Welchen Grund könnte ein Unternehmen haben, um Benutzer daran zu hindern, ihre Passwörter zu ändern

287
Cvnk

Wenn ein Benutzer sein Kennwort ändern möchte, muss er entweder die IT-Abteilung zufällig generieren lassen oder ihm das neue Kennwort per Telefon mitteilen. In beiden Fällen muss die IT-Abteilung anscheinend wissen, wie das Kennwort lautet (wo diese Informationen gespeichert werden, ist nicht bekannt).

Die IT-Abteilung behauptet, dies sei die Unternehmensrichtlinie, aber ich verstehe das nicht. Es ist nicht so, dass Benutzer etwas unternehmen können, um das Unternehmen auszuschließen.

Ich habe das Gefühl, dies macht die Dinge weniger sicher, da der unpraktische Prozess es unwahrscheinlich macht, dass eine viel beschäftigte IT-Abteilung Benutzer regelmäßig dazu aufruft, eine Kennwortänderung vorzunehmen.

0
das ist eine seltsame Politik. Ich muss davon ausgehen, dass sie mehrere Konten auf mehreren Systemen erstellen, die nicht miteinander kommunizieren (wie ein alter Mainframe oder was auch immer, wo nur ein überberechtigter Administrator die Passwörter ändern kann). Frank Thomas vor 7 Jahren 0
Ich habe für ein Unternehmen gearbeitet, das nicht nur die Benutzer daran gehindert hat, E-Mail-Kennwörter zu ändern, sondern sie alle zum _same_ machte (nur 6 Zeichen und sehr leicht zu erraten). Es gelang mir schließlich, sie davon zu überzeugen, dass ich die Passwörter aller Benutzer zurücksetzen kann, nachdem ein Konto kompromittiert wurde und zum Senden von Spamfluten verwendet wurde. Glücklicherweise hat der Spammer nie gemerkt, welche Goldader genau unter dem Nugget eines Kontos saß. Cvnk vor 7 Jahren 0
"Welchen Grund könnte ein Unternehmen haben, um Benutzer daran zu hindern, ihre Kennwörter zu ändern" - Warum benötigt Ihr Unternehmen eine IT, um es zu ändern? Warum fragst du sie nicht? Fragen Sie nach der Richtlinie, der Grund wird wahrscheinlich erklärt. Ramhound vor 7 Jahren 1

2 Antworten auf die Frage

0
Hennes

Ich kenne nur einen Grund, und zwar aus einer Horrorgeschichte, in der ein Auditor von der IT-Abteilung verlangt hat, dass er alle Passwörter aller Benutzer vorlegt.

Abgesehen von jemandem, der blind diesem Horror-Screnario folgt (anstatt den Auditor für schrecklich inkompetent zu erklären), gibt es keinen einzigen Grund, warum dies jemals eine gute Idee wäre.


Um dies etwas deutlicher zu machen:

  • Es gibt keinen Grund, Ihre Passwörter an Dritte weiterzugeben. Dies schließt IT-Mitarbeiter ein. Sie werden möglicherweise aufgefordert, sich anzumelden (und geben das Kennwort ein, ohne auf die Tastatur zu schauen), um Probleme zu beheben. Sie sollten jedoch niemals nach einem Kennwort fragen.
  • Der Zugriff auf gemeinsam genutzte Ressourcen (z. B. ein Mitarbeiter, der die Arbeit verlässt) sollte sorgfältig erfolgen. Die Lösung besteht darin, nicht das Kennwort eines anderen Benutzers zu erhalten, sondern die Zugriffsrechte auf die erforderlichen Daten. (Wiederum NIEMALS ein Passwort freigeben).
  • Niemals jemandem am Telefon ein Passwort mitteilen. Ich denke, ich könnte weitermachen, aber es gibt keinen Grund, warum jemand jemals Ihr Passwort bei der Arbeit haben sollte. Keiner. Nada Postleitzahl. Zilch. Rien


Gut, jetzt ist das aus dem Weg, Ihr Titel war: "Welchen Grund könnte ein Unternehmen haben, um Benutzer daran zu hindern, ihre Passwörter zu ändern". Ich kann mir auch keinen vernünftigen Grund dafür vorstellen. Tatsächlich muss jemand ein Anfangspasswort generieren. Wenn Sie das Kennwort nicht ändern können, ohne es darüber zu informieren, müssen Sie zum IT-Büro gehen und es bitten, wegzuschauen oder den Raum zu verlassen und Ihr ursprüngliches Kennwort einzugeben. Sie müssen dieses Jahr auch wiederholen (oder öfter, wenn Sie erwarten, dass jemand das Kennwort eingegeben hat).

Alles in allem ist es absolut verrückt.

0
bvaughn

Für diese ungerade Politik kann es teilweise Gründe geben. Manchmal erfordert das Netzwerk von Systemen, dass das Kennwort geändert wird, um von einem Server zu stammen und sich auf den Rest zu übertragen. Dies kann passieren, wenn es eine Mischung gibt, z. B. Microsoft- und Linux-Server, die über einen eigenen Sicherheits- / Prüfpfad verfügen. Dies hat viele langfristige Probleme, aber es kann sein, dass Änderungen in der IT vorgenommen werden müssen. Das Team, das für den zentralen Passwort-Server verantwortlich war, brauchte mehr als ein Jahr, um alles in Gang zu setzen. Nicht sicher, warum es so lange gedauert hat.

Ich habe wirklich seltsame Dinge von der anderen Seite der IT gesehen. Dies kann legal sein, das Ergebnis von Kundenverträgen oder andere Einschränkungen, die die IT dazu zwingen können, diese Einrichtung durchzuführen. Manchmal wird der IT-Abteilung mitgeteilt, dass Sie möglicherweise nicht den Grund für das schlechte Setup angeben. Die meisten HR-Regeln enthalten eine Passwortkomponente nicht.

Das Letzte, was ich gesehen habe, ist, wenn ein Exec das Passwort eines jeden wissen möchte oder ein Überwachungsprogramm hat, das jedes Passwort benötigt. Ich erklärte, dass dies nicht passieren würde. Ich wurde von einem höheren Exec gesichert, sonst ....

Verwandte Probleme