Re: SysAdmin, responsabilità e rischi

[Riordinati i pezzi per rispondere in ordine logico]
>[...] Sò che la procedura corretta sarebbe 
>quella di non dare pwd per telefono etc etc ma spesso e volentieri le 
>password sono così banali che....tanto varebbe usare il vecchio PostIt :-)

Se non se la ricordano, dargli quella che non ricordano o dargliene
un'altra che non conoscono, che differenza fa?

>Cmq sia mi riferivo alle responsabilità *legali* :-)

Se quella password viene usata per fare qualcosa di illegale, tu rientri
nell'elenco delle persone sospettate - sei uno di quelli che la conosce.

Se qualcuno ti ruba la password e la usa per danneggiare il tuo cliente,
tu ne rispondi in quanto non hai adeguatamente custodito la password.

E se qualcuno ruba la password, tu devi dimostrare che non l'ha rubata
a te ma a qualcun altro; ci riesci? 

>Gli utenti per cui lavoro fanno parte di piccole,medie e anche grosse
>aziende ma sono tutti "eccessivamente" digiuni di silicio.

Ma non tutti i loro avvocati lo sono.
E' buona regola non fare mai piu' di quello che ti si chiede, perche'
"tutto quello che fai potrebbe essere usato contro di te" :-)

>[...] Per loro cambiare password è solo una inutile perdita di tempo.

Ma e' buona norma. Quindi, se non la cambiano loro, cambiagliela tu
quando ti costringono. Non e' come cambiarla volontariamente ogni
tanto, ma almeno rendi la vita un briciolo piu' difficile al
"tcpdumper" di turno ...

Saluti.


--
Tullio Andreatta Logicom S.r.l. (Gruppo Finmatica) http://www.logicom.it/
Sede operativa: Via Vergnano, 2 - I-25100 Brescia ITALY

Disclaimer: "Please treat this email message in a reasonable way, or we
    might get angry" ( http://www.goldmark.org/jeff/stupid-disclaimers )

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List