Quels sont les arguments pour et contre une stratégie réseau dans laquelle l'administrateur système connaît les mots de passe des utilisateurs? [fermé]

13

Je voudrais connaître les avantages et les inconvénients .. les raisons pour et contre l'idée de l'administrateur système de maintenir les listes de comptes d'utilisateurs avec des mots de passe .. et en plus de ne pas permettre à ces utilisateurs de changer leurs mots de passe.

Je comprends que des systèmes comme Windows semblent encourager l'idée que les utilisateurs devraient maintenir leur propre sécurité par mot de passe et être autorisés à changer leur mot de passe à volonté. Je peux apprécier le besoin de confidentialité et les utilisateurs ayant des alibis pour se protéger au cas où un mot de leurs collègues serait en désaccord avec les journaux du système. Mais en même temps, je peux également voir comment certaines personnes pourraient justifier d'avoir les mots de passe des utilisateurs dans un fichier dans le cas où l'accès est requis à certains des documents que les utilisateurs peuvent vouloir garder privés.

J'aimerais vraiment être éduquée sur cette idée.

cottsak
la source
pour mémoire: je voudrais citer les pages ci-dessous et dire que "tout en moi dit aussi NON". je suis pratiquement d'accord avec tous les points soulevés ici et j'apprécie sincèrement les commentaires. c'est exactement le renfort que je recherchais.
cottsak

Réponses:

30

Un administrateur système doit pouvoir accéder à tous les fichiers dont dispose un utilisateur, à moins qu'ils ne soient chiffrés, auquel cas le mot de passe Windows de l'utilisateur n'aidera pas. Avoir le système connaissant les mots de passe signifie que vous ne pouvez jamais savoir si un utilisateur a fait quelque chose, ou si un administrateur système l'a fait, ce qui pourrait causer beaucoup de problèmes si jamais vous vous disputiez. Les mots de passe devraient être stockés quelque part, ce qui signifie qu'ils pourraient être perdus. Enfin, les utilisateurs auront plus de mal à se souvenir d'un mot de passe qu'ils n'ont pas créé.

Les avantages sont qu'il n'est pas nécessaire de réinitialiser les mots de passe, mais vous devrez les rappeler aux utilisateurs. Cela facilite également la connexion aux comptes d'utilisateurs, mais en dehors du test ou du diagnostic d'un problème, cela n'est pas nécessaire, et vous pouvez alors obtenir les mots de passe au cas par cas.

Il n'y a vraiment aucune raison de le faire, cela crée beaucoup de problèmes, sans réel gain.

Dentrasi
la source
+1 à peu près la même réponse que la mienne.
David Pashley
12
Il est très mauvais de demander aux utilisateurs leur mot de passe. Si un administrateur système a besoin d'accéder à son compte pour une raison quelconque, il doit réinitialiser le mot de passe des utilisateurs. Vous ne devez JAMAIS former vos utilisateurs à donner leur mot de passe et l'encourager en ne demandant JAMAIS leur mot de passe. -1 jusqu'à "et vous pouvez alors obtenir les mots de passe au cas par cas." est retiré.
pipTheGeek
8
Le terme de sécurité est la non-répudiation. La non-répudiation est le cas où une personne ne peut nier avoir fait quelque chose. Lorsque l'administrateur système dispose du mot de passe, vous perdez la non-répudiation. C'est une position terrible, car elle élimine beaucoup de voies légales au cas où un utilisateur causerait des dommages. ("Mais je ne l'ai pas fait. Et je ne suis pas le seul à avoir mon mot de passe!")
K. Brian Kelley
@K. Brian Kelley: c'est fantastique .. tu pouvais voir que j'avais du mal à trouver un mot comme ça. cheerz
cottsak
Dans la plupart des systèmes, l'administrateur système peut simplement pénétrer dans le compte, le mot de passe ou non. Sous Unix, c'est juste "su - user". Je suis sûr qu'il existe un équivalent Windows.
Bill Weiss
24

Il n'y a aucune justification. Un administrateur système peut modifier le mot de passe si nécessaire, mais il ne doit pas le connaître ni le stocker.

Il n'y a que des inconvénients.

Qu'en est-il de mes informations privées que je m'attends à ce que les RH gardent privées?

Découvrir où j'habite parce que j'ai pris leur place de parking ... afficher mon salaire sur internet ... transmettre des informations à un ex .. du porno envoyé par email à la direction a mon nom attaché ...

Je serais surpris si une entreprise avait une telle politique écrite.

gbn
la source
1
Je suis tout à fait d'accord, et vous faites un excellent point illustrant l'aspect RH de celui-ci.
Greg Meehan
Un administrateur système aurait probablement accès à la plupart de ces informations et, dans le cas contraire, il serait insignifiant pour eux de l'obtenir en utilisant des enregistreurs de frappe, des logiciels ou du matériel.
Dentrasi
11
Si vous ne pouvez pas faire confiance à votre administrateur système, vous avez de plus gros problèmes.
David Pashley
@David, c'est très vrai. en tant qu'administrateur système, nous devons être très conscients de l'importance de la confidentialité pour gagner cette confiance.
kentchen
6
Éviter religieusement de connaître ou de voir les mots de passe des utilisateurs est une façon pour les administrateurs système d'encourager la confiance.
Mnebuerquo
19

Ne confondez pas authentification et autorisation.

Un mot de passe prouve au système qui vous êtes (authentification)

L'appartenance à un groupe et les autorisations du système de fichiers indiquent généralement ce que vous pouvez faire (autorisation).

Pour donner à un administrateur de confiance un accès aux fichiers appartenant à quelqu'un d'autre, vous augmentez son niveau d'autorisation. Vous ne les laissez pas se connecter comme s'ils étaient l'autre personne.

James F
la source
fantastique! l'identité est la plus importante ici!
cottsak
7

Les administrateurs peuvent toujours changer le mot de passe d'un utilisateur. Ils n'ont aucune raison de connaître le mot de passe de l'utilisateur. S'il y a un problème ou que l'utilisateur est absent et que quelqu'un d'autre a besoin d'accéder aux fichiers, un gestionnaire peut demander que le mot de passe soit modifié pour la journée et l'utilisateur peut le réinitialiser la prochaine fois qu'il se présente.

Il y a un avantage à ce que les administrateurs tentent de casser les mots de passe des utilisateurs pour empêcher l'utilisation de mots de passe faibles.

David Pashley
la source
Si vous avez besoin de fichiers, l'administrateur peut toujours utiliser ses propres privilèges élevés pour lire ces fichiers sans se connecter en tant que propriétaire des fichiers. Il peut ensuite copier / déplacer ces fichiers si quelqu'un d'autre en a besoin, ou modifier leurs autorisations pour autoriser l'accès nécessaire. Le craquage des mots de passe faibles se ferait au moment où l'utilisateur tenterait de définir son mot de passe et rejetterait simplement le nouveau mot de passe. Cela devrait faire partie du système de connexion.
Mnebuerquo
4

Comme d'autres l'ont déjà fait remarquer ici: il n'y a pas de bonne raison pour que l'informatique connaisse le mot de passe de l'utilisateur, mais l'accès au mot de passe de l'utilisateur peut servir une situation négative sous plusieurs formes.

En plus de ce qui a déjà été dit , si vous avez besoin de connaître un mot de passe, il s'agit du mot de passe de l'administrateur local pour la machine (ou root) et du mot de passe de cryptage principal pour le système. Tout ce qui a à voir avec les profils utilisateur doit être considéré comme interdit, sauf s'il existe une demande administrative pour interroger ces fichiers (il existe des outils pour cela)

l0c0b0x
la source
4

Gardez à l'esprit que si vous optez pour des combos nom d'utilisateur / mot de passe, vous avez une liste très importante. Perdre cette liste, ou pire encore, demander à quelqu'un de copier cette liste sans que vous sachiez qu'une copie a été faite, serait un gros gros problème. Et vous ne voulez vraiment vraiment pas cela dans un fichier un disque quelque part, ce qui serait la solution courante.

C'est l'une des nombreuses raisons pour lesquelles on n'écrit pas les mots de passe en texte clair.

Bruce ONeel
la source
3

La responsabilité est le problème.

Si les utilisateurs sont interrogés sur les activités menées à partir de leur connexion, ils ont une sortie automatique s'il s'agit d'une procédure de fonctionnement standard que quelqu'un d'autre peut accéder à leur compte sans d'abord changer le mot de passe.

Ne risquez pas de perdre la responsabilité de vos administrateurs système et / ou de vos utilisateurs.

Je ne vois aucun avantage.

Shawn Anderson
la source
3

Je vais partir un peu sur une tangente.

Le fait est que si l'administrateur est 100% éthique, peu importe s'il connaît les mots de passe des utilisateurs, de même si l'administrateur n'est pas 100% éthique, alors peu importe s'il ne connaît pas le mot de passe. Il a root, il peut obtenir le mot de passe sans que personne d'autre ne le sache. (Il est root, rappelez-vous, le dirigeant de la machine. Il ne peut rien faire sur cette machine, y compris le nettoyage des journaux, le blocage des ports, l'exécution de l'outil qu'il veut, etc.)

Il n'y a personne qui soit 100% éthique aux yeux des RH, vous devez donc supposer que l'administrateur a toujours accès aux mots de passe des utilisateurs.

Si vous pensez que l'administrateur ne peut pas faire cela parce qu'il n'a pas les compétences, veuillez le remplacer par quelqu'un qui le fait.

Donc, avoir une politique que l'administrateur ne devrait pas avoir accès aux mots de passe de l'utilisateur est un gaspillage de papier imprimé sur les politiques et procédures, car il ne pourrait pas être appliqué. Au mieux, il offre un faux sentiment de sécurité, et c'est le pire type de sécurité.

Christopher Mahan
la source
1
bonne réponse: "..faux sentiment de sécurité .."
cottsak
1
Si les mots de passe sont stockés à l'aide d'un cryptage non réversible, l'administrateur ne pourra pas les déchiffrer. Ce n'est pas important car il existe d'autres moyens d'accéder aux informations des utilisateurs sans qu'ils soient connus, ce qui est beaucoup plus facile.
SpaceManSpiff
+1 pour avoir mentionné l'éthique ... bon point
cop1152
1
L'administrateur n'a pas plus "accès à leurs mots de passe" que n'importe quel autre utilisateur du réseau. Il y a un grand écart entre «accès» et «craquage»
Kara Marfia
1
Il n'y a pas de répudiation pour l'administrateur d'un système Unix. Si l'utilisateur dit qu'il ne l'a pas fait, il est toujours possible que l'administrateur l'ait fait. Normalement, c'est le mot de l'utilisateur par rapport au mot de l'administrateur et l'administrateur est normalement approuvé au-dessus de l'utilisateur. Cependant, lorsque l'utilisateur en question est le directeur exécutif des opérations pour l'Europe et le Moyen-Orient, l'administrateur, quoi qu'il en dise, sera en difficulté. Il n'y a aucune répudiation possible par l'administrateur.
Christopher Mahan
3

Tout en moi dit "non!"

Si vous pensez en avoir besoin, vous ne comprenez probablement pas les outils et autorisations dont vous disposez en tant qu'administrateur système, comme indiqué dans les autres réponses.

Permettez-moi également de vous indiquer le code d'éthique de SAGE .

Edit: Était-ce une idée de manager? Quoi qu'il en soit, une certaine éducation s'impose: pour vous-même, afin que vous sachiez ce qui peut et ne peut pas être fait, techniquement, légalement et éthiquement; pour la gestion, afin que vous et eux puissiez développer une politique qui réponde aux besoins des entreprises; et pour les utilisateurs, afin qu'ils sachent à quoi ils peuvent s'attendre.

pgs
la source
ce lien est fantastique .. je vais certainement l'utiliser. merci tas
cottsak
c'était une idée de managers .. j'étais tellement contre. comme si fondamentalement. mais j'ai réfléchi et pensé qu'il serait bon d'avoir beaucoup plus de bonnes raisons. et il y a des tas ici - c'est super.
cottsak
Dilbert fodder ... soumis. ;-)
pages
2

Afin de maintenir les systèmes, les administrateurs doivent pouvoir faire n'importe quoi - accéder aux fichiers, les modifier, etc. Il doit donc y avoir un moyen pour un administrateur d'accéder à n'importe quel fichier, mais cela ne doit pas nécessairement être en ayant les utilisateurs mots de passe.

Pour moi, je ne vois que des inconvénients à avoir des mots de passe - la perte de responsabilité étant la principale. Si je n'ai le mot de passe de personne, je ne peux pas accéder régulièrement à leurs fichiers ou e-mails, je ne peux pas prétendre être eux et faire quelque chose en leur nom. Le président de notre entreprise voulait que nous ayons son mot de passe afin que nous puissions facilement travailler sur son système, mais après beaucoup d'essais, je l'ai convaincu de le changer et de ne pas nous dire de quoi il s'agissait.

Je ne peux pas imaginer une situation probable où un administrateur aurait besoin de plus que la possibilité de changer un mot de passe pour pouvoir accéder aux fichiers en cas d'urgence. Cela, et connaître temporairement les mots de passe des gens était toujours suffisant. Dans les cas où nous devions travailler sur un PC en tant que personne, nous obtiendrions soit leur mot de passe, puis le changerions après, soit nous le changerions et les obligerions à le changer à nouveau.

Quartier - Réintégrer Monica
la source
2

Réponse axée sur le serveur.

Chez un ancien employeur, le personnel administratif n'avait pas de mot de passe défini. Nous avons utilisé uniquement l'authentification SSH. Après y avoir travaillé, je suis devenu un grand partisan des schémas d'authentification à deux facteurs, tels qu'un certificat ou une clé client protégé par une phrase secrète (comme une clé SSH ou un certificat client SSL).

jtimberman
la source
2

L'inconvénient de permettre à l'administrateur de connaître tous les mots de passe est qu'il / elle peut quitter l'organisation et emporter toutes ces données. Mais la même chose peut arriver aux données situées dans les partages réseau.

Quoi que vous fassiez, ne stockez pas les mots de passe des utilisateurs en texte brut. Comme dans "appelez-nous si vous oubliez votre mot de passe". C'est un non. L'utilisateur se verra attribuer un nouveau mot de passe lorsqu'il se présentera personnellement au helpdesk et sera obligé de changer son mot de passe avant la première connexion.

Pour des informations vraiment confidentielles, je suggère aux utilisateurs de prendre des mesures supplémentaires comme PGP ou Truecrypt, mais il faut alors leur dire explicitement que leurs données ne peuvent pas être récupérées par leurs administrateurs système de confiance.

Si la direction s'inquiète que les administrateurs soient en mesure de jeter un œil à chaque document, ils doivent eux-mêmes travailler avec l'administrateur système. Un administrateur système est censé avoir une confiance presque totale.

Signum
la source
+1 Bon point. Changer le root pw et désactiver la connexion de l'administrateur est une chose, changer le pw de chaque utilisateur en est une autre ...
sleske
2

Je n'ai pas vu cela mentionné ici, mais j'ai seulement survolé les réponses. Beaucoup d'utilisateurs utilisent les mêmes mots de passe pour TOUT. Si vous avez leur mot de passe réseau, il y a de fortes chances que vous ayez le mot de passe pour leur e-mail personnel, photobucket, facebook, peu importe.

Je pense que c'est une mauvaise idée. Un administrateur système malhonnête pourrait causer beaucoup de problèmes.

cop1152
la source
C'est là que la politique de complexité des mots de passe entre en jeu, je pense. (Cela, et en exécutant régulièrement L0phtcrack.)
Brad Ackerman
1

J'ai tendance à m'opposer à la politique selon laquelle sysadmin devrait connaître le mot de passe. Il doit être basé sur le cas par cas. Chaque fois que nous, en tant qu'IT, avons besoin du mot de passe des utilisateurs pour effectuer le travail, nous devons les demander et conseiller à l'utilisateur de les changer une fois que nous aurons terminé notre travail. Et l'informatique ne doit pas stocker de mots de passe dans n'importe quel format.

Cependant, je dois également admettre que le fait d'avoir une feuille de mot de passe est parfois très pratique, très très pratique.

kentchen
la source
1

Les ordinateurs de travail assurent la confidentialité des personnes qui ne sont pas autorisées à accéder aux informations du propriétaire qui y sont stockées. Les employés n'ont aucune confidentialité lorsqu'ils utilisent l'équipement d'un employeur, c'est pourquoi votre bannière de connexion indique que toutes les activités peuvent être surveillées à tout moment, avec ou sans motif.

(Si vous n'avez pas une telle bannière de connexion, exécutez - ne marchez pas - vers votre conseiller juridique dès que possible, car c'est une très bonne idée.)

Mais c'est une autre question. Je ne pense pas pouvoir dire quoi que ce soit qui n'ait pas été dit dans une autre réponse, même si je pense qu'il faut explicitement dire qu'un mot de passe est un identifiant individuel , et donc tout mot de passe devrait être connu par exactement une personne; Les mots de passe génériques des comptes Administrateur etc. doivent être stockés dans un coffre-fort et modifiés après chaque utilisation.

Brad Ackerman
la source
bien sûr .. le compte doit décrire l'individu plutôt qu'un rôle, etc. (par exemple, «économe», «assistant-principal»). entièrement d'accord!
cottsak
1

Il peut également y avoir des obligations légales en matière de protection des données, d'utilisation des informations personnelles, etc. Certes, en tant qu'administrateur, il n'y a rien de technique pour m'empêcher de changer le mot de passe d'un utilisateur et d'accéder à son compte, mais j'obtiendrais toujours une autorisation écrite du responsable des ressources humaines (le propre gestionnaire de la personne n'est pas assez bon) avant de faire cela.

Le plus important pour moi, c'est la confiance. Si vous avez le pouvoir suprême, vous êtes dans une position où tout le monde, du plus petit grognement au PDG, doit vous faire confiance pour ne pas en abuser. Quelle que soit la réalité qui se cache derrière, tout ce qui contribue à renforcer cette confiance vous facilitera beaucoup les choses. Donc, faire bien savoir que "nous ne connaissons pas vos mots de passe et nous ne pouvons pas accéder à votre compte sans changer vos mots de passe (auquel cas vous le saurez)" est une bonne chose.

Maximus Minimus
la source
Bons points sur les obligations légales. Dans le monde Unix (et linux), l'administrateur peut accéder à votre compte en agissant comme vous sans changer votre mot de passe. sudo -u someuser
Christopher Mahan
0

Pourquoi réinitialisez-vous le mot de passe de quelqu'un lorsque quelqu'un est absent et qu'une autre personne veut / a besoin du travail? de nos jours, presque chaque personne stocke des données non liées au travail dans ses comptes. Vous devez déplacer uniquement les données requises de leur espace et les placer dans l'espace qui appartient à l'utilisateur qui en a besoin.

p858snake
la source