Am Freitag 17 September 2004 23:16 schrieb Manfred Tremmel:
Am Freitag, 17. September 2004 19:11 schrieb Matthias Houdek:
Knackbar sind letztendlich alle. Deshalb sollte man seine Passwörter ja auch regelmäßig ändern (zumindest dort, wo es wirklich existentiell wichtig ist).
Man sollte seine User aber auch nicht überfordern, sonst landen ganz schnell Zettel in der Schublade oder unter der Tastatur. Ich hab im Büro beim Booten z.B. standardmässig 5 Passwörter einzugeben (Windows, Novell, zwei speziell gesicherte Freigaben, Proxy),
Hm, das sollte man schon mal auf 3 reduzieren können (die speziell gesicherten Freigaben brauchen was eigenes).
dann kommen noch die Passwörter von SAP (ne ganze Liste verschiedener System mit je eigenen Passwörtern), Unix (die zu den SAP-Maschinen und andere), FTP (wieder diverse Systeme), Host (TPX, IMS und die ganzen eigenen Anwendungen im Test und Produktion), Fernwartung einiger Rechner, BusinesConnector, eigene Web und PC Anwendungen, .... Die meisten von den Passwörtern laufen aus und dürfen sich ein halbes Jahr nicht wiederholen.
Bist du Büro-User? Dafür hast du dann aber eine Menge Admin-Aufgaben ;-)
Ich habs bisher geschafft, es im Kopf zu behalten (dafür sind sie nur begrenzt komplex und folgen gewissen sich wiederholenden Schemata), aber wie viele Leute glaubst Du machen das (ich kenne Excel-Tabellen von Kollegen mit allen Passwörtern, die passen in der Druckvorschau nicht auf zwei A4 Blätter).
Mir ist der Widerspruch zwischen der Forderung praktisch unmerkbaren, in möglichst kurzen Abständen wechselnden Passwörtern auf der einen und der Bequemlichkeit der User/Admins (und letztendlich auch der Effizienz der Arbeit) auf der anderen Seite schon bewusst. Und die besagte Excel-Tabelle oder der Zettelkasten sind natürlich das beste Beispiel für eine verfehlte Sicherheitspolitik in der Firma. Man muss hier sehr stark zwischen dem technisch Machbaren, dem sicherheitspolitisch Notwendigen und dem userfreundlich Zumutbaren abwägen. Auf die Grundfrage dieses Threads bezogen: Was sichern diese PINs ab? Wie interessant sind diese Daten für andere? Gibt es andere/leichtere Wege, an die Daten zu kommen? (Wen interessieren schon Nutzeraccounts, wenn man eh schon die passwd in den Händen hält? *g*) Diese Fragen muss man klären und dann abwägen. Ist nicht immer leicht, und ggf. gehört auch noch eine Menge Überzeugungsarbeit bei den betreffenden Usern dazu, um sie für die Notwendigkeit dieser Sicherheits-Policies zu überzeugen. Was nützt die beste Verschlüsselung, wenn man über Social-Hacking ganz leicht direkt an die Passwörter kommt. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu