Quelle raison une entreprise peut-elle avoir pour empêcher les utilisateurs de modifier leurs mots de passe

0

Si un utilisateur souhaite modifier son mot de passe, il doit laisser le service informatique en générer un au hasard ou lui indiquer le nouveau mot de passe par téléphone. Quoi qu'il en soit, le service informatique a apparemment besoin de savoir quel est le mot de passe (l'emplacement de stockage de ces informations est inconnu).

Le service informatique affirme que c'est la politique de l'entreprise, mais je ne vois pas l'intérêt. Ce n'est pas comme si les utilisateurs pouvaient faire n'importe quoi pour verrouiller l'entreprise.

En fait, j’ai l’impression que cela rend les choses moins sécurisées, car le processus peu pratique rend moins probable un service informatique occupé à appeler périodiquement les utilisateurs pour qu’ils modifient leur mot de passe.

windows security-policy Cvnk
la source
c'est une politique étrange. Je dois supposer qu'ils créent plusieurs comptes sur plusieurs systèmes qui ne se parlent pas (comme un vieux ordinateur central ou quoi que ce soit où personne d'autre qu'un administrateur trop privilégié ne peut changer de mot de passe).
Frank Thomas
Auparavant, je travaillais pour une entreprise qui non seulement empêchait les utilisateurs de changer les mots de passe de messagerie même (seulement 6 caractères et très facile à deviner). J'ai finalement réussi à les convaincre de me laisser réinitialiser les mots de passe de tous les utilisateurs lorsqu'un compte avait été compromis et utilisé pour envoyer des flux de spam. Heureusement, le polluposteur n'a jamais compris à quel point une veine d'or se trouvait juste en dessous de la pépite d'un compte.
Cvnk
1
"Quelle raison une société peut-elle avoir pour empêcher les utilisateurs de modifier leurs mots de passe" - Pourquoi votre société a-t-elle besoin du service informatique pour le changer? Pourquoi ne leur demandez-vous pas? Demandez à voir la politique, la raison, probable est expliquée.
Ramhound

Réponses:

0

Je ne connais qu'une seule des raisons, qui provient d'une histoire horrible dans laquelle un auditeur a demandé au service informatique de présenter tous les mots de passe des utilisateurs.

Autre que quelqu'un qui suit aveuglément ce scénario d'horreur (au lieu de déclarer le vérificateur horrible comme incompétent), il n'y a aucune raison pour que cela soit une bonne idée.


Juste pour rendre cela un peu plus explicite:

  • Il n'y a aucune raison de communiquer votre mot de passe à qui que ce soit. Cela inclut les informaticiens. Ils peuvent vous demander de vous connecter (et vous entrez le mot de passe alors qu'ils ne regardent pas votre clavier) pour aider à résoudre les problèmes, mais ils ne doivent jamais demander un mot de passe.
  • L’accès aux ressources partagées (par exemple un collègue qui quitte son travail) doit être fait avec précaution. La solution n'est pas d'obtenir le mot de passe d'un autre utilisateur, mais les droits d'accès aux données nécessaires. (encore une fois, JAMAIS partager un mot de passe).
  • Ne communiquez jamais un mot de passe à quiconque au téléphone. ... Je suppose que je pourrais continuer, mais il n'y a pas de raison unique pour que quiconque ait jamais votre mot de passe au travail. Aucun. Nada. Zip *: français. Rien. Rien.


Bien, maintenant que c'est hors de propos, votre titre était: "Quelle raison une entreprise peut-elle avoir pour empêcher les utilisateurs de changer leurs mots de passe". Je ne peux penser à aucune raison valable pour cela non plus. En fait, quelqu'un doit générer un mot de passe initial. Si vous ne pouvez pas changer le mot de passe sans le dire, vous devrez vous rendre au bureau informatique, demandez-leur de détourner le regard ou de quitter la salle et entrez votre mot de passe initial. Vous devrez également répéter cette opération chaque année (ou plus souvent si vous vous attendez à ce que quelqu'un ait vu le mot de passe saisi).

Dans l'ensemble, c'est complètement fou.

Hennes
la source
0

Il peut y avoir des raisons partielles pour cette politique étrange. Parfois, le réseau de systèmes a besoin que le changement de mot de passe provienne d'un serveur et soit transmis au reste. Cela peut se produire s'il existe une combinaison de serveurs, tels que Microsoft et Linux, dotés de leur propre journal de sécurité / audit. Cela a beaucoup de problèmes à long terme, mais oui, vous pouvez avoir des changements doivent se produire dans l'informatique. Il a fallu à l’équipe en charge du serveur de mots de passe centralisé pour que tout se passe bien pendant un an. Je ne sais pas pourquoi cela leur a pris si longtemps.

J'ai vu des choses vraiment étranges de l'autre côté de l'informatique. Cela peut être légal, résultant de contrats clients ou de toute autre limitation pouvant obliger le service informatique à disposer de cette configuration. Parfois, le service informatique se fait dire que vous ne pouvez pas dire la raison pour laquelle cette mauvaise configuration est utilisée. La plupart des règles de ressources humaines comportent un composant ne comportant pas de mot de passe.

La dernière fois que j'ai vu, c'est quand un exécutif veut connaître le mot de passe de chacun ou avoir un programme de surveillance qui a besoin du mot de passe de tout le monde. J'ai expliqué que cela n'allait pas arriver. J'ai été secondé par un supérieur, sinon ...

bvaughn
la source