Użytkownik "poreba"
>>> Czy dobrze zgaduję, że technicznie to admin przydzielił hasło i
>>> wprowadził
>>> ograniczenia na zmianę?
>> Mam podać szefowi hasła wszystkich użytkowników.
>> I jakoś tak mam bardzo duże obiekcje....
>
> Macie jakąś zatwierdzoną politykę/zasady bezpieczeństwa w firmie?
> Przetwarzacie może dane osobowe? To byłoby ew. powodem do odmowy
> podania
> haseł - a i zakazu Twojego wejścia w ich posiadanie /haseł/.
> Zasady jakich mnie uczono wymagają by nikt oprócz użytkonika hasła
> nie
> znał. Z jednym wyjątkiem. Jeden użytkownik ma obowiązek
> przekazywania
> swoich haseł przełożonemu, po każdorazowej zmianie. W znanych mi
> przypadkach przekazuje w depozyt w zapieczętowanej kopercie, nb dość
> regularnie. Tym użytkownikiem jest admin.
> - a to z względu na walce drogowe ;)

z ust mi to wyjales - tez od poczatku tak uwazam
Natomiast pierwsze slysze by w jakims systemie admin ustawial hasla
na sztywno i nie pozwalal ich zmieniac!
Tak sie nie robi!

Jest taka norma EN12251 o hasłach dla informatyków z branży medycznej
Właśnie jest tłumaczona na polski w PKN KT 302
Tam jak byk stoi, że hasła nie powinny być nigdzie składowane/logowane
w jawnej formie; że user ma natychmiast zmienic haslo jak mysli ze
ktos je poznal;
i NAJWAZNIEJSZE w punkcie 4.15, że administrator ma ustawic na niezbyt
dlugi czas haslo startowe dla uzytkownika z wymuszeniem na
uzytkowniku zmiany jak tylko go pierwszy raz uzyje.

To chyba wystarczajacy dowod na to, że nikt nie ma prawa poszywac sie
pod innego użytkownika. Jak zajdzie potrzeba to administrator zawsze
moze uzytkownika zastapic
i tylko hasla administratora powinny byc w sejfie!
*** blad ***

Do wykorzystania dla biednego admina coby mogł szefa nauczyc zasad
bezpieczenstwa, cytuje fragment wspomnianej normy EN 12251:
"4.15 Initialised passwords
The system shall provide a mechanism for the security administrators
to initialise passwords for new authorised users or existing users who
have forgotten their password. A secure mechanism shall be provided to
enforce expiration of initialised passwords upon their first use, in
that the initial password shall be changed by the user prior to any
further interaction with the system. Initialised passwords should have
a short expiration as well, to prevent misuse of the initialised
passwords of non-active users."