/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad mener I om denne procedure?
Fra : Tommy


Dato : 22-11-11 09:55

Hej. Jeg kunne godt tænke mig at høre gruppens mening om denne
procedure. Jeg arbejder i en større organisation hvor vi logger på via
nogle forskellige domæner afhængig af afdeling. I en anden afdeling er
der åbenbart sket en fejl så alle identer er blevet nulstillet.

Dette løses ved at sende en sms til alle der er tilmeldt en sms service
i organisationen. I sms,en forklares kort fejlen og at alle passwords nu
er nulstillet med et nyt, samme password til alle. Passwordet står også
i sms'en.

D.v.s. at alle medarbejdere nu har samme password, det mest usikre man
næsten kan finde på, indtil de har været logget på igen. Det vil så også
betyde at de som er syge, på barsel eller på anden måde er væk i længere
tid står med et password som ville kunne knækkes på et par sekunder.

Jeg er ret overrasket over den fremgangsmåde, hvad mener I? Jeg kan da
godt se at det er den letteste måde at løse problemet hurtigt på, men
hvad med sikkerheden? Det er trods alt ret følsomme oplysninger de
identer har adgang til.

 
 
Jonathan Stein (22-11-2011)
Kommentar
Fra : Jonathan Stein


Dato : 22-11-11 12:05

Den 22-11-2011 09:54, Tommy skrev:

> Jeg er ret overrasket over den fremgangsmåde, hvad mener I? Jeg kan da
> godt se at det er den letteste måde at løse problemet hurtigt på, men
> hvad med sikkerheden? Det er trods alt ret følsomme oplysninger de
> identer har adgang til.

Hvis det er persondata, vil Datatilsynet næppe være begejstret...

M.v.h.

Jonathan

Tommy (22-11-2011)
Kommentar
Fra : Tommy


Dato : 22-11-11 13:03

Den 22-11-2011 12:04, Jonathan Stein skrev:
> Hvis det er persondata, vil Datatilsynet næppe være begejstret...

Nej det vil jeg heller ikke tro. Det er jo selvfølgelig et Intranet og
en intern besked der er sendt ud hvor de som modtager den normalt har
samme adgang til de samme oplysninger. Så Internt er der nok ikke nogen
data sikkerhedsproblemer i det hvis det kun drejer sig om at kollegaer
kan skaffe sig adgang til andre kollegaers identer fordi de kender det
nye password.

Men jeg tænker på hvor det ligger dels med at sende en sms ud som vel
potentielt ville kunne sniffes. Og det faktum at en lang række identer i
en periode har er så usikkert password. Også selv om det er i et
Intranet som det naturligvis er svært, men nok ikke umuligt, at skaffe
sig adgang til udefra...

Chano Andersen (22-11-2011)
Kommentar
Fra : Chano Andersen


Dato : 22-11-11 23:24

Den 22/11/11 13.03, Tommy skrev:
> Og det faktum at en lang række identer i
> en periode har er så usikkert password.

Hvis man autogenerere et password, som så bruges på alle konti, og kun
kendes af folk der alligevel har adgang til de beskyttede data, så burde
det ikke være helt slemt. Men hvis man bruger Abcd1234 blot for at
tilfredsstille Windows kompleksitetskrav, så er det alt for usikkert.

- Chano Andersen

Cykelsmeden (23-11-2011)
Kommentar
Fra : Cykelsmeden


Dato : 23-11-11 13:53

Den 22-11-2011 09:54, Tommy skrev:
> Hej. Jeg kunne godt tænke mig at høre gruppens mening om denne
> procedure. Jeg arbejder i en større organisation hvor vi logger på via
> nogle forskellige domæner afhængig af afdeling. I en anden afdeling er
> der åbenbart sket en fejl så alle identer er blevet nulstillet.
>
Tyder ikke på kvalificeret ITpersonale!

> Dette løses ved at sende en sms til alle der er tilmeldt en sms service
> i organisationen. I sms,en forklares kort fejlen og at alle passwords nu
> er nulstillet med et nyt, samme password til alle. Passwordet står også
> i sms'en.
>
Håber ikke det er en organisation som har nogen form for følsomme data,
være sig personlige eller forretningsmæssige. Alene at kunne få tanken
at distribuere ET FÆLLES passwd VIA SMS.

> D.v.s. at alle medarbejdere nu har samme password, det mest usikre man
> næsten kan finde på, indtil de har været logget på igen. Det vil så også
> betyde at de som er syge, på barsel eller på anden måde er væk i længere
> tid står med et password som ville kunne knækkes på et par sekunder.
>
Betyder måske ikke så meget afhængig af forholdene, men at udstille sin
egen inkompetance på denne måde, burde i sig selv kvalificere til et
personaleskifte i ITafdelingen.
En virksomhed med flere domæner må også formodes at have medarbejdere
med forskellige rettigheder.

> Jeg er ret overrasket over den fremgangsmåde, hvad mener I? Jeg kan da
> godt se at det er den letteste måde at løse problemet hurtigt på, men
> hvad med sikkerheden? Det er trods alt ret følsomme oplysninger de
> identer har adgang til.
En metode kunne være i loginbilledet, at bede folk henvende sig ved
sekretariat, og få en lukket kuvert med individuelt passwd, og måske
udsende de uafhentede kuverter.

//finn

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409070
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste