¿Cuáles son los argumentos a favor y en contra de una política de red donde el administrador del sistema conoce las contraseñas de los usuarios? [cerrado]

13

Me gustaría conocer los pros y los contras ... razones a favor y en contra de la idea de que el administrador del sistema mantenga listas de cuentas de usuario con contraseñas ... y, además, no permita que esos usuarios cambien sus contraseñas.

Entiendo que los sistemas como Windows parecen alentar la idea de que los usuarios deben mantener su propia seguridad de contraseña y se les permite cambiar su contraseña a voluntad. Puedo apreciar la necesidad de privacidad y que los usuarios tengan coartadas para protegerse en caso de que una palabra de un compañero no esté de acuerdo con los registros del sistema. Pero al mismo tiempo, también puedo ver cómo algunas personas podrían justificar tener las contraseñas de los usuarios en el archivo en caso de que se requiera acceso a algunos de los materiales que los usuarios pueden querer mantener en privado.

Realmente me encantaría ser educado en esta idea.

security password privacy permissions Cottsak
fuente
para el registro: me gustaría citar pgs a continuación y decir que "todo dentro de mí también dice NO". Estoy prácticamente de acuerdo con todos los puntos planteados aquí y agradezco sinceramente los comentarios. este es exactamente el refuerzo que buscaba.
cottsak

Respuestas:

30

Un administrador de sistemas debería poder acceder a cualquier archivo que tenga un usuario, a menos que esté encriptado, en cuyo caso la contraseña de Windows del usuario no ayudará. Tener el sistema conociendo las contraseñas significa que nunca se puede saber si un usuario hizo algo, o un administrador de sistemas lo hizo, lo que podría causar muchos problemas si alguna vez entra en una disputa. Las contraseñas tendrían que almacenarse en algún lugar, lo que significa que existe la posibilidad de que se pierdan. Finalmente, a los usuarios les resultará más difícil recordar una contraseña que no crearon.

Las ventajas son que no es necesario restablecer las contraseñas, pero deberá recordarlas a los usuarios. También facilita el inicio de sesión en las cuentas de los usuarios, pero fuera de las pruebas o el diagnóstico de un problema, esto no es necesario, y puede obtener las contraseñas caso por caso.

Realmente no hay ninguna razón para hacer esto, crea muchos problemas, sin beneficio real.

Dentrasi
fuente
+1 casi la misma respuesta que la mía.
David Pashley
12
Es una muy mala práctica pedirles a los usuarios su contraseña. Si un administrador de sistemas requiere acceso a su cuenta por algún motivo, debe restablecer la contraseña del usuario. Debería entrenar a sus usuarios NUNCA para dar su contraseña y alentar esto NUNCA pidiendo su contraseña. -1 hasta "y puede obtener las contraseñas caso por caso". es removido.
pipTheGeek
8
El término de seguridad es no repudio. El no repudio es cuando una persona no puede negar que hizo algo. Cuando el administrador del sistema tiene la contraseña, pierde la no repudio. Es una situación terrible porque elimina muchas de las vías legales en caso de que un usuario cause daños. ("Pero no lo hice. ¡Y no soy el único con mi contraseña!")
K. Brian Kelley
@K. Brian Kelley: eso es fantástico ... se podía ver que estaba luchando por encontrar una palabra como esa. cheerz
cottsak
En la mayoría de los sistemas, el administrador del sistema solo puede entrar en la cuenta, contraseña o no. En un Unix, es solo "su - user". Estoy seguro de que hay un equivalente de Windows.
Bill Weiss
24

No hay justificación Un administrador de sistemas puede cambiar la contraseña si es necesario, pero no debe conocerla ni almacenarla.

Hay sólo contras.

¿Qué pasa con mi información privada que espero que RRHH mantenga en privado?

Averiguando dónde vivo porque tomé su espacio de estacionamiento ... publicando mi salario en Internet ... pasando información a un ex ... envié pornografía por correo electrónico a la gerencia con mi nombre adjunto ...

Me sorprendería si una empresa tiene tal política por escrito.

gbn
fuente
1
Estoy completamente de acuerdo, y usted hace un excelente punto ilustrando el aspecto de recursos humanos de la misma.
Greg Meehan
Un administrador de sistemas probablemente tendría acceso a la mayor parte de esto, y si no, sería trivial para ellos obtenerlo mediante el uso de keyloggers, software o hardware.
Dentrasi
11
Si no puede confiar en su administrador de sistemas, tiene problemas mayores.
David Pashley
@David, eso es muy cierto. Como administrador de sistemas, debemos ser muy conscientes de la importancia de la confidencialidad para ganar esa confianza.
kentchen
66
Evitar religiosamente saber o ver las contraseñas de los usuarios es una forma en que los administradores de sistemas fomentan la confianza.
Mnebuerquo
19

No mezcle autenticación y autorización.

Una contraseña demuestra al sistema quién es usted (autenticación)

La pertenencia a grupos y los permisos del sistema de archivos suelen indicar lo que puede hacer (autorización).

Para dar a un administrador de confianza acceso a los archivos que son propiedad de otra persona, aumenta su nivel de autorización. No les permite iniciar sesión como si fueran la otra persona.

James F
fuente
¡fantástico! ¡La identidad es lo más importante aquí!
cottsak
7

Los administradores siempre pueden cambiar la contraseña de un usuario. No tienen ningún motivo para conocer la contraseña del usuario. Si hay un problema o el usuario está ausente y alguien más necesita acceso a los archivos, entonces un gerente puede solicitar que se cambie la contraseña para el día y el usuario puede volver a configurarla la próxima vez que ingrese.

Hay un beneficio en los administradores que intentan descifrar las contraseñas de los usuarios para evitar el uso de contraseñas débiles.

David Pashley
fuente
Si necesita archivos, entonces el administrador siempre puede usar SUS PROPIOS privilegios elevados para leer esos archivos sin iniciar sesión como el propietario de los archivos. Luego puede copiar / mover esos archivos si alguien más los necesita, o cambiar sus permisos para permitir el acceso necesario. El descifrado de contraseñas débiles se realizaría en el momento en que el usuario intenta establecer su contraseña, y simplemente rechazaría la nueva contraseña. Eso debería ser parte del sistema de inicio de sesión.
Mnebuerquo
4

Como otros ya han señalado aquí: no hay una buena razón para que TI conozca la contraseña del usuario, en cambio, el acceso a la contraseña del usuario podría servir una situación negativa en algunas formas.

Además de lo que ya se ha dicho , si necesita saber una contraseña, es la contraseña del administrador local para la máquina (o raíz) y la contraseña de cifrado maestra para el sistema. Cualquier cosa que tenga que ver con los perfiles de usuario debe considerarse fuera de los límites, a menos que haya una solicitud administrativa para consultar estos archivos (hay herramientas para eso)

l0c0b0x
fuente
4

Tenga en cuenta que si opta por escribir combinaciones de nombre de usuario / contraseña, tiene una lista muy importante. Perder esa lista, o peor aún, que alguien copie esa lista sin que usted sepa que se hizo una copia, sería un gran problema. Y realmente no quieres que en un archivo se encuentre algún disco en alguna parte, que sería la solución común.

Esta es una de las muchas razones por las cuales uno no escribe contraseñas en texto claro.

Bruce ONeel
fuente
3

La responsabilidad es el problema.

Si alguna vez se pregunta a los usuarios sobre la actividad realizada desde su inicio de sesión, tienen una salida automática si es un procedimiento operativo estándar que alguien más puede ingresar a su cuenta sin cambiar primero la contraseña.

No se arriesgue a perder la responsabilidad de sus administradores de sistemas y / o sus usuarios.

No veo pros.

Shawn Anderson
fuente
3

Voy a ir por la tangente un poco.

El punto es que si el administrador es 100% ético, no importa si conoce las contraseñas de los usuarios, del mismo modo si el administrador no es 100% ético, entonces no importa si no conoce la contraseña. Tiene root, puede obtener la contraseña sin que nadie más lo sepa. (Él es root, recuerda, el gobernante de la máquina. No hay nada que no pueda hacer en esa máquina, incluso limpiar los registros, bloquear puertos, ejecutar cualquier herramienta que quiera, etc.)

No hay nadie que sea 100% ético a los ojos de RR. HH., Por lo tanto, debe suponer que el administrador siempre tiene acceso a las contraseñas de los usuarios.

Si cree que el administrador no puede hacer eso porque carece de las habilidades, reemplácelo con alguien que sí lo haga.

Por lo tanto, tener una política de que el administrador no debería tener acceso a las contraseñas de los usuarios es un desperdicio de papel impreso de Políticas y Procedimientos, ya que posiblemente no se podría hacer cumplir. En el mejor de los casos, ofrece una falsa sensación de seguridad, y ese es el peor tipo de seguridad.

Christopher Mahan
fuente
1
buena respuesta: "... falsa sensación de seguridad ..."
cottsak
1
Si las contraseñas se almacenan utilizando un cifrado no reversible, el administrador no podrá descifrarlas. No es que importe, ya que hay otras formas de acceder a la información de los usuarios sin que sepan cuáles son mucho más fáciles.
SpaceManSpiff
+1 por mencionar ética ... buen punto
cop1152
1
El administrador no tiene "acceso a sus contraseñas" más que cualquier otro usuario en la red. Hay una gran brecha entre "acceso" frente a "grietas"
Kara Marfia
1
No hay repudio para el administrador de un sistema unix. Si el usuario dice que no lo hizo, siempre es posible que el administrador lo haya hecho. Normalmente es la palabra del usuario versus la palabra del administrador y el administrador normalmente es de confianza por encima del usuario. Sin embargo, cuando el usuario en cuestión es el Director Ejecutivo de Operaciones para Europa y Medio Oriente, el administrador, sin importar lo que diga, estará en problemas. No hay repudio posible por parte del administrador.
Christopher Mahan
3

Todo dentro de mí dice "¡No!"

Si cree que lo necesita, probablemente no entienda las herramientas y autorizaciones disponibles para usted como administrador de sistemas, como se señala en las otras respuestas.

Permítame señalarle también el Código de Ética SAGE .

Editar: ¿Fue idea de un gerente? De cualquier manera, se necesita algo de educación: para usted, para que sepa lo que puede y no puede hacerse, técnica, legal y éticamente; para la administración, para que usted y ellos puedan desarrollar una política que satisfaga las necesidades del negocio; y para los usuarios, para que sepan lo que pueden esperar.

pgs
fuente
ese enlace es fantástico ... seguro lo usaré. gracias montones
cottsak
Esta fue una idea de los gerentes ... estaba tan en contra de ella. como tan fundamentalmente. pero pensé y pensé que sería bueno tener muchas más buenas razones. y hay montones aquí, es genial.
cottsak
Pienso Dilbert ... presentado. ;-)
pgs
2

Para mantener los sistemas, los administradores necesitan la capacidad de hacer cualquier cosa: acceder a los archivos, cambiarlos, etc. Por lo tanto, debe haber una forma para que un administrador acceda a cualquier archivo, pero no tiene que ser así teniendo a los usuarios contraseñas

Para mí, solo veo aspectos negativos de tener contraseñas de personas: la pérdida de responsabilidad es la principal. Si no tengo la contraseña de nadie, no puedo acceder de manera rutinaria a sus archivos o correos electrónicos, no puedo pretender ser ellos y hacer algo en su nombre. El presidente de nuestra compañía solía querer que tuviéramos su contraseña para que pudiéramos trabajar fácilmente en su sistema, pero después de mucho intentarlo, lo convencí de cambiarla y NO decirnos cuál era.

No puedo pensar en una situación probable en la que un administrador necesite algo más que la capacidad de cambiar una contraseña para poder acceder a los archivos en una emergencia. Eso, y conocer temporalmente las contraseñas de las personas siempre fue suficiente. En los casos en que tuviéramos que hacer un trabajo en una PC como persona, obtendríamos su contraseña y luego la cambiaríamos o la cambiaríamos y conseguiría que la volvieran a cambiar.

Ward - Restablece a Monica
fuente
2

Respuesta centrada en el servidor.

En un empleador anterior, el personal administrativo no tenía contraseñas establecidas. Solo usamos autenticación SSH. Después de trabajar allí, me convertí en un gran creyente en los esquemas de autenticación de dos factores, como un certificado o clave de cliente protegido con frase de contraseña (como una clave SSH o un certificado de cliente SSL).

jtimberman
fuente
2

La desventaja de dejar que el administrador sepa todas las contraseñas es que él / ella podría estar abandonando la organización y llevando todos esos datos. Pero lo mismo puede suceder con los datos ubicados en recursos compartidos de red.

Haga lo que haga, no almacene las contraseñas de los usuarios en texto plano. Como en "llámenos si olvida su contraseña". Eso es un no-go. Al usuario se le asignará una nueva contraseña cuando se presente personalmente en el servicio de asistencia y se le obligará a cambiar su contraseña antes del primer inicio de sesión.

Para obtener información que sea verdaderamente confidencial, sugiero que los usuarios tomen medidas adicionales como PGP o Truecrypt, pero luego se les debe informar explícitamente que sus datos no pueden ser recuperados por sus administradores de sistemas de confianza.

En caso de que la administración se preocupe por que los administradores puedan ver todos los documentos, deben hacerlo ellos mismos. Se supone que un administrador del sistema tiene una confianza casi completa.

Signum
fuente
+1 Buen punto. Cambio de raíz PW y desactivación de inicio de sesión del administrador es una cosa, cambiando cada usuario PW otra ...
sleske
2

No vi esto mencionado aquí, pero solo leí las respuestas. Muchos usuarios usan las mismas contraseñas para TODO. Si tiene su contraseña de red, entonces es probable que tenga la contraseña para su correo electrónico personal, photobucket, facebook, lo que sea.

Creo que es una mala idea. Un administrador de sistemas deshonesto puede causar muchos problemas.

cop1152
fuente
Aquí es donde entra en juego la política de complejidad de contraseña, creo. (Eso, y ejecutar L0phtcrack regularmente.)
Brad Ackerman
1

Tiendo a la política donde sysadmin debería saber la contraseña. Debe basarse caso por caso. Siempre que nosotros, como persona de TI, necesitemos la contraseña de los usuarios para hacer el trabajo, deberíamos pedirla y aconsejarle al usuario que la cambie una vez que terminemos nuestro trabajo. Y no debe almacenar contraseñas en ningún formato.

Sin embargo, también tengo que admitir que a veces tener una hoja de contraseña es muy útil, muy muy útil.

kentchen
fuente
1

Las computadoras de trabajo brindan privacidad a las personas que no están autorizadas para acceder a la información del propietario almacenada en ellas. Los empleados no tienen privacidad cuando usan el equipo de un empleador, por lo que su banner de inicio de sesión dice que toda actividad puede ser monitoreada en cualquier momento, con o sin causa.

(Si no tiene una pancarta de inicio de sesión, corra, no camine, a su asesor corporativo lo antes posible, porque es una muy buena idea).

Sin embargo, esa es otra pregunta. No creo que pueda decir nada que no se haya dicho en otra respuesta, aunque creo que debe establecerse explícitamente que una contraseña es un identificador individual y, por lo tanto, cualquier contraseña debe ser conocida exactamente por una persona; Las contraseñas genéricas de cuentas de administrador, etc., deben almacenarse en una caja fuerte y cambiarse después de cada uso.

Brad Ackerman
fuente
claro ... la cuenta debe describir al individuo en lugar de un rol, etc. (por ejemplo, 'bursar', 'subdirector'). ¡totalmente de acuerdo!
cottsak
1

También puede haber obligaciones legales, en términos de protección de datos, uso de información personal, etc. Es cierto que, como administrador, no hay nada técnico que me impida cambiar la contraseña de un usuario y acceder a su cuenta, pero siempre recibiría una autorización por escrito del gerente de Recursos Humanos (el administrador de la persona no es lo suficientemente bueno) antes de hacerlo.

El más grande para mí es la confianza. Si tienes el poder supremo, estás en una posición en la que todos, desde el gruñido más humilde hasta el CEO, deben confiar en ti para que no lo uses mal. Independientemente de la realidad detrás de esto, cualquier cosa que ayude a reforzar esa confianza te facilitará mucho las cosas. Por lo tanto, decir que "no conocemos sus contraseñas y no podemos acceder a su cuenta sin cambiar sus contraseñas (en cuyo caso lo sabrá)" es algo bueno.

Maximus Minimus
fuente
Buenos puntos sobre obligaciones legales. En el mundo Unix (y Linux), el administrador puede acceder a su cuenta actuando como usted sin cambiar su contraseña. sudo -u someuser
Christopher Mahan
0

¿Por qué restablece la contraseña de alguien cuando alguien está fuera y otra persona quiere / necesita el trabajo? En la actualidad, casi todas las personas almacenan datos no relacionados con el trabajo en sus cuentas. Debería mover solo los datos requeridos de su espacio y colocarlos en el espacio que pertenece al usuario que lo requiere.

p858snake
fuente