brutale di dare un id personale ad ogni
> incaricato si è rivelata non priva di problemi. Infatti se anche facciamo
> così, comunque difficilmente i receptionist potranno permettersi di fare
> continuamente logoff/login per problemi di tempo (questa puzza di scusa, ma
> lasciamogli il beneficio del dubbio), e quindi finirebbero per usare
> liberalmente l'uno l'account dell'altro in ogni caso.
> Inoltre, c'e' un fortissimo turnover di incaricati alla reception (per
> motivi di stagionalità ecc.) e quindi anche dover dare continuamente nuovi
> account è sentito come un grosso peso.
> E poi c'e' il problema del lock: essendo un computer in posizione critica
> (l'unica protezione da un'area ad accesso praticamente pubblico come la
> hall di un albergo è un bancone...) direi che l'implementazione di un
> blocco tramite screen saver o similare sia mandatoria; a quel punto se il
> computer si blocca con la password dell'incaricato X, quando arriva
> l'incaricato Y e trova il PC bloccato come lo apre?
> 
> Quali alternative ci potrebbero essere? Ho pensato anche a suggerire
> un'autenticazione con dongle USB o altro artificio "fisico". In quel modo
> evito di dover implementare password condivise, ma non risolvo del tutto il
> problema dell'identificazione degli incaricati. Tramite un meccanismo del
> genere è possibile implementare un sistema di lock "multiuser"? Cioè: se
> l'incaricato X si deve allontanare toglie il token e blocca il computer;
> quando arriva l'incaricato Y inserisce il suo token e sblocca il computer,
> e così via.
> 
> Usare un discorso tipo "password del giorno" per cui si mantiene una
> password condivisa (nota a più incaricati) ma che vale solo per un giorno e
> poi viene ruotata dall'amministratore di sistema potrebbe essere accettata
> a norma 196?
> 
> Vi passo la palla, ciao a tutti
> Fabrizio
> 
> ----- End forwarded message -----
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
-- 

----------------------------------
Giovanni Ferri
Linux System & Security admin
PGP ID: 0x522C8AEA