pat&mir wrote: > in parole povere, il datore in certi casi può conoscere le crednziali, però
Si', solo quando tali credenziali sono l'unico modo per poter accedere a un dato, e.g. quando sono le componenti indispensabili per la decifratura dello stesso o casi simili. In tutti gli altri casi: > comunque scritti in un regolament condiviso, e soprattutto che una volta > aperta la busta Quella busta _non deve esistere_ , e l'allegato B della 196 _esplicitamente vieta che quella busta esista_. E' uno dei santi cambiamenti che ci sono stati rispetto alla 675. > che è la ratio della norma quando prevede credenziali note solo a chi le > utilizza (note non vuol dire non accessibili ad altri, Questo e' un sofisma. La 196 e' inusualmente chiara: - Se possibile, l'incaricato SI CAMBIA DA SOLO la password, e quindi evidentemente e volutamente la conosce SOLTANTO lui - SOLO SE NON SI PUO' FARE ALTRIMENTI, si fa in modo che altri possano accedere a quella password (ad esempio con la famigerata busta). Se si puo' fare altrimenti, e cioe' nel 99% dei sistemi, occorre e basta che si diano delle linee guida per l'uso di un account amministrativo di bypass, SENZA rendere ne' note, ne' accessibili, ne' conoscibili le password degli utenti. Pensavo che questo argomento l'avessimo dibattuto a morte nel 2004... -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [EMAIL PROTECTED] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
