Jaki powód może mieć firma, aby uniemożliwić użytkownikom zmianę hasła

Jeśli użytkownik chce zmienić hasło, musi albo pozwolić działowi IT wygenerować losowe hasło, albo musi przekazać mu nowe hasło przez telefon. Tak czy inaczej, dział IT najwyraźniej musi wiedzieć, jakie jest hasło (gdzie przechowują te informacje, nie jest znane).

Dział IT twierdzi, że jest to polityka firmy, ale nie widzę sensu. To nie jest tak, że użytkownicy mogą zrobić wszystko, aby zablokować firmę.

W rzeczywistości wydaje mi się, że powoduje to mniej bezpieczeństwa, ponieważ niewygodny proces sprawia, że ​​mniej prawdopodobne jest, że zajęty dział IT będzie okresowo dzwonił do użytkowników w celu zmiany hasła.

Znam tylko jeden powód, a to z horroru, w którym audytor wymagał od IT przedstawienia haseł wszystkim użytkownikom.

Poza kimś, kto ślepo śledzi scenariusz horroru (zamiast oświadczyć strasznie niekompetentnemu audytorowi), nie ma jednego powodu, dla którego byłby to dobry pomysł.

Żeby było to bardziej wyraźne:

• Nie ma powodu, aby nikomu podawać swoje hasło. Obejmuje to informatyków. Mogą poprosić Cię o zalogowanie się (i wpisujesz hasło, gdy nie patrzą na klawiaturę), aby pomóc w rozwiązaniu problemów, ale nigdy nie powinny prosić o hasło.
• Dostęp do wspólnych zasobów (np. Współpracownik odchodzący z pracy) powinien być wykonywany ostrożnie. Rozwiązaniem nie jest uzyskanie hasła innego użytkownika, ale prawa dostępu do potrzebnych danych. (jeszcze raz NIGDY nie udostępniaj hasła).
• Nigdy nie podawaj hasła nikomu przez telefon. ... Chyba mógłbym kontynuować, ale nie ma jednego powodu, aby ktokolwiek miał twoje hasło w pracy. Żaden. Nada. Zamek błyskawiczny. Zilch. Rien.

Dobrze, teraz, co jest na uboczu, tytuł ypur brzmiał: „Jaki powód może mieć firma, aby uniemożliwić użytkownikom zmianę hasła”. Nie mogę też wymyślić żadnego rozsądnego powodu. W rzeczywistości ktoś musi wygenerować początkowe hasło. Jeśli nie możesz zmienić hasła bez powiadomienia go, że musisz udać się do biura IT, poproś, aby odwrócił wzrok lub opuścił pokój i wpisał początkowe hasło. Powinieneś także powtarzać to co roku (lub częściej, jeśli spodziewasz się, że ktoś zobaczy, że wpiszesz hasło).

W sumie jest to całkowicie szalone.

Przyczyny tej nieparzystej polityki mogą być częściowe. Czasami sieć systemów wymaga zmiany hasła, aby powstała na jednym serwerze i rozprzestrzeniła się na resztę. Może się to zdarzyć, jeśli istnieje mieszanka, taka jak serwery Microsoft i Linux, które mają własną ścieżkę bezpieczeństwa / audytu. Ma to wiele długoterminowych problemów, ale tak, możesz mieć zmiany w IT. Zespół zajął się centralnym serwerem haseł, aby wszystko działało przez ponad rok. Nie jestem pewien, dlaczego zajęło im to tak długo.

Z drugiej strony IT widziałem naprawdę dziwne rzeczy. Może to być zgodne z prawem, wynikające z umów z klientami lub innych ograniczeń, które mogą zmusić dział IT do przeprowadzenia takiej konfiguracji. Czasami informator mówi, że możesz nie podać powodu, dla którego zastosowano tę niewłaściwą konfigurację. Większość reguł HR zawiera w sobie komponent „nie udostępniaj hasła”.

Ostatnie, co widziałem, to kiedy Exec chce poznać hasło każdego lub mieć program monitorujący, który potrzebuje hasła każdego. Wyjaśniłem, że tak się nie stanie. Wsparło mnie wyższe kierownictwo, w przeciwnym razie ...