Reimpostare una password vs. Modifica di una password

Riepilogo

In questo articolo, discuteremo la differenza tra il ripristino di una password e la modifica di una password. Il ripristino di una password è un’azione amministrativa che può essere eseguita da un amministratore o da qualcuno con l’autorizzazione appropriata, mentre modificare una password è un’azione utente che richiede all’utente di conoscere la password corrente. Esploreremo anche le autorizzazioni e la registrazione degli eventi relativi a queste azioni nel sistema Windows.

Punti chiave

1. Il ripristino di una password è un’azione amministrativa, mentre modificare una password è un’azione utente.
2. Per una modifica della password, l’utente deve conoscere la propria password corrente, ma per un reimpostazione della password, la vecchia password non è richiesta.
3. Un utente necessita dell’autorizzazione “Modifica password” per modificare la propria password, mentre una persona con l’autorizzazione “reimpostazione della password” può ripristinare la password di qualcun altro.
4. Le modifiche alla password vengono in genere eseguite tramite il pannello di controllo degli account utente o la finestra di dialogo di accesso in Windows.
5. I ripristinati della password possono essere eseguiti tramite strumenti di gestione degli account come utenti e computer Active Directory.
6. In Windows Server 2003 e versioni successive, vengono registrati diversi ID eventi per la modifica della password e gli eventi di reimpostazione della password.
7. L’autorizzazione “reimposta password” viene utilizzata quando un amministratore o una persona di supporto gestisce la password dimenticata dell’utente.
8. In Active Directory, l’autorizzazione “Modifica password” richiede la conoscenza della password corrente dell’account, mentre l’autorizzazione “reimpostazione della password” non lo fa.
9. Per impostazione predefinita, gli utenti possono modificare le proprie password, ma solo gli amministratori e gli operatori dell’account possono reimpostare le password.

Domande e risposte

D: In che modo l’autorizzazione della password di Active Directory (AD) è diversa dall’autorizzazione della password di modifica? In che modo la password di reimpostazione del registro del sistema Windows e modifica gli eventi della password nel Visualizzatore eventi?

UN: Sebbene il ripristino di una password e la modifica di una password abbiano lo stesso effetto, sono due azioni completamente diverse. Una modifica della password è un’azione dell’utente che richiede all’utente di conoscere la propria password corrente e avere l’autorizzazione “Modifica password”. D’altra parte, un reimpostazione della password è un’azione amministrativa che può essere eseguita da qualcuno con l’autorizzazione “reimpostare password” e non richiede conoscenza della vecchia password. In Windows Event Viewer, gli eventi di modifica della password vengono registrati con ID evento 627, mentre gli eventi di reimpostazione della password sono registrati con ID evento 628 a partire da Windows Server 2003. In Windows 2000, sia gli eventi di modifica della password che di reimpostazione della password sono stati registrati con ID evento 627.

D: Qual è la differenza tra la password di reimpostazione e modifica le autorizzazioni della password sugli oggetti utente in Active Directory (AD)?

UN: L’autorizzazione “Modifica password” richiede la conoscenza della password corrente dell’account e consente alla persona di modificare la propria password. L’autorizzazione “reimpostare password”, d’altra parte, viene utilizzata quando un amministratore o una persona di supporto gestisce la password dimenticata dell’utente. Non richiede conoscenza della password corrente dell’account. Per impostazione predefinita, gli utenti possono modificare le proprie password, mentre solo gli amministratori e gli operatori dell’account possono reimpostare le password in Active Directory.

D: Come può un reimpostazione della password differenziata da una modifica della password in pratica?

UN: Un reimpostazione della password può essere avviato da un amministratore o da qualcuno con l’autorizzazione appropriata. Non richiede all’utente di conoscere la password corrente. Al contrario, l’utente viene eseguita una modifica della password e richiede loro di inserire la loro password corrente prima di impostarne una nuova. Il processo per un reimpostazione della password di solito prevede la generazione di un collegamento o un codice di reimpostazione della password univoca, mentre una modifica della password viene in genere eseguita tramite un’interfaccia utente come il pannello di controllo degli account utente o una finestra di dialogo di accesso.

D: È più sicuro avere pagine separate per reimpostazione della password e funzionalità di modifica della password?

UN: Sì, è generalmente considerato più sicuro avere pagine separate per reimpostazione della password e funzionalità di modifica della password. I collegamenti o i codici di reimpostazione della password vengono spesso inviati all’e -mail di un utente e avere una pagina dedicata per il processo di ripristino assicura che l’utente possa impostare in modo sicuro una nuova password senza il rischio di compromesso. D’altra parte, una pagina di modifica della password dovrebbe essere accessibile solo quando l’utente è già effettuato e può fornire la propria password corrente per garantire la sicurezza del proprio account.

D: I tentativi di reimpostazione della password possono essere registrati e monitorati?

UN: Sì, i tentativi di reimpostazione della password possono essere registrati e monitorati. Utilizzando i meccanismi di registrazione e controllo degli eventi nel sistema Windows, gli amministratori possono tracciare gli eventi di reimpostazione della password e identificare eventuali attività sospette o non autorizzate. Inoltre, i registri possono fornire informazioni preziose per l’analisi forense in caso di incidenti di sicurezza o violazioni relative a reset di password.

D: Ci sono considerazioni di sicurezza da tenere a mente quando implementano il reimpostazione della password e modificano le funzionalità?

UN: Sì, ci sono diverse considerazioni sulla sicurezza da tenere a mente quando si implementano le funzionalità di reimpostazione della password e modifica. Questi includono:

1. Utilizzo di meccanismi sicuri per l’invio di collegamenti o codici di reimpostazione della password, come e -mail crittografate o sistemi di messaggistica sicuri.
2. Applicare politiche di password forti per garantire che gli utenti creino password forti e uniche.
3. Implementazione di meccanismi per prevenire la forza bruta o gli attacchi automatizzati al ripristino della password e modificare le funzionalità.
4. Rivedere e aggiornare regolarmente le autorizzazioni e i controlli di accesso relativi al ripristino della password e modificare le funzionalità per impedire l’accesso non autorizzato.
5. Rivedere periodicamente i registri e il monitoraggio per eventuali attività o modelli sospetti relativi a reimpostazioni e modifiche della password.
6. Garantire che le funzionalità di ripristino e modifica della password siano adeguatamente testate e riviste per eventuali potenziali vulnerabilità o di debolezza.

D: I metodi utilizzati per il reimpostazione della password e la modifica della password possono essere personalizzati o estesi?

UN: Sì, i metodi utilizzati per il reimpostazione della password e la modifica della password possono essere personalizzati ed estesi in base ai requisiti specifici di un’applicazione o del sistema. Le organizzazioni possono scegliere di implementare ulteriori misure di sicurezza, come l’autenticazione a più fattori, per migliorare la sicurezza del reimpostazione della password e modificare le funzionalità. Inoltre, le organizzazioni possono integrare il reimpostazione della password e modificare le funzionalità con altri sistemi o servizi di gestione dell’identità e accesso per fornire un’esperienza utente senza soluzione di continuità e garantire pratiche di sicurezza coerenti tra più applicazioni.

D: Quali sono le potenziali conseguenze dei ripristinati o delle modifiche non autorizzate?

UN: La password non autorizzata si ripristina o le modifiche possono avere gravi conseguenze, soprattutto se vengono eseguite su conti amministrativi o esecutivi. Un individuo non autorizzato che ottiene l’accesso a un account amministrativo tramite un reimpostazione o una modifica della password potrebbe potenzialmente causare danni significativi, come l’accesso non autorizzato a informazioni sensibili, modifiche non autorizzate alle configurazioni del sistema o addirittura compromesso completo del sistema. Pertanto, è fondamentale implementare forti misure di sicurezza e monitorare attentamente le attività di ripristino della password e modificare per prevenire l’accesso non autorizzato.

Reimpostare una password vs. Modifica di una password

Puoi immaginare le conseguenze di qualcuno in grado di reimpostare la password di un account amministrativo o di un account esecutivo, a seconda dell’intenzione (mal-) e della competenza dell’autore, le conseguenze potrebbero essere potenzialmente disastrose.

Modifica password vs reimposta password [chiuso]

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che si possa rispondere con fatti e citazioni modificando questo post.

Chiuso 9 anni fa .

Ho una pagina in cui un utente può richiedere un collegamento di reimpostazione della password se ha dimenticato la password sul proprio account. Voglio anche creare un modo per un utente di modificare la propria password se sono già accessi nel proprio account. Sarebbe meglio creare pagine separate per ciascuno questi diversi tipi di reimposta di password o dovrei semplicemente modificare il modulo in base al fatto che l’utente sia effettuato? Importa davvero? Esiste uno standard generale?

Chiesto il 24 ottobre 2013 alle 2:42

Shane a. Darr Shane a. Darr

521 6 6 badge d’argento 16 16 badge di bronzo

Questo argomento è più adatto per UX.StackExchange.com.

24 ottobre 2013 alle 2:58

Non sono d’accordo in quanto l’intento della mia domanda non era che è più facile da usare, ma ciò che è più pratico standard da un punto di stand di sviluppo. La mia intenzione è di attenersi agli standard di programmazione generalmente accettati e rendere le cose il più sicure possibile. Posso capire perché questa domanda può essere vista come una domanda UX e avrei dovuto rendere più evidenti le ragioni della mia domanda. Grazie

26 ottobre 2013 alle 5:22

1 Risposta 1

Crea pagine separate. Ripristina i collegamenti (quando gli utenti non vengono effettuati l’accesso) di solito usano un valore di Get univoco. Quando l’utente chiede di inviare un collegamento, viene inserito un valore nel database. Quando una persona visita la pagina di ripristino, il server controllerà il valore di Ottieni inserito nell’URL. Se il valore GET corrisponde a un valore univoco che si trova nel database, allora alla persona viene data l’opportunità di inserire una nuova password. I valori univoci nei database sono generalmente impostati per scadere abbastanza rapidamente. Questo impedisce alle persone di usare la forza bruta per ripristinare la password di qualcun altro.

Non vuoi mescolare quanto sopra con una semplice modifica della password avviata quando un utente viene effettuato.

Risposta il 24 ottobre 2013 alle 2:50

Lloyd Banks Lloyd Banks

35.4k 57 57 badge d’oro 155 155 badge d’argento 246 246 badge di bronzo

Grazie per il tuo contributo. Il reimpostazione della password per un processo di password dimenticato che hai notato sopra è esattamente come sto facendo quel lavoro. Sono contento di farlo correttamente. Sto pensando che forse creerò solo una pagina di informazioni sull’accesso in cui un utente può modificare le informazioni inclusa la password se necessario.

24 ottobre 2013 alle 2:53

La modifica di una password e il ripristino di una password sono due cose molto diverse. Il ripristino di una password può essere eseguita quando l’utente non viene effettuato. La modifica di una password avviene solo quando l’utente è effettuato e conosce la password corrente.

Reimpostare una password vs. Modifica di una password

D: In che modo l’autorizzazione della password di Active Directory (AD) è diversa dall’autorizzazione della password di modifica? In che modo la password di reimpostazione del registro del sistema Windows e modifica gli eventi della password nel Visualizzatore eventi?

UN: Sebbene il ripristino di una password e la modifica di una password abbiano lo stesso effetto, sono due azioni completamente diverse.

Una modifica della password è un’azione utente, in cui un utente inserisce una nuova password per il proprio account utente di Windows. Windows autentica l’utente prima che gli sia permesso di modificare la password. Ciò significa che un utente deve sempre inserire la sua vecchia password prima di poterlo cambiare. Un utente deve anche avere l’autorizzazione della password di modifica sul proprio account Domain Account AD per modificare la password. Un utente può modificare la propria password dall’applet del pannello di controllo degli account utente o dall’opzione di modifica della password nella finestra di dialogo Logon che viene visualizzata dopo aver premuto CTRL+ALT+DEL.

Un reimpostazione della password è un’azione amministrativa, in cui un amministratore di Windows (o un account Windows che dispone dell’autorizzazione della password di reimpostazione sull’oggetto account di un utente) ripristina la password di un utente. A differenza di una modifica della password, un reimpostazione della password non richiede conoscenza della vecchia password. Qualsiasi account che abbia la autorizzazione della password di reimpostazione sull’oggetto account di dominio AD di un utente può eseguire un reimpostazione della password. I ripristinati di password possono essere lanciati da uno degli strumenti di gestione dell’account AD come Microsoft Management Console (MMC) Active Directory Utenti e computer Snap-in o Active Directory Amministrative Center.

A partire da Windows Server 2003, Windows registra ID eventi diversi per gli eventi di modifica della password e reimpostazione della password. ID registri ID evento 627 per un evento di modifica della password e ID evento 628 per un evento di reimpostazione della password. Windows 2000 ID evento registrato 627 sia per la modifica della password che per gli eventi di reimpostazione della password.

Distinguere tra password di reimpostazione e modifica della password

Qual è la differenza tra il Resetta la password E Cambiare la password autorizzazioni sugli oggetti utente in Active Directory (AD)?

IL Cambiare la password L’autorizzazione richiede che la persona che modifica la password conosca la password corrente dell’account. Quando un amministratore o una persona di supporto gestisce la password dimenticata di un utente, l’amministratore o la persona di supporto utilizza il Resetta la password autorizzazione, che non richiede conoscenza della password corrente dell’account. Con le autorizzazioni predefinite di AD, è possibile modificare la tua password, ma solo gli amministratori e gli operatori dell’account possono reimpostare le password.

Resetta la password

Resetta la password è l’azione di invalidare la password corrente per un account su un sito Web, un servizio o un dispositivo e quindi crearne uno nuovo. Una password può essere ripristinata utilizzando le impostazioni del software o del servizio o contattando il servizio clienti.

Se hai bisogno del reimpostazione della password, la maggior parte dei servizi ha un servizio “password dimenticato” che ti invia un’e-mail un link quando si richiede di reimpostare la password sul sito Web. Se il tuo indirizzo e-mail non è più valido o il servizio non è un servizio di speranza del computer, contattare l’azienda responsabile del servizio della password dimenticata.

La funzione di restauro della password è per il tuo account e non essere utilizzata come metodo per accedere all’account di qualcun altro o hackerare un altro account.

Informazioni correlate

• Come ripristinare una password di Windows smarrita o dimenticata.
• Ho dimenticato la mia password di Facebook.
• Aiuto e informazioni sulle password del computer.
• Qual è un modo sicuro per ricordare le mie password?
• Promemorio per autenticazione della password del computer speranza del computer.
• Aiuto e supporto per la sicurezza del computer.

Blog di sicurezza di Active Directory

Spero che questo ti trovi bene. Oggi volevo solo prendere qualche minuto per far luce su una questione che influisce praticamente ogni organizzazione pubblica negli Stati Uniti e forse la maggior parte delle organizzazioni in tutto il mondo.

Alcune settimane fa, ancora un altro Multi- $ B di spicco a livello globale.S di dito oro con licenza Organizzazione 007.

Dato il dito dorato 007’S Numerose funzionalità (Audit della delega di Active Directory, Analisi delle autorizzazioni effettive di Active Directory, analisi delle autorizzazioni di Active Directory, calcolo delle dimensioni del token Kerberos a livello di dominio ecc.), ci piace sempre conoscere ciò per cui i nostri clienti usano il dito d’oro per.

Quindi quando abbiamo chiesto loro per cosa intendevano usare il dito oro, ci hanno informato che desideravano usarlo “audit chi può modifica le cui password in Active Directory, perché i loro revisori di conformità SOX hanno richiesto loro di fornire queste informazioni.”

È stato un po ‘sorprendente. Abbiamo pensato che intendessero dire “chi può Ripristina le cui password” Quindi abbiamo chiesto loro di nuovo se i revisori hanno richiesto loro di fornire un rapporto “Chi può cambiare le cui password”, O “chi può reimpostare le cui password.”

Hanno confermato che i revisori volevano sapere “chi può modifica le cui password”.

Questo per noi era un po ‘preoccupante.

La differenza tra la password di modifica e reimpostare la password

Gente, la differenza tra “Chi può cambiare le password” E “Chi può reimpostare le password” è fondamentale capire per la sicurezza organizzativa, ma rimane in gran parte frainteso, e quindi vale la pena far luce –

Modifiche alla password di Active Directory

Ogni account utente del dominio in Active Directory è protetto da una password ed è la conoscenza di questa password che consente al titolare dell’account di autenticarsi e in effetti la partecipazione di Identity rappresentata da tale account utente del dominio.

Quando un utente’Il account S è inizialmente impostato, gli viene fornita una password temporanea (idealmente tramite mezzi sicuri) e quindi chiesto di modificare immediatamente quella password in un nuovo valore, i.e. uno di cui solo lui/lei ha conoscenza.

Solo l’account’Il titolare di S dovrebbe conoscere l’account’S password. Nessun altro dovrebbe conoscere la sua password, perché chiunque conosca l’account’La password S può autenticarsi nel sistema come utente utilizzando quella password.

Ora, per motivi di sicurezza, la maggior parte delle organizzazioni richiede agli utenti di modificare le loro password su base periodica, in modo da proteggere le password da password che indovina gli attacchi e come tale il sistema fornisce una funzione per consentire agli utenti di cambiare le proprie password.

Un utente può cambiare la sua password invocando la sequenza di autenticazione della sicurezza (“Alt-ctrl-dil”), quindi selezionando il “Cambiare la password” opzione. L’utente è quindi tenuto a inserire sia la nuova password che la password corrente.

(Nota: le finestre Cambiare la password Il dialogo si riferisce al file attuale password come vecchio parola d’ordine.)

Se la password corrente inserita è valida, il sistema accetta la richiesta di modifica della password e procede a modificare l’utente’S password al nuovo valore. Se la password corrente inserita non è valida, il sistema nega la richiesta di modifica della password.

Ora, è molto importante notare che per modificare la password, l’utente è tenuto a inserire la password corrente i.e. Senza dimostrare la conoscenza della password corrente, non può cambiare la password.

In altre parole, se si presume che solo l’utente conosca la password del proprio account, si può dedurre che nessun altro può cambiare l’utente’S password, perché nessun altro conosce l’utente’S password corrente.

In sintesi, non è necessario controllare chi può cambiare le cui password (in 99.9999% dei casi), solo il titolare dell’account utente conosce la password corrente dell’account e senza conoscere l’utente corrente’S password, nessuno può modificare l’utente’S password.

Di conseguenza, a mio modesto parere, i revisori della conformità normativa non dovrebbero chiedere alle organizzazioni di audit “Chi può cambiare le cui password” Solo perché non vi è alcun vantaggio materiale nel farlo.

Reset di Active Directory Password

Ora, nel caso in cui ti trovi a chiedere – “Ma aspetta, per quanto riguarda la situazione in cui un utente dimentica la sua password, quindi chiama l’help desk per assistenza, a seguito del quale un operatore di help desk ripristina l’utente’S password e concede all’utente una password temporanea con cui può quindi accedere e immediatamente dopo l’accesso, modificare la sua password su un valore noto solo all’utente.”

La risposta è che, l’operatore dell’help desk, non ha modificato l’utente’S password, ma in effetti ripristina l’utente’S password a una nuova password temporanea, quindi ha fornito questa password temporanea all’utente (si spera tramite un canale sicuro) e (si spera) gli ha incaricato di cambiare immediatamente la sua password in un valore noto solo all’utente.

Vedete, per tenere conto delle situazioni in cui un utente dimentica la sua password e non è quindi in grado di accedere, il sistema fornisce una struttura attraverso la quale il personale amministrativo autorizzato può reimpostare la password di un utente’A account.

Questa funzione di reimpostazione della password può anche essere utilizzata per assumere il controllo di un account utente del dominio in situazioni in cui deve assumere l’account dell’utente, come quelli che coinvolgono la risoluzione dei dipendenti, incidenti di sicurezza ecc.

Si può notare che il ripristino di un utente’La password S non richiede la dimostrazione della conoscenza dell’utente’S password esistente/corrente. Invece, richiede solo che le persone che eseguono il reimpostazione della password abbiano “Password di modifica della forza utente” Diritto esteso concesso sull’account utente del dominio. Chiunque abbia questo diritto concesso su un account utente del dominio può ripristinare istantaneamente l’account utente del dominio’S password.

(A rigor di termini, al fine di cambiare un utente’S password, anche l’utente richiede il “La password di modifica dell’utente” esteso a destra sul proprio account, che per impostazione predefinita è concesso a “Tutti” E “Tutti” Include implicitamente l’utente stesso. A proposito, solo perché il diritto è concesso a “Tutti” non significa che tutti (/chiunque) possano cambiare l’utente’S password; Solo quelle persone che possono dimostrare la conoscenza della password corrente possono cambiare l’utente’A account’S password.)

(A proposito, il Guid per i diritti per Password di cambio in user-olece IS 00299570-246D-11d0-A768-00AA006E0529 e il Guid per i diritti per SMA-CHIND-CHIND-User IS AB721A53-1E2F-11D0-9819-00AA0040529B.)

Ora, per impostazione predefinita, molti gruppi amministrativi di Active Directory, inclusi amministratori di dominio, amministratori aziendali, amministratori integrati, operatori di account e altri sono concessi il “Password di modifica della forza utente” (conosciuto anche come “Resetta la password”) esteso a destra su tutti gli account utente del dominio, e quindi molti membri del personale amministrativo sono per impostazione predefinita, hanno già la possibilità di reimpostare le password della maggior parte degli account utente del dominio. Inoltre, molte organizzazioni sviluppano e implementano modelli di delega personalizzati con conseguente numero ancora maggiore di persone in grado di reimpostare le password della maggior parte degli account utente del dominio.

È indispensabile capire che chiunque abbia il “Password di modifica della forza utente” (io.e. “Resetta la password”) La destra estesa effettivamente concessa su un account utente del dominio può ripristinare istantaneamente tale account’S password e accedi come lui/lei.

Naturalmente, una volta che qualcuno può ripristinare un account utente di dominio’S password, può accedere all’istante come lui/lei, ottenere l’accesso a tutto ciò che l’utente ha accesso, leggere e inviare e -mail, accesso, manomissione, copia o divulgare tutto ciò a cui l’utente ha accesso.

Di conseguenza, è fondamentale sapere in ogni momento, esattamente chi può reimpostare le cui password in Active Directory.

Di conseguenza, invece di chiedere alle organizzazioni di audit “Chi può cambiare le cui password” I revisori della conformità normativa dovrebbero chiedere loro di audit “chi può reimpostare le cui password”, Dal momento che la possibilità di ripristinare qualcuno’La password S consente immediatamente l’accesso dell’autore come utente di destinazione e accedere a tutto ciò a cui l’utente ha accesso.

È anche possibile per un individuo dannoso ripristinare un utente’S password, quindi accedi come utente, impegnarsi in un accesso non autorizzato, quindi disconnettersi e quando l’account utente effettivo tenta di accedere alla prossima volta, dopo alcuni tentativi senza successo di accedere a una vecchia password, l’utente chiamerebbe help desk e nella maggior parte dei casi, un operatore di help desk ripristinerà semplicemente la password, senza sospettare che qualcuno potrebbe reimpostare l’utente’S password e connesso.

Puoi immaginare le conseguenze di qualcuno in grado di reimpostare la password di un account amministrativo o di un account esecutivo, a seconda dell’intenzione (mal-) e della competenza dell’autore, le conseguenze potrebbero essere potenzialmente disastrose.

Quindi, se posso, io’mi piace richiedere umilmente i revisori della conformità per comprendere questa differenza vitale, e forse la prossima volta, chiedere un rapporto di “Chi può reimpostare le password dell’account utente”, non “Chi può modificare le password dell’account utente”.

Infine, quando si richiede queste informazioni, è indispensabile garantire che il rapporto di audit fornito non si basi sull’analisi delle autorizzazioni, ma sull’analisi delle autorizzazioni efficaci, poiché solo le autorizzazioni efficaci rivelano chi può veramente reimpostare le cui password.

Ciò influisce sull’85% delle organizzazioni in tutto il mondo

Come forse saprai, oggi Active Directory è il fondamento della sicurezza informatica a oltre l’85% delle organizzazioni in tutto il mondo.

La nostra intelligenza globale indica che nella maggior parte di queste organizzazioni, nessuno ha idea di chi può reimpostare le cui password, anche quelle di obiettivi di alto valore i.e. Conti esecutivi e amministrativi.

Questa è purtroppo una situazione molto preoccupante e allarmante.

Ad esempio, un po ‘di tempo fa, un dipendente di una società internazionale multi-$ ha richiesto un processo e ha eseguito Mini di dito d’oro nel loro ambiente qui negli Stati Uniti. In circa 2 minuti, è stato in grado di scoprire che oltre 700 persone nel mondo avevano sufficienti diritti efficaci per poter reimpostare la password di quell’organizzazione’S CEO’A account utente del dominio S. Ciò che ci è stato scioccante è che né il CEO, né la maggior parte di questi 700 persone sapevano che avevano diritti sufficienti per essere in grado di ripristinare la password del CEO.

Per inciso, questa organizzazione aveva esternalizzato la gestione del loro schieramento di Active Directory in un’altra società internazionale multi-$ e immagina la mia sorpresa quando abbiamo appreso che c’erano alcune persone di spicco in quella lista degli utenti di oltre 700 anni, alcuni dei quali conosco personalmente (; la maggior parte sono in Europa e altri in Asia.)

Per motivi di sicurezza, entrambe queste società rimarranno senza nome. (Voi sapete chi siete.)

Avvolgendolo

Alcune settimane fa abbiamo informato i nostri clienti di questa differenza sottile ma importante e sono lieto di farti sapere che oggi stanno eseguendo un audit di “chi può reimpostare le cui password” Invece.

In sintesi, è molto importante sapere (in ogni momento) esattamente chi può reimpostare le cui password. Come minimo, tutte le organizzazioni dovrebbero sapere almeno chi può reimpostare le password di tutti i loro account amministrativi/privilegiati e i loro account esecutivi (CEO, CIO, CFO e CISO) perché è la capacità di reimpostare le password che sono al centro del rischio di sicurezza informatica del mondo oggi.

Bene, i miei 10 minuti sono scaduti. (Più la prossima volta.)

Auguri,
Sanjay