Re: SysAdmin, responsabilità e rischi

> Gli utenti per cui lavoro fanno parte di piccole,medie e anche grosse
aziende
> ma sono tutti "eccessivamente" digiuni di silicio.

Ottimo motivo per NON ridare la password.

> Per loro cambiare password
> è solo una inutile perdita di tempo.

Ma scusa, se non se la ricordano, tanto vale che la cambino, no ?

> Sò che la procedura corretta sarebbe
> quella di non dare pwd per telefono etc etc

Caso facile: io sono un Utente Demente (TM). La mia password di login e'
uguale a quella del mio trading online, della mia tessera millemiglia, della
mia posta personale, del mio pc di casa, quando non anche al pin del mio
bancomat, del mio cellulare e del mio palmare.

Un Rompicoglioni Cosmico (TM) ti telefona e fingendosi U.D.(TM) si fa
"ridare" quella password. Ora, quando ti rendi conto che e' successo (SE te
ne rendi conto) hai praticamente compromesso la vita del tuo utente, che
dovra' cambiare N pin e password (mettendole di nuovo tutte uguali, ma
uguali a qualcos'altro ;)

> Cmq sia mi riferivo alle responsabilità *legali* :-)

Ti hanno gia' risposto in un altro post: se causi, volontariamente o
involontariamente, la disclosure delle password, sei responsabile. Se NON la
causi ma SANNO che tu hai l'elenco, e salta fuori che un non autorizzato ha
fatto danni con uno di quei codici, potresti alternativamente essere preso
come capro espiatorio o essere accusato di aver fatto tu stesso i danni.

Infine, se per caso i sistemi trattano dati sensibili, sei a rischio penale.
Anche se gli utenti sanno tutto e sono consenzienti.

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List