Если пользователь хочет изменить свой пароль, он должен либо позволить ИТ-отделу сгенерировать случайный пароль, либо он должен сообщить ему новый пароль по телефону. В любом случае ИТ-отдел, очевидно, должен знать, какой пароль (где они хранят эту информацию, неизвестно).

ИТ-отдел утверждает, что это политика компании, но я не вижу в этом смысла. Это не так, как пользователи могут сделать что-нибудь, чтобы заблокировать компанию.

На самом деле, я чувствую, что это делает вещи менее безопасными, поскольку неудобный процесс снижает вероятность того, что занятый ИТ-отдел будет периодически звонить пользователям для смены пароля.

2 ответа2

0

Я знаю только одну причину, и это из ужасной истории, когда аудитору требовалось, чтобы ИТ-персонал представил пароли всех пользователей.

Кроме того, что кто-то слепо следит за этим сценарием ужасов (вместо того, чтобы объявлять одитора ужасным некомпетентным), нет ни одной причины, почему это когда-либо было бы хорошей идеей.


Просто чтобы сделать это немного более явным:

  • Нет причин сообщать кому-либо свой пароль. Это включает в себя айтишников. Они могут попросить вас войти в систему (и вы вводите пароль, когда они не смотрят на вашу клавиатуру), чтобы помочь устранить неполадки, но они никогда не должны запрашивать пароль.
  • Доступ к общим ресурсам (например, коллеге, уволившемуся с работы) следует делать осторожно. Решение состоит не в том, чтобы получить пароль другого пользователя, а в правах доступа к необходимым данным. (еще раз, НИКОГДА не сообщайте пароль).
  • Никогда не говорите пароль никому по телефону. ... Я думаю, я мог бы продолжить, но нет никаких причин, чтобы кто-либо когда-либо имел ваш пароль на работе. Никто. Нада. Zip. Шиш. Rien.


Хорошо, теперь это не так, название ypur звучало так: «Какова может быть причина, по которой компания может помешать пользователям менять свои пароли». Я не могу думать ни о какой здравой причине для этого. На самом деле, кто-то должен сгенерировать начальный пароль. Если вы не можете изменить пароль, не сказав этого, вам нужно будет пойти в ИТ-офис, попросить их отвести взгляд или покинуть комнату и ввести свой первоначальный пароль. Вам также нужно будет повторять это ежегодно (или чаще, если вы ожидаете, что кто-то, возможно, видел, как вы вводите пароль).

В общем, это совершенно безумно.

0

Для такой странной политики могут быть частичные причины. Иногда сети систем требуется, чтобы изменение пароля происходило на одном сервере и распространялось на остальные. Это может произойти, если есть смесь, такая как серверы Microsoft и Linux, которые имеют свой собственный журнал безопасности / аудита. Это имеет много долгосрочных проблем, но да, у вас могут быть изменения в ИТ. Команде, ответственной за центральный сервер паролей, потребовалось более года, чтобы все заработало. Не уверен, почему это заняло у них так много времени.

Я видел действительно странные вещи с другой стороны ИТ. Это может быть законным, результатом контрактов с клиентами или других ограничений, которые могут заставить ИТ-отдел иметь такую настройку. Иногда ИТ-специалистам сообщают, что вы можете не указывать причину, по которой эта плохая установка используется. Большинство HR-правил содержат в себе компонент «не делить пароли».

Последнее, что я видел, это когда исполнительный директор хочет знать пароль каждого или у него есть программа мониторинга, которая требует пароль каждого. Я объяснил, что этого не произойдет. Я получил поддержку от более высокого исполнительного директора, иначе ....

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .