[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2001 ml@sikurezza.org Soggetto: R: SysAdmin, responsabilità e rischi Mittente: farina . pierluigi Data: 27 Nov 2001 17:53:41 -0000
-----Messaggio originale----- Da: Tullio Andreatta [mailto:tullio@logicom.it] Inviato: Nessuna A: ml@sikurezza.org Oggetto: Re: SysAdmin, responsabilità e rischi [Riordinati i pezzi per rispondere in ordine logico] >[...] Sò che la procedura corretta sarebbe >quella di non dare pwd per telefono etc etc ma spesso e volentieri le >password sono così banali che....tanto varebbe usare il vecchio PostIt :-) attravesso la procedura di comunicazione di una nuova pw in sostituzione di quella ..... dimenticata, si verifica che: 1- il SYS non conferma platealmente di possedere le pw del sistema, (che comunque presumo che ogni SYS conosca) 2- nel caso la richiesta telefonica di nuova pw e la sua contestuale comunicazione vengano fatte ad un "utente" hacker, l'utente legittimo, alla sua prima connessione si ritrova la pw cambiata e quindi .... presumibilmente, contatta l'amministratore che viene a conoscenza della situazione. Diversamente, comunicando la pw attiva e dimenticata dietro semplice richiesta telefonica, si potrebbe verificare che la comunicazione della pw venga comunicata direttamente dall'amministratore all'hacker all'insaputa dell'utente, sfruttando il piu' grosso dei bug, quello umano (carino vero?!) con accesso contemporaneo di tre persone al login: SYS+Hacker+utente legittimo (ignaro!) ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005