In article <djr2d1$ai9$1@nemesis.news.tpi.pl>, blad wrote:
> w żadnym systemie admin nie musi znac hasla użytkownika
> admin może twoje haslo skasowac, wprowadzic nowe i zalogowac sie jako
> ty
> Ale pozniej ty nie bedziesz mogl sie zalogowac jak ci nie powiedza
> nowego hasla, wiec nie jest to "logowanie bez wiedzy użytkownika" -
> taką wiedzę bdziesz miał.

Bardzo błędne założenie.

--
Marcin

do góry

Użytkownik "poreba"
>>> Czy dobrze zgaduję, że technicznie to admin przydzielił hasło i
>>> wprowadził
>>> ograniczenia na zmianę?
>> Mam podać szefowi hasła wszystkich użytkowników.
>> I jakoś tak mam bardzo duże obiekcje....
>
> Macie jakąś zatwierdzoną politykę/zasady bezpieczeństwa w firmie?
> Przetwarzacie może dane osobowe? To byłoby ew. powodem do odmowy
> podania
> haseł - a i zakazu Twojego wejścia w ich posiadanie /haseł/.
> Zasady jakich mnie uczono wymagają by nikt oprócz użytkonika hasła
> nie
> znał. Z jednym wyjątkiem. Jeden użytkownik ma obowiązek
> przekazywania
> swoich haseł przełożonemu, po każdorazowej zmianie. W znanych mi
> przypadkach przekazuje w depozyt w zapieczętowanej kopercie, nb dość
> regularnie. Tym użytkownikiem jest admin.
> - a to z względu na walce drogowe ;)

z ust mi to wyjales - tez od poczatku tak uwazam
Natomiast pierwsze slysze by w jakims systemie admin ustawial hasla
na sztywno i nie pozwalal ich zmieniac!
Tak sie nie robi!

Jest taka norma EN12251 o hasłach dla informatyków z branży medycznej
Właśnie jest tłumaczona na polski w PKN KT 302
Tam jak byk stoi, że hasła nie powinny być nigdzie składowane/logowane
w jawnej formie; że user ma natychmiast zmienic haslo jak mysli ze
ktos je poznal;
i NAJWAZNIEJSZE w punkcie 4.15, że administrator ma ustawic na niezbyt
dlugi czas haslo startowe dla uzytkownika z wymuszeniem na
uzytkowniku zmiany jak tylko go pierwszy raz uzyje.

To chyba wystarczajacy dowod na to, że nikt nie ma prawa poszywac sie
pod innego użytkownika. Jak zajdzie potrzeba to administrator zawsze
moze uzytkownika zastapic
i tylko hasla administratora powinny byc w sejfie!
*** blad ***

Do wykorzystania dla biednego admina coby mogł szefa nauczyc zasad
bezpieczenstwa, cytuje fragment wspomnianej normy EN 12251:
"4.15 Initialised passwords
The system shall provide a mechanism for the security administrators
to initialise passwords for new authorised users or existing users who
have forgotten their password. A secure mechanism shall be provided to
enforce expiration of initialised passwords upon their first use, in
that the initial password shall be changed by the user prior to any
further interaction with the system. Initialised passwords should have
a short expiration as well, to prevent misuse of the initialised
passwords of non-active users."

do góry

Użytkownik "Marcin Debowski"
>> w żadnym systemie admin nie musi znac hasla użytkownika
>> admin może twoje haslo skasowac, wprowadzic nowe i zalogowac sie
>> jako ty
>> Ale pozniej ty nie bedziesz mogl sie zalogowac jak ci nie powiedza
>> nowego hasla, wiec nie jest to "logowanie bez wiedzy użytkownika" -
>> taką wiedzę bdziesz miał.
>
> Bardzo błędne założenie.

skoro admin moze tak zrobic to to oznacza, że
zna cudze hasla i zabraniac ich zmiany!
Przecież takiego modelu nie nalezy stosowac, bo nie jest on
bezpieczny!
nikt nie udowodni nikomu, ze to on wykonal jakas czynnosc na
komputerze!
*** blad ***
PS - podajcie prosze przyklad gdzie taki model hasle jest potrzebny

do góry

blad napisał(a):

> PS - podajcie prosze przyklad gdzie taki model hasle jest potrzebny

Gdzie jest potrzebny - nie wiem. Ale wiem, gdzie jest powszechnie
stosowany. We wszystkich systemach dostępu, drukarko-kopiarkach do
powszechnego uzytku, centralach telefonicznych z selektywnym dostępem...

M.

do góry

In article <djrk4c$mo$1@nemesis.news.tpi.pl>, blad wrote:
> Użytkownik "Marcin Debowski"
>>> w żadnym systemie admin nie musi znac hasla użytkownika
>>> admin może twoje haslo skasowac, wprowadzic nowe i zalogowac sie
>>> jako ty
>>> Ale pozniej ty nie bedziesz mogl sie zalogowac jak ci nie powiedza
>>> nowego hasla, wiec nie jest to "logowanie bez wiedzy użytkownika" -
>>> taką wiedzę bdziesz miał.
>> Bardzo błędne założenie.
> skoro admin moze tak zrobic to to oznacza, że
> zna cudze hasla i zabraniac ich zmiany!
> Przecież takiego modelu nie nalezy stosowac, bo nie jest on
> bezpieczny!

To zależy do czego stosować. W typowych okolicznościach myślę że można
zaryzykować tę odrobinkę zaufania do admina :) Co innego w systemach
bankowych i podobnych.

> nikt nie udowodni nikomu, ze to on wykonal jakas czynnosc na
> komputerze!

W sposób bezsporny - nie. Biorąc pod uwagę różne okoliczności - pewnie
często tak. Co i jak - oceni Sąd :)

> *** blad ***
> PS - podajcie prosze przyklad gdzie taki model hasle jest potrzebny

Jaki model?

--
Marcin

do góry

Użytkownik "cherokee" <n...@n...pl> napisał w wiadomości
news:djradb$pgr$1@inews.gazeta.pl...
>> Czy dobrze zgaduję, że technicznie to admin przydzielił hasło i
>> wprowadził ograniczenia na zmianę?
> Mam podać szefowi hasła wszystkich użytkowników. I jakoś tak mam
bardzo
> duże obiekcje....
> Robert

Szef jest bardzo nieostrożny. Teraz, to już żadnemu pracownikowi
żadnego zarzutu co do niewłaściwego korzystania z komputera postawić
nie będzie mógł, bo każdy mu powie, że skąd wiadomo, ze to on. Spróbuj
tak tu mu przedstawić. Może mu przejdzie.

do góry

cherokee napisał(a):
>>>Czy pracodawca możne zgodnie z prawem znać hasła przy logowaniu do
>
> systemu?
>
>>1. własciciel sprzetu/systemu ma prawo znać hasła?
>
> A czy może logować się w czyimś imieniu?
>

Logowac sie pewnie moze, czytac firmowa korespondencje rowniez.
Pewnie watpliwosci moglo by budzic gdyby moj szef wyslal komus maila
jako "Tomasz Pyra". Np. w dodatku go zbluzgujac ;)

Bo o ile wyslac maila z adresu d...@f...pl szef moze jak
najbardziej, nawet jezeli na codzien z takiego konta poczte odbiera i
wysyla ktos inny.
O tyle, ze jezeli sie podpisze pod (nad?) tym mailem "Tomasz Pyra" to
juz raczej takiego prawa nie ma.


>>2. czyją własnością jest sprzęt/system?
>
> A co za różnica? Cały czas jest kwestia tego czy się może logować za kogoś?
> Najważniejsze, że ma uprawnienia administratora.

Logowac sie moze, zreszta co to za wielkie "cos" to zalogowanie sie?
Zalogowanie sie daje po prostu prawa do odczytu/modyfikacji pewnych
plikow na twardym dysku.
Jezeli on ma prawa administratora to i tak ma prawo do czytania i
modyfikacji wszystkich plikow wiec sam fakt zalogowania sie nie jest
niczym szczegolnym.

do góry

> Logowac sie moze, zreszta co to za wielkie "cos" to zalogowanie sie?
> Zalogowanie sie daje po prostu prawa do odczytu/modyfikacji pewnych
> plikow na twardym dysku.

ale ostatnia zmiana pliku nie będzie prze system widziana jako zmiana przez
admina tylko np. przez Tomasz Pyrę !!, co może spowodowac przykre
konsekwencje jeżeli okaże się że zostały amianione ważne dokumenty
przetargowe lub rozliczeniowe. I winnym tego bedzie T. Pyra a nie admin - bo
wg. zapisu to on modyfikował !!!! i chyba o to chodzi w całym tym wątku


--
Krzysiek M.

do góry

Krzysiek M. napisał(a):
>>Logowac sie moze, zreszta co to za wielkie "cos" to zalogowanie sie?
>>Zalogowanie sie daje po prostu prawa do odczytu/modyfikacji pewnych
>>plikow na twardym dysku.
>
>
> ale ostatnia zmiana pliku nie będzie prze system widziana jako zmiana przez
> admina tylko np. przez Tomasz Pyrę !!, co może spowodowac przykre
> konsekwencje jeżeli okaże się że zostały amianione ważne dokumenty
> przetargowe lub rozliczeniowe. I winnym tego bedzie T. Pyra a nie admin - bo
> wg. zapisu to on modyfikował !!!! i chyba o to chodzi w całym tym wątku

Winnym w jakim sensie?

Bo dla sadu to nie bedzie zaden dowod - skoro administrator i tak
dowolnie moze te informacje zmieniac.

A wazne dokumenty w koncu ktos i tak wysyla, drukuje czy cos tam z nimi
robi innego i raczej to kto jest wlascicielem pliku w sensie systemu
plikow na dysku nie gra roli.

Nie mowiac juz o czyms takim, ze w logach systemu zazwyczaj sa
informacje kto, kiedy i z jakiego komputera sie logowal. Mozna wiec
zobaczyc ze logowano sie np. z komputera administratora, czy szefa.

do góry

> Nie mowiac juz o czyms takim, ze w logach systemu zazwyczaj sa
> informacje kto, kiedy i z jakiego komputera sie logowal. Mozna wiec
> zobaczyc ze logowano sie np. z komputera administratora, czy szefa.

A Ty nie możesz byc z jakiejś sytuacji na tamtym komputerze ? a Nie mógł z
Twojego komputera i jak udowodnisz, że to nie Ty?

Pozostanie sąd itp., a zachowując prostą "higienę" dotyczącą haseł nie ma
takiego problemu :)


--
Krzysiek M.

do góry