Dostęp do haseł użytkowników przez administratorów systemu.

Jedną z najbardziej niebezpiecznych praktyk stosowanych obecnie jest przechowywanie niezaszyfrowanych haseł użytkowników dostępnych dla administratorów systemu. W niektórych witrynach nowi użytkownicy otrzymują hasła, które są przypisywane i zapisywane przez administratorów systemu. Jeśli te hasła zostaną użyte tylko raz, podczas pierwszego logowania, użytkownik może zostać zmuszony do wybrania lub utworzenia prawdziwie tajnego hasła, którego nikt inny nie zna. Jednak w wielu takich witrynach administratorzy zachowują kontrolę nad dokumentami papierowymi lub elektronicznymi, zwykle w celu szybkiego dostępu, gdy użytkownicy zapomną własnych haseł. Taki dostęp całkowicie niszczy ważny element I&A: niezaprzeczalność. Jeśli ktoś inny ma dostęp do hasła, upoważnieni użytkownicy mogą rozsądnie odrzucić transakcje, twierdząc, że ich tożsamość została sfałszowana. Takiemu zaprzeczeniu trudno przeciwdziałać, zwłaszcza w sądzie rozpatrującym zarzut nadużycia ze strony uprawnionego użytkownika tego hasła. Zasadniczo haseł, które będą używane wielokrotnie, nie powinny być zapisywane i nie powinny być dostępne dla administratorów systemu. Krytyczne hasła można zapisać, przechowywać w pojemnikach zabezpieczonych przed manipulacją i zamknąć, gdzie co najmniej dwa podpisy będą wymagane do odzyskania w nagłych wypadkach.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *