Si un utilisateur souhaite modifier son mot de passe, il doit laisser le service informatique en générer un au hasard ou lui indiquer le nouveau mot de passe par téléphone. Quoi qu'il en soit, le service informatique a apparemment besoin de savoir quel est le mot de passe (l'emplacement de stockage de ces informations est inconnu).
Le service informatique affirme que c'est la politique de l'entreprise, mais je ne vois pas l'intérêt. Ce n'est pas comme si les utilisateurs pouvaient faire n'importe quoi pour verrouiller l'entreprise.
En fait, j’ai l’impression que cela rend les choses moins sécurisées, car le processus peu pratique rend moins probable un service informatique occupé à appeler périodiquement les utilisateurs pour qu’ils modifient leur mot de passe.
Réponses:
Je ne connais qu'une seule des raisons, qui provient d'une histoire horrible dans laquelle un auditeur a demandé au service informatique de présenter tous les mots de passe des utilisateurs.
Autre que quelqu'un qui suit aveuglément ce scénario d'horreur (au lieu de déclarer le vérificateur horrible comme incompétent), il n'y a aucune raison pour que cela soit une bonne idée.
Juste pour rendre cela un peu plus explicite:
Bien, maintenant que c'est hors de propos, votre titre était: "Quelle raison une entreprise peut-elle avoir pour empêcher les utilisateurs de changer leurs mots de passe". Je ne peux penser à aucune raison valable pour cela non plus. En fait, quelqu'un doit générer un mot de passe initial. Si vous ne pouvez pas changer le mot de passe sans le dire, vous devrez vous rendre au bureau informatique, demandez-leur de détourner le regard ou de quitter la salle et entrez votre mot de passe initial. Vous devrez également répéter cette opération chaque année (ou plus souvent si vous vous attendez à ce que quelqu'un ait vu le mot de passe saisi).
Dans l'ensemble, c'est complètement fou.
la source
Il peut y avoir des raisons partielles pour cette politique étrange. Parfois, le réseau de systèmes a besoin que le changement de mot de passe provienne d'un serveur et soit transmis au reste. Cela peut se produire s'il existe une combinaison de serveurs, tels que Microsoft et Linux, dotés de leur propre journal de sécurité / audit. Cela a beaucoup de problèmes à long terme, mais oui, vous pouvez avoir des changements doivent se produire dans l'informatique. Il a fallu à l’équipe en charge du serveur de mots de passe centralisé pour que tout se passe bien pendant un an. Je ne sais pas pourquoi cela leur a pris si longtemps.
J'ai vu des choses vraiment étranges de l'autre côté de l'informatique. Cela peut être légal, résultant de contrats clients ou de toute autre limitation pouvant obliger le service informatique à disposer de cette configuration. Parfois, le service informatique se fait dire que vous ne pouvez pas dire la raison pour laquelle cette mauvaise configuration est utilisée. La plupart des règles de ressources humaines comportent un composant ne comportant pas de mot de passe.
La dernière fois que j'ai vu, c'est quand un exécutif veut connaître le mot de passe de chacun ou avoir un programme de surveillance qui a besoin du mot de passe de tout le monde. J'ai expliqué que cela n'allait pas arriver. J'ai été secondé par un supérieur, sinon ...
la source