Administrador de red que conoce todas las contraseñas de los usuarios

Esto significa que el departamento de TI es responsable del conocimiento de esas contraseñas. Cualquier cosa que suceda en la red ya no se puede atribuir al usuario, pero ahora puede ser el usuario o cualquier persona del departamento de TI o cualquier persona con acceso al almacén de contraseñas.

IT no debería querer esa responsabilidad.

¿Es mala esta política?

No tengo idea. "Malo" no es un término técnico y se define de forma ambigua. Aunque seguro que nunca haría eso.

¿Es esta política una práctica común?

No.

¿Hay algún requisito potencial que pueda ser incompatible con esta política?

• Si su organización mantiene el cumplimiento de la ciberseguridad (por ejemplo, PCI, FDIC, ISO o TCSEC ) esta práctica no está permitida
• Si sus operaciones requieren no repudio
• Si sus operaciones requieren auditabilidad
• Esta política está en desacuerdo con el principio de privilegio mínimo .
• Esta política está en desacuerdo con el principio de compartalization .
• Puede ser ilegal en ciertos contextos.
• Es posible que tenga problemas para despedir a un empleado cuya contraseña se utiliza con fines prohibidos (por ejemplo, un empleado cuya contraseña era utilizado para porno ).

¿Hay algún requisito potencial que sea compatible con esta práctica?

• Si su organización requiere una contraseña común en diferentes sistemas, entre los cuales no es posible la sincronización automática de contraseñas
• Si su política y procedimientos requieren que los gerentes conozcan las contraseñas de sus informes, por ejemplo. para supervisión (aunque usualmente hay mejores alternativas)
• Si sus empleados tienen un historial de elección de contraseñas deficientes, y no hay forma de configurar reglas de complejidad de contraseña satisfactorias
• Si sus empleados tienen un historial de olvido de sus contraseñas y no hay manera de configurar la recuperación de contraseña de autoservicio
• Si su organización no desea otorgar la posibilidad de cambiar las contraseñas a los empleados en general
• Si las contraseñas otorgan acceso a recursos de terceros a los que la empresa debe tener acceso en general (por ejemplo, una cuenta oficial de Twitter)

¿Mala idea? Esto es atroz.

• La mayoría de los usuarios reutilizan las contraseñas en todos los entornos: oficina y trabajo. Sugerencia, sugerencia: cuenta bancaria.

• Esto me lleva a creer que su departamento IT está haciendo este trabajo manualmente: lento y abierto al abuso por parte de un trabajador infeliz.

• Transmisión de contraseñas de texto sin formato

• Almacenamiento de texto simple de contraseñas

Además, esto, estoy seguro de que es posible encontrar otras cien razones: acabo de enumerar las más obvias como punto de partida para ti.

Uno de los principios clave de la seguridad cibernética es la confidencialidad.

Me imagino que las contraseñas se cifrarán y se almacenarán en una base de datos, pero el administrador debe conocer el valor de texto sin formato antes de que se elimine. Su contraseña solo debe ser conocida por usted, si el administrador decide mañana que está harto de su vida y desea infligir daños a alguien y conoce su contraseña. Digamos que hicieron avances no deseados hacia usted y usted los rechazó, tienen el poder de infligir daño en su nombre y culparlo a usted.

Si yo fuera un hacker, esto aumentaría la posibilidad de ganar una entrada, si hay dos vectores de ataque en lugar de uno solo.