Domanda:
Come posso assicurarmi che le password predefinite non siano più in uso?
thunderror
2011-02-01 21:31:58 UTC
view on stackexchange narkive permalink

Ci sono due situazioni in cui le password "predefinite" vengono usate su una rete:

  1. Viene registrato un nuovo utente. Nel suo pacchetto di registrazione, insieme al suo nuovo nome utente, indirizzo e-mail e così via è la sua password iniziale.

  2. Viene distribuito un nuovo componente hardware. Nello stato di fabbrica ha una password amministratore predefinita in modo che tu possa entrare e configurare l'hardware.

Come posso verificare se queste password predefinite sono ancora in uso sulla mia rete, e imporre che vengano cambiati?

Puoi fornire ulteriori informazioni, contesto, ecc.? Di quale "password predefinita" stai parlando?
Da un punto di vista tecnico, stai cercando di risolvere attivamente il problema e, in tal caso, si tratta di un particolare sistema operativo, webapp, ecc.?
"dipende". Vedere le faq per consigli su come inserire le domande nel contesto
Questa domanda * sicuramente * necessita di un contesto.
Cosa ha detto @nealmcb. Devi spiegare di più su quale "password predefinita" stai parlando.
Grazie per aver modificato questo per fornire una dichiarazione più chiara di una domanda interessante, @Graham. @Thunderror - cattura ciò che ti interessava?
@GrahamLee - Un altro "grazie per la modifica" qui. Vorrei che ci fosse un modo per votare le modifiche!
@Iszi Sì, un po 'uno spauracchio con il sistema SE. Significa anche che le persone sono più inclini a scrivere la propria risposta facendo riferimento a una risposta esistente, piuttosto che riordinare / aggiungere a una buona risposta esistente.
@GrahamLee - Bene, questo e i requisiti del rappresentante per i privilegi di modifica completi. Sebbene i nuovi privilegi "anon / low-rep" aiutino entrambi i problemi per alcuni, per quegli utenti che sono interessati.
Non è grave: costringi tutti gli utenti del sistema a modificare le loro password.
C'è sicuramente un mercato per uno strumento in grado di controllare un lungo elenco di vari tipi di password predefinite. Molte risposte qui sono "dipende". Allora perché non creare uno strumento che conosca il maggior numero possibile di queste dipendenze, magari un elenco gestito dalla comunità. Controllerebbe la rete per vari hardware e software installati noti per utilizzare password predefinite e segnalerebbe tutte le password che sono ancora quelle predefinite.
Sei risposte:
Rory Alsop
2011-02-02 00:41:16 UTC
view on stackexchange narkive permalink

Molto dipende dal contesto - vedi il commento @nealmcb.

Se è per un sistema operativo, la maggior parte dei sistemi operativi oggigiorno offre un'impostazione per "modifica al primo utilizzo"

Se è per un'applicazione che controlli, non fornire agli utenti una password predefinita: genera per loro una password univoca che scade al primo utilizzo.

Se si tratta di un dispositivo spedito dal fornitore, più complicato, a meno che tu non riesca a convincere il venditore a farlo per te.

In sintesi: varie opzioni differenti, ma è necessario inserire la domanda nel contesto o potresti non ottenere risposte utili. Vedi la sezione "quale sfondo" nelle faq.

+1. Potrebbe anche essere utile definire un criterio interno che richieda dispositivi senza password predefinite o almeno che tali dispositivi possano essere gestiti non appena si connettono alla rete e le password predefinite vengono modificate.
Incognito
2011-02-01 22:25:10 UTC
view on stackexchange narkive permalink

Un modo di cui ho letto è avere una password predefinita che dica che "admin'sname" è una specie di password. La maggior parte degli utenti lo cambia. Riesci a pensare ad altro?

Usa sistemi che non hanno una password predefinita.

Iszi
2011-02-04 17:46:21 UTC
view on stackexchange narkive permalink

Un nuovo utente è registrato. Nel suo pacchetto di registrazione, insieme al suo nuovo nome utente, indirizzo e-mail e così via c'è la sua password iniziale.

Qui è necessario prendere in considerazione diverse cose.

In primo luogo, come vengono trasferiti il ​​nome utente e la password all'utente? Viene trasmesso su supporto cartaceo o va a un intermediario (es .: supervisore o assistente amministrativo) tramite mezzi elettronici? Nel primo caso, dovrebbe essere conservato in una confezione sigillata, opaca, a prova di manomissione, dall'amministratore di sistema all'utente. In quest'ultimo caso, l'amministratore di sistema dovrebbe inoltrare le informazioni tramite e-mail crittografate all'intermediario che quindi utilizza un pacchetto sicuro (come descritto in precedenza) per trasferirle all'utente. Tuttavia, è preferibile che non vi siano terze parti coinvolte in questa transazione - idealmente, solo l'amministratore di sistema e l'utente dovrebbero essere a conoscenza o accedere alla password per la prima volta. Più preferibile sarebbe che solo l'utente lo abbia, ma ciò non è possibile in alcuni scenari, come per gli account di dominio o di posta elettronica.

In secondo luogo, le password per la prima volta dovrebbero essere sempre uniche e non determinabili da qualsiasi informazione univoca per l'utente. Il modo migliore per garantire ciò è utilizzare uno strumento di generazione di password casuali e non riutilizzare le password generate tra gli utenti. Idealmente, il nome utente non dovrebbe avere alcuna relazione con alcuna informazione di identificazione personale.

In terzo luogo, il meccanismo per garantire che le password per la prima volta vengano modificate dipende molto dall'ambiente in cui viene creato l'account. Molti sistemi hanno un'opzione che può essere impostata sugli account per forzare l'utente a cambiare la password al successivo accesso. Se disponibile, è il mezzo più efficace e dovrebbe essere utilizzato. Per i sistemi privi di tale funzionalità, si è molto dipendenti dall'utente per conformarsi alla politica aziendale. Ciò può essere aiutato includendo un avviso chiaro e ben visibile sulla modifica della password nel pacchetto di registrazione. Inoltre, l'utilizzo di una password per la prima volta molto lunga e complessa (circa 20+ caratteri casuali utilizzando tutti i tipi di caratteri disponibili) renderà naturalmente l'utente più propenso a cambiarla.

Infine, se stai prendendo misure appropriate come specificato sopra, il controllo delle modifiche della password potrebbe essere difficile. Se stai utilizzando uno strumento di cracking delle password come Ophcrack o LophtCrack per verificarlo, dovrai aggiungere la password per la prima volta di ogni individuo alla tabella arcobaleno man mano che vengono creati. Alcuni sistemi includono la capacità di controllare l'età della password dell'utente e l'ora dell'ultimo accesso: questi possono essere confrontati con la data di creazione dell'account e la data di inizio dell'utente per vedere se l'utente l'ha modificata al primo accesso. A parte questi metodi, l'elevata sicurezza delle tecniche descritte sopra rende la verifica delle modifiche della password per la prima volta difficile quasi quanto lo sfruttamento della password stessa.

Viene distribuito un nuovo componente hardware. Nello stato di fabbrica ha una password amministratore predefinita in modo da poter accedere e configurare l'hardware.

Ci sono alcune misure da prendere qui, che possono rendere più la password per la prima volta proteggere e contribuire a facilitare e verificare il loro cambiamento.

Il primo elemento è l'acquisizione dei materiali. Prova ad acquistare solo hardware che:

  • Non dispone di una password per la prima volta e non funzionerà finché l'amministratore di sistema non ha configurato una password.

  • Se ha una password per la prima volta, ne utilizza uno generato in modo univoco per ciascun dispositivo e non riutilizzato tra le unità.

Dopo questo, l'unico modo per assicurarsi che vengano modificati è spesso attraverso un controllo pratico del sistema, controllando per vedere se le credenziali per la prima volta sono ancora valide.

Bill Weiss
2011-02-01 23:18:28 UTC
view on stackexchange narkive permalink

Verifica periodicamente le password e assicurati che siano nel dizionario.

lew
2011-02-02 08:06:06 UTC
view on stackexchange narkive permalink

Senza ulteriori informazioni / contesto, un modo potrebbe essere quello di impostare una passphrase lunga e complessa che sarebbe noiosa da digitare ripetutamente.

Se il sistema lo supporta, "modifica al primo utilizzo" sarebbe sicuramente essere preferito.

+1 - Dove non c'è * assolutamente * nessun altro metodo disponibile, cerco di impostare la password più lunga e complessa supportata dal sistema e dal mio generatore casuale. Probabilmente circa 20 personaggi, utilizzando tutti e quattro i tipi di carattere e utilizzando un generatore casuale automatizzato, dovrebbero fare il lavoro.
Dave
2011-02-04 04:14:36 UTC
view on stackexchange narkive permalink

Le nostre password predefinite di sistema sono utilizzabili solo e le password delle nostre applicazioni sono predefinite speciali a seconda dell'applicazione. Sappiamo come appare la password predefinita in ogni applicazione, quindi è facile cercare le impostazioni predefinite e raggiungere le parti offensive.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...