¿Hay alguna razón concebible para evitar un cambio de contraseña en un sistema de autenticación?

Navega tus respuestas
10

Me conecto a la VPN de otra compañía con un nombre de usuario y contraseña específicos de la compañía (no les están dando a todos la misma contraseña para que todas las compañías accedan a ella o algo tan ridículo como eso). Después de que uno de nuestros empleados se fue, yo Contacté a esta compañía para actualizar nuestra contraseña. Me dijeron que no pueden cambiar las contraseñas y que solo pueden emitir nuevos nombres de usuario. Hacer esto significaría aproximadamente dos meses de no poder usar su sistema debido al papeleo y la burocracia, por lo que obviamente es un gran inconveniente.

¿Hay alguna razón, además del diseño deficiente, de que su sistema no pueda aceptar un cambio de contraseña? Las contraseñas también son recuperables. Esta es una compañía grande y probablemente hay unos pocos cientos de compañías que usan este sistema, y como está relacionado con el gobierno no hay alternativas.

    
pregunta John Straka 27.10.2011 - 20:07
fuente

3 respuestas

8

Estoy de acuerdo en que este debe ser un mal diseño. Es posible que desee tener una estabilidad de contraseña en ciertos períodos para la sincronización entre sistemas o cuando un nuevo sistema esté integrado en un sistema más grande. A excepción de esas circunstancias, desea poder cambiar una contraseña cada vez que se haya expuesto una contraseña, lo que podría ser en cualquier momento.

Lo único en lo que puedo pensar es que la contraseña se usa para un propósito secundario, como hacer una firma digital de cada persona que lee un documento en particular. En un caso como este, donde la contraseña se usa para mantener un registro de la acción de un individuo, sería complicado o confuso cambiar las contraseñas. Sin embargo, la solución fácil es emitir una contraseña para la autenticación y otra criptovariable para las firmas digitales.

    
respondido por el this.josh 28.10.2011 - 08:02
fuente
7

Creo que la raíz de esto es un diseño pobre como dijiste. Cada vez que veo un sistema que no puede cambiar una contraseña, se ha desarrollado de tal manera por varias razones, ninguna de las cuales es por seguridad, y ninguna de las cuales es la mejor solución para un problema .

El único diseño en el que puedo pensar que se cierra de manera remota es cuando tiene un sistema de administración de identidades que sincroniza las cuentas desaparecidas en sistemas heredados / incompatibles con un almacén central de cuentas y la única forma en que las contraseñas pueden estar sincronizadas es si La contraseña se cambia en la ubicación central. No creo que este sea el caso, porque dices que no pueden cambiarlo en absoluto. O eso o el sistema de gestión está siendo controlado por otro departamento y es solo una cuestión política, etc.

    
respondido por el Steve 27.10.2011 - 21:31
fuente
1

Es posible que las contraseñas se puedan recuperar a través de algún tipo de sistema de almacenamiento seguro, y si cambia la contraseña, la copia de seguridad almacenada se volverá inválida.

    
respondido por el ddyer 28.10.2011 - 20:03
fuente

Lea otras preguntas en las etiquetas

¿Se necesita DKIM para los correos electrónicos cifrados con OpenPGP? ¿Puede alguien lanzar un ataque DOS en mi IP?