Was sind die Argumente für und gegen eine Netzwerkrichtlinie, bei der der Sys-Administrator die Benutzerpasswörter kennt? [geschlossen]

13

Ich würde gerne Vor- und Nachteile kennen. Gründe für und gegen die Idee, dass Sys-Administratoren Benutzerkontenlisten mit Passwörtern führen und diesen Benutzern außerdem nicht erlauben, ihre Passwörter zu ändern.

Ich verstehe, dass Systeme wie Windows die Idee zu fördern scheinen, dass Benutzer ihre eigene Passwortsicherheit beibehalten und ihr Passwort nach Belieben ändern dürfen. Ich kann das Bedürfnis nach Privatsphäre und Benutzern, die über Alibis verfügen, erkennen, um sich selbst zu schützen, falls ein Wort eines Kollegen nicht mit den Systemprotokollen übereinstimmt. Gleichzeitig kann ich aber auch nachvollziehen, wie manche Leute es rechtfertigen könnten, Benutzerpasswörter in der Datei zu haben, falls Zugriff auf einige der Materialien erforderlich ist, die Benutzer möglicherweise für sich behalten möchten.

Ich würde wirklich gerne über diese Idee aufgeklärt werden.

cottsak
quelle
Fürs Protokoll: Ich möchte die folgenden Seiten zitieren und sagen, dass "alles in mir auch NEIN sagt". Ich stimme praktisch allen hier angesprochenen Punkten zu und freue mich aufrichtig über die Kommentare. Das ist genau die Verstärkung, nach der ich gesucht habe.
Cottsak

Antworten:

30

Ein Sysadmin sollte auf alle Dateien eines Benutzers zugreifen können, es sei denn, diese sind verschlüsselt. In diesem Fall hilft das Windows-Kennwort des Benutzers nicht. Wenn das System die Kennwörter kennt, können Sie nie wissen, ob ein Benutzer oder ein Systemadministrator etwas getan hat, was zu einer Reihe von Problemen führen kann, falls Sie jemals in Streitigkeiten geraten. Die Passwörter müssten irgendwo gespeichert werden, was bedeutet, dass sie möglicherweise verloren gehen. Schließlich fällt es Benutzern schwerer, sich ein Passwort zu merken, das sie nicht erstellt haben.

Die Profis sind, dass es nicht notwendig ist, Passwörter zurückzusetzen, aber Sie müssen die Benutzer daran erinnern. Es erleichtert auch die Anmeldung bei Benutzerkonten, aber außerhalb des Testens oder Diagnostizierens eines Problems ist dies nicht erforderlich, und Sie können die Kennwörter dann von Fall zu Fall abrufen.

Es gibt wirklich keinen Grund, dies zu tun, es verursacht eine Menge Probleme, ohne wirklichen Gewinn.

Dentrasi
quelle
+1 so ziemlich die gleiche Antwort wie meine.
David Pashley
12
Es ist eine sehr schlechte Praxis, Benutzer nach ihrem Passwort zu fragen. Wenn ein Systemadministrator aus irgendeinem Grund Zugriff auf sein Konto benötigt, sollte er das Benutzerkennwort zurücksetzen. Sie sollten Ihre Benutzer NIEMALS darin schulen, ihr Passwort preiszugeben, und dies fördern, indem Sie NIEMALS nach ihrem Passwort fragen. -1 bis "und Sie können die Passwörter dann von Fall zu Fall abrufen." ist entfernt.
pipTheGeek
8
Die Sicherheitsbedingung ist Unbestrittenheit. Nicht-Ablehnung ist, wenn eine Person nicht leugnen kann, dass sie etwas getan hat. Wenn der Systemadministrator das Kennwort hat, verlieren Sie die Richtigkeit. Das ist eine schreckliche Situation, denn es beseitigt viele rechtliche Probleme, falls ein Benutzer Schaden anrichtet. ("Aber ich habe es nicht getan. Und ich bin nicht der einzige mit meinem Passwort!")
K. Brian Kelley
@K. Brian Kelley: Das ist fantastisch. Du konntest sehen, dass ich Mühe hatte, ein solches Wort zu finden. cheerz
cottsak
In den meisten Systemen kann der Systemadministrator nur in das Konto, das Kennwort oder nicht einbrechen. In einem Unix ist es nur "su - user". Ich bin sicher, dass es ein Windows-Äquivalent gibt.
Bill Weiss
24

Es gibt keine Rechtfertigung. Ein Systemadministrator kann das Kennwort bei Bedarf ändern, sollte es jedoch nicht kennen oder speichern.

Es gibt nur Nachteile.

Was ist mit meinen privaten Daten, von denen ich erwarte, dass sie von der Personalabteilung geheim gehalten werden?

Finden Sie heraus, wo ich wohne, weil ich den Parkplatz in Anspruch genommen habe. Veröffentlichen Sie mein Gehalt im Internet.

Es würde mich wundern, wenn ein Unternehmen eine solche Richtlinie aufschreibt.

gbn
quelle
1
Ich stimme vollkommen zu, und Sie machen einen ausgezeichneten Punkt, der den HR-Aspekt davon veranschaulicht.
Greg Meehan
Ein Sysadmin hätte wahrscheinlich Zugriff auf das meiste davon, und wenn nicht, wäre es für ihn trivial, es durch die Verwendung von Keyloggern, Software oder Hardware zu erlangen.
Dentrasi
11
Wenn Sie Ihrem Systemadministrator nicht vertrauen können, haben Sie größere Probleme.
David Pashley
@ David, das ist sehr wahr. Als Systemadministrator sollten wir uns der Wichtigkeit der Vertraulichkeit bewusst sein, um diese Vertraulichkeit zu erlangen.
Kentchen
6
Das religiöse Vermeiden, Benutzerpasswörter zu kennen oder zu sehen, ist eine Möglichkeit, wie Sysadmins das Vertrauen fördern.
Mnebuerquo
19

Verwechseln Sie nicht Authentifizierung und Autorisierung.

Ein Passwort bestätigt dem System, wer Sie sind (Authentifizierung)

Gruppenmitgliedschaft und Dateisystemberechtigungen bestimmen normalerweise, was Sie tun können (Autorisierung).

Um einem vertrauenswürdigen Administrator Zugriff auf Dateien zu gewähren, deren Eigentümer eine andere Person ist, erhöhen Sie deren Berechtigungsstufe. Sie dürfen nicht zulassen, dass sie sich anmelden, als ob sie die andere Person wären.

James F
quelle
Fantastisch! Identität ist hier am wichtigsten!
Cottsak
7

Administratoren können das Kennwort eines Benutzers jederzeit ändern. Sie haben keinen Grund, das Passwort des Benutzers zu kennen. Wenn ein Problem vorliegt oder der Benutzer nicht anwesend ist und eine andere Person Zugriff auf Dateien benötigt, kann ein Manager die Änderung des Kennworts für den jeweiligen Tag verlangen und den Benutzer bei der nächsten Anmeldung zurücksetzen.

Administratoren, die versuchen, Benutzerpasswörter zu knacken, haben einen Vorteil, um die Verwendung schwacher Passwörter zu verhindern.

David Pashley
quelle
Wenn Sie Dateien benötigen, kann der Administrator immer SEINE EIGENEN erweiterten Berechtigungen verwenden, um diese Dateien zu lesen, ohne sich als Eigentümer der Dateien anzumelden. Er kann diese Dateien dann kopieren / verschieben, wenn sie von einer anderen Person benötigt werden, oder ihre Berechtigungen ändern, um den erforderlichen Zugriff zu ermöglichen. Das Knacken von schwachen Passwörtern würde zu dem Zeitpunkt erfolgen, zu dem der Benutzer versucht, sein Passwort festzulegen, und würde das neue Passwort einfach ablehnen. Das sollte Teil des Login-Systems sein.
Mnebuerquo
4

Wie andere hier bereits angemerkt haben: Kein guter Grund für die IT, das Benutzerpasswort zu kennen, stattdessen kann der Zugriff auf das Benutzerpasswort in einigen Formen zu einer negativen Situation führen.

Zusätzlich zu dem bereits Gesagten ist , wenn Sie ein Kennwort benötigen, das lokale Administratorkennwort für den Computer (oder Root) und das Hauptverschlüsselungskennwort für das System. Alles, was mit Benutzerprofilen zu tun hat, sollte als gesperrt betrachtet werden, es sei denn, es gibt eine administrative Anforderung zum Abfragen dieser Dateien (es gibt Tools dafür).

l0c0b0x
quelle
4

Denken Sie daran, dass Sie eine sehr wichtige Liste haben, wenn Sie die Kombination aus Benutzername und Passwort notieren möchten. Diese Liste zu verlieren oder, noch schlimmer, jemanden zu haben, der diese Liste kopiert, ohne dass Sie wissen, dass eine Kopie erstellt wurde, wäre ein großes Problem. Und Sie wollen wirklich wirklich nicht, dass in einer Datei irgendwo eine Festplatte ist, was die übliche Lösung wäre.

Dies ist einer der vielen Gründe, warum man Passwörter nicht im Klartext aufschreibt.

Bruce ONeel
quelle
3

Verantwortlichkeit ist das Problem.

Wenn Benutzer jemals nach Aktivitäten gefragt werden, die von ihrem Login aus ausgeführt werden, erhalten sie eine automatische Deaktivierung, wenn es sich um eine Standardarbeitsanweisung handelt, die ein anderer Benutzer in sein Konto aufnehmen kann, ohne zuvor das Passwort zu ändern.

Gehen Sie nicht das Risiko ein, die Verantwortlichkeit Ihrer Sysadmins und / oder Ihrer Benutzer zu verlieren.

Ich sehe keine Profis.

Shawn Anderson
quelle
3

Ich werde ein bisschen tangieren.

Der Punkt ist, dass es keine Rolle spielt, wenn der Administrator zu 100% ethisch einwandfrei ist, wenn er Benutzerkennwörter kennt, ebenso wenig, wenn der Administrator nicht zu 100% ethisch einwandfrei ist, wenn er das Kennwort nicht kennt. Er hat root, er kann das Passwort bekommen, ohne dass es jemand anderes weiß. (Er ist root, denk dran, der Herrscher der Maschine. Es gibt nichts, was er auf dieser Maschine nicht tun kann, einschließlich Säubern der Protokolle, Blockieren der Ports, Ausführen des von ihm gewünschten Tools usw.)

Es gibt niemanden, der in den Augen der Personalabteilung zu 100% ethisch ist. Daher müssen Sie davon ausgehen, dass der Administrator immer Zugriff auf die Benutzerkennwörter hat.

Wenn Sie der Meinung sind, dass der Administrator dies nicht kann, weil ihm die Fähigkeiten fehlen, ersetzen Sie ihn bitte durch jemanden, der dies tut.

Eine Richtlinie, nach der der Administrator keinen Zugriff auf die Benutzerkennwörter haben sollte, ist eine Verschwendung von gedruckten Richtlinien und Verfahren, da sie möglicherweise nicht durchgesetzt werden kann. Bestenfalls bietet es ein falsches Sicherheitsgefühl, und das ist die schlechteste Art von Sicherheit.

Christopher Mahan
quelle
1
gute antwort: "..false gefühl der sicherheit .."
cottsak
1
Wenn Passwörter mit nicht umkehrbarer Verschlüsselung gespeichert werden, kann der Administrator sie nicht knacken. Nicht, dass es wichtig wäre, da es andere, weitaus einfachere Wege gibt, Benutzerinformationen zu erhalten, ohne dass sie es wissen.
SpaceManSpiff
+1 für die Erwähnung von Ethik ... guter Punkt
cop1152
1
Der Administrator hat nicht mehr "Zugriff auf seine Passwörter" als jeder andere Benutzer im Netzwerk. Es gibt eine große Lücke zwischen "Zugang" und "Knacken"
Kara Marfia
1
Es gibt keine Ablehnung für den Administrator eines Unix-Systems. Wenn der Benutzer angibt, dies nicht getan zu haben, ist es für den Administrator immer möglich, dies getan zu haben. Normalerweise ist es das Wort des Benutzers im Vergleich zum Wort des Administrators und der Administrator ist normalerweise über dem Benutzer vertrauenswürdig. Wenn der betreffende Benutzer jedoch der Exekutivdirektor für Europa und den Nahen Osten ist, wird der Administrator, egal was er sagt, in Schwierigkeiten geraten. Es ist keine Ablehnung durch den Administrator möglich.
Christopher Mahan
3

Alles in mir sagt "Nein!"

Wenn Sie glauben, dass Sie es benötigen, verstehen Sie die Tools und Berechtigungen, die Ihnen als Systemadministrator zur Verfügung stehen, wahrscheinlich nicht, wie in den anderen Antworten ausgeführt.

Ich möchte Sie auch auf den SAGE Code of Ethics hinweisen .

Edit: War das eine Manageridee? In jedem Fall ist eine gewisse Ausbildung angebracht: für Sie selbst, damit Sie wissen, was technisch, rechtlich und ethisch möglich und was nicht. für das Management, damit Sie und sie eine Richtlinie entwickeln können, die die geschäftlichen Anforderungen erfüllt; und für Benutzer, damit sie wissen, was sie erwarten können.

pgs
quelle
Dieser Link ist fantastisch. Ich werde ihn auf jeden Fall nutzen. Danke Haufen
Cottsak
Das war eine Manager-Idee. Ich war so dagegen. wie so grundsätzlich. aber ich hatte ein gedanken und dachte, es wäre gut, viel mehr gute gründe zu haben. und hier gibt es haufenweise - es ist großartig.
Cottsak
Dilbert Futter ... eingereicht. ;-)
pgs
2

Um die Systeme zu warten, müssen Administratoren die Möglichkeit haben, auf Dateien zuzugreifen, sie zu ändern usw. Ein Administrator muss also auf eine beliebige Datei zugreifen können, muss jedoch nicht über die Benutzer verfügen. Passwörter.

Für mich selbst sehe ich nur die Nachteile von Personenpasswörtern - der Verlust der Rechenschaftspflicht ist die Hauptursache. Wenn ich kein Passwort habe, kann ich nicht routinemäßig auf ihre Dateien oder E-Mails zugreifen, ich kann nicht so tun, als ob ich sie wären und etwas in ihrem Namen tun. Unser Firmenpräsident wollte, dass wir sein Passwort haben, damit wir problemlos an seinem System arbeiten können, aber nach vielen Versuchen überzeugte ich ihn, es zu ändern und uns NICHT zu sagen, was es war.

Ich kann mir keine Situation vorstellen, in der ein Administrator mehr als die Möglichkeit benötigt, ein Kennwort zu ändern, damit er im Notfall auf Dateien zugreifen kann. Das und vorübergehend die Passwörter der Leute zu kennen, war immer genug. In Fällen, in denen wir als Person an einem PC arbeiten mussten, bekamen wir entweder ihr Passwort und änderten es anschließend oder wir änderten es und veranlassten sie, es zurück zu ändern.

Ward - Wiedereinsetzung von Monica
quelle
2

Server fokussierte Antwort.

Bei einem früheren Arbeitgeber hatten die Verwaltungsmitarbeiter keine Kennwörter festgelegt. Wir haben nur die SSH-Authentifizierung verwendet. Nachdem ich dort gearbeitet hatte, vertraute ich stark auf Zwei-Faktor-Authentifizierungsschemata wie ein passphrasengeschütztes Client-Zertifikat oder einen Schlüssel (wie einen SSH-Schlüssel oder ein SSL-Client-Zertifikat).

jtimberman
quelle
2

Der Nachteil, den Administrator über alle Kennwörter zu informieren, besteht darin, dass er / sie möglicherweise die Organisation verlässt und alle diese Daten mitnimmt. Dies kann jedoch auch bei Daten geschehen, die sich in Netzwerkfreigaben befinden.

Was auch immer Sie tun, speichern Sie die Passwörter der Benutzer nicht im Klartext. Wie in "Rufen Sie uns an, wenn Sie Ihr Passwort vergessen haben". Das ist ein No-Go. Dem Benutzer wird ein neues Passwort zugewiesen, wenn er sich persönlich am Helpdesk anmeldet, und er muss sein Passwort vor dem ersten Login ändern.

Für Informationen, die wirklich vertraulich sind, schlage ich vor, dass die Benutzer zusätzliche Maßnahmen wie PGP oder Truecrypt ergreifen, aber dann ausdrücklich darauf hingewiesen werden sollten, dass ihre Daten von ihren vertrauenswürdigen Systemadministratoren nicht wiederhergestellt werden können.

Sollte sich das Management Sorgen machen, dass die Administratoren in jedes Dokument schauen können, sollten sie sich selbst an den Systemadministrator wenden. Ein Systemadministrator soll nahezu volles Vertrauen haben.

Signum
quelle
+1 Guter Punkt. Das Ändern des Root-Passworts und das Deaktivieren des Administrator-Logins ist eine Sache, das Ändern des
Passworts
2

Ich habe das hier nicht erwähnt, aber ich habe nur die Antworten überflogen. Viele Benutzer verwenden für ALLES die gleichen Passwörter. Wenn Sie ihr Netzwerkkennwort haben, haben Sie wahrscheinlich das Kennwort für ihre persönliche E-Mail, Photobucket, Facebook, was auch immer.

Ich halte das für eine schlechte Idee. Ein betrügerischer Sysadmin könnte viel Ärger verursachen.

cop1152
quelle
Dies ist, denke ich, der Punkt, an dem die Richtlinien zur Kennwortkomplexität Eingang finden. (Das und regelmäßig L0phtcrack ausführen.)
Brad Ackerman
1

Ich neige dazu, gegen die Richtlinie, wo Sysadmin das Passwort kennen sollte. Dies sollte von Fall zu Fall erfolgen. Wann immer wir als IT-Mitarbeiter das Passwort der Benutzer für die Arbeit benötigen, sollten wir sie nachfragen und den Benutzer auffordern, diese zu ändern, sobald wir unsere Arbeit beendet haben. Und die IT sollte keine Passwörter in irgendeinem Format speichern.

Allerdings muss ich auch zugeben, dass es sehr praktisch ist, irgendwann ein Passwortblatt zu haben.

kentchen
quelle
1

Arbeitscomputer bieten Schutz vor Personen, die nicht berechtigt sind, auf die auf ihnen gespeicherten Informationen des Eigentümers zuzugreifen. Die Mitarbeiter haben keine Privatsphäre, wenn sie die Ausrüstung eines Arbeitgebers verwenden. Aus diesem Grund wird in Ihrem Anmeldebanner angegeben, dass alle Aktivitäten jederzeit mit oder ohne Grund überwacht werden können.

(Wenn Sie nicht über ein solches Anmeldebanner verfügen, wenden Sie sich so schnell wie möglich an Ihren Unternehmensberater, da dies eine wirklich gute Idee ist.)

Das ist jedoch eine andere Frage. Ich glaube nicht, dass ich etwas sagen kann, was in einer anderen Antwort nicht gesagt wurde, obwohl ich der Meinung bin, dass es sich bei einem Passwort um eine individuelle Kennung handelt und daher jedes Passwort genau einer Person bekannt sein sollte. Passwörter für generische Administratorkonten usw. sollten in einem Safe gespeichert und nach jeder Verwendung geändert werden.

Brad Ackerman
quelle
sicher .. der Account sollte eher die Person als eine Rolle usw. beschreiben (zB 'Stipendiat', 'Assistent-Schulleiter'). stimme voll und ganz zu!
Cottsak
1

Auch in Bezug auf den Datenschutz, die Verwendung personenbezogener Daten usw. können rechtliche Verpflichtungen bestehen. Es ist richtig, dass es für mich als Administrator nichts Technisches gibt, das mich davon abhält, das Kennwort eines Benutzers zu ändern und auf sein Konto zuzugreifen. Ich würde jedoch immer eine schriftliche Genehmigung vom Personalleiter erhalten (der eigene Manager der Person ist nicht gut genug), bevor ich dies tue.

Das große für mich ist Vertrauen. Wenn Sie die höchste Macht haben, sind Sie in einer Position, in der jeder, vom geringsten Knurren bis zum CEO, darauf vertrauen muss, dass Sie sie nicht missbrauchen. Unabhängig von der Realität, die dahinter steckt, wird alles, was zur Stärkung dieses Vertrauens beiträgt, die Dinge für Sie viel einfacher machen. Es ist also eine gute Sache, bekannt zu machen, dass wir Ihre Passwörter nicht kennen und nicht auf Ihr Konto zugreifen können, ohne Ihre Passwörter zu ändern (in diesem Fall wissen Sie Bescheid).

Maximus Minimus
quelle
Gute Punkte zu rechtlichen Verpflichtungen. In der Unix-Welt (und unter Linux) kann der Administrator auf Ihr Konto zugreifen, indem er sich wie Sie verhält, ohne Ihr Kennwort zu ändern. sudo -u someuser
Christopher Mahan
0

Warum setzen Sie jemandes Passwort zurück, wenn jemand abwesend ist und eine andere Person die Arbeit will / braucht? Heutzutage speichert fast jede Person nicht arbeitsbezogene Daten in ihren Konten. Sie sollten nur die erforderlichen Daten aus ihrem Bereich verschieben und in dem Bereich platzieren, der dem Benutzer gehört, der sie benötigt.

p858snake
quelle