[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2001 ml@sikurezza.org Soggetto: Re: R: SysAdmin, responsabilità e rischi Mittente: CED Data: 28 Nov 2001 10:12:06 -0000
farina.pierluigi@enel.it wrote: > > -----Messaggio originale----- > Da: Tullio Andreatta [mailto:tullio@logicom.it] > Inviato: Nessuna > A: ml@sikurezza.org > Oggetto: Re: SysAdmin, responsabilità e rischi > > [Riordinati i pezzi per rispondere in ordine logico] > >[...] Sò che la procedura corretta sarebbe > >quella di non dare pwd per telefono etc etc ma spesso e volentieri le > >password sono così banali che....tanto varebbe usare il vecchio PostIt :-) > Per me la procedura corretta, che è quella che seguo nell'amministrare il dominio NT del mio ente, consiste nel disbilitare l'utente immediatamente sino al momento in cui non gli ho dato una nuova password (generalamente assurda tipo 'wq97er2xs') che provvedo a comunicare per scritto all'utente. All'atto di riabilitare l'utente alzo il flag 'user must change password at next logon' così l'utente riaccede al dominio, cambia password ed io, non sapendo la nuova password, sono fuori dal giro delle persone sospette in caso di abuso. > attravesso la procedura di comunicazione di una nuova pw in sostituzione di > quella ..... dimenticata, si verifica che: > 1- il SYS non conferma platealmente di possedere le pw del sistema, (che > comunque presumo che ogni SYS conosca) Solo se le vuole sapere... ma dopo, secondo me, le rogne se le va' in cerca.... > 2- nel caso la richiesta telefonica di nuova pw e la sua contestuale > comunicazione vengano fatte ad un "utente" hacker, l'utente legittimo, alla > sua prima connessione si ritrova la pw cambiata e quindi .... > presumibilmente, contatta l'amministratore che viene a conoscenza della > situazione. > Diversamente, comunicando la pw attiva e dimenticata dietro semplice > richiesta telefonica, si potrebbe verificare che la comunicazione della pw > venga comunicata direttamente dall'amministratore all'hacker all'insaputa > dell'utente, sfruttando il piu' grosso dei bug, quello umano (carino vero?!) e non esiste patch.... > con accesso contemporaneo di tre persone al login: SYS+Hacker+utente > legittimo (ignaro!) > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005