Off Topic

prego_089 · 06.06.2006, 12:09

Hallo, ich habe mal ne Frage an euch.
Heute wurde an meinem Arbeitsplatz mein Userpass ohne meine Erlaubniss einfach zurückgesetzt. Man beachte, dass mein Userkonto zur Gruppe der Admins gehört und ich daher viel mit dem Konto anstellen kann. Ich habe ein Adminkonto weil ich zwar selber nicht in der Technik bin, dennoch als Programmierer so einiges an Freiheit genießen möchte

Daher habe ich statt einem einfachen vorgegebenen (Pass=Nachname)Passwort mein eigenes alphanumerisches genommen. Die Schäden die man mit solch einem Konto anrichten könnten, wären enorm (Vollzugriff auf Domäne, sämtliche Shares ...)
Nun läuft auf meinem PC aber auch ein Tool, dass ich benutze um regelmäßig Reports für Kunden durchzuführen. Da aber viele Leute diese Reports brauchen, habe ich das Tool auf einen externen Rechner auslagern lassen, welches sich bequem über VNC bedienen lässt. Genau aber heute Morgen als ich nicht anwesend war, wurde mein Userpass zurückgesetzt weil eben jene Leute einen Report gebraucht haben und trotz technischer Anweisung anstatt des outgesourcten Rechners meinen benutzt haben. Da krieg ich doch einen Kollapps. Desweiteren wurde mir noch gesagt, dass es nicht geht, dass ich es mir erlaube in einem so großen Unternehmen ein eigenes Passwort zu setzten. Weiterhin wurde von mir verlangt, dass ich mein Linuxrootpasswort auch auf Default, sprich meinen Nachnamen einstellen soll. Dass dadurch jeder potentieller Angreifer damit Vollzugriff auf ein heterogenes Netzwerk bekommt, sollte wohl jedem klar sein. Auf jeden Fall macht mich diese Dummheit soo übels wütend.

Also was habe ich nun gemacht?

Ich habe eine alphanumerisches Passwort benutzt um die Gefahr auszuschließen dass jemand an mein Adminkonto rankommt und das in Absprache mit der Technik.

Hab eine Anwendung outgesourct um es allen zugänglich zu machen ohne die Sicherheit des Netzwerks zu gefährden.

Das gleiche gilt besonders für Linux.

Evtl reagiere ich etwas übertrieben aber warum bekomme ich An****** obwohl ich versucht habe die Sicherheitsstandarts zu erhöhen? Dabei ist mein Vorgesetzter auch ein ITler bzw. Fachinformatiker^^ Ach so wunderbar kann ne Woche beginnen.

Elkantar · 06.06.2006, 12:52

Ich bin da ganz Deiner Meinung. Ich erinnere nur Kevin Mitnick und Social Engineering. Da sind denn ja Tür und Tor offen. Unverantwortlich.

Gruß
Elkantar

Dr.Melzer · 06.06.2006, 12:56

Is wohl eher OffTopic.

Daher verschoben.

onewayticket · 06.06.2006, 12:59

manometer das kann doch wohl nicht wahr sein den nachnamen als pwd zu benutzen ich zweifele ernsthaft an der kompetenz eurer admins.
ich kann deine entrüstung absolut nachvollziehen

MfG
Onewayticket

notesuser3 · 06.06.2006, 13:06

Gibt es in der Firma einen Sicherheitsbeauftragten? Dem solltest Du das mal erzählen.

Da es bei Linux nur ein Rootpasswort gibt, ist es nichts ungewöhnliches, dass eventuell mehrere Leute es sich teilen. Es aber auf den Nachnamen zu setzten ist sowas von dämlich. Eine andere alternative unter Linux ist das Einrichten von Users mit Rootrechten, dann können mehrere Leute als admin arbeiten, benötigen aber ein eigenes Passwort. In jedem Fall gibt es eine Lösung, die es nicht erfordert, dass alle dein Passwort kennen.

Gruß

Notesuser3

humpi · 06.06.2006, 13:09

Hi,
man sollte bei dieser Diskussion nicht vergessen, über dem Administrator kommt noch die Geschäftsleitung.

onewayticket · 06.06.2006, 13:22

@humpi
das ist richtig
aber dann hat der zuständige mensch der geschäftsleitung nicht genau erklärt was das für ein gefahrenpotenzial birgt.
auf der webseite sicher-im-netz.de gibt es entsprechendes material um zu überzeugen.

mfg
onewayticket

GerhardG · 06.06.2006, 13:28

Zitat von notesuser3

Da es bei Linux nur ein Rootpasswort gibt, ist es nichts ungewöhnliches, dass eventuell mehrere Leute es sich teilen. Gruß

es ist kein problem mehrere root user anzulegen.

notesuser3 · 06.06.2006, 13:38

Zitat von GerhardG

es ist kein problem mehrere root user anzulegen.

das meinte ich, hatte mich nicht gut ausgedrückt.

Gruß

Notesuser3

lefg · 06.06.2006, 13:38

Zitat von prego_089

Hallo, ich habe mal ne Frage an euch.
Heute wurde an meinem Arbeitsplatz mein Userpass ohne meine Erlaubniss einfach zurückgesetzt.

Evtl reagiere ich etwas übertrieben aber warum bekomme ich An****** obwohl ich versucht habe die Sicherheitsstandarts zu erhöhen? Dabei ist mein Vorgesetzter auch ein ITler bzw. Fachinformatiker^^

Bleibe dabei ganz ruhig!

Wer hat das Passwort zurückgesetzt, wer hat es angeordnet?

Gibt es im Unternehmen eine Richtlinie für Benutzernamen, Handhabung der Passwörter oder ähnliches?

Desweiteren wurde mir noch gesagt, dass es nicht geht, dass ich es mir erlaube in einem so großen Unternehmen ein eigenes Passwort zu setzten.

Das ist nach meinem Dafürhalten absoluter Schwachsinn. Das Verwenden eines selbstkreierten Passwortes nach Unternehmensregeln ist internationaler Standard.

Falls der Vorgesetzte ein anders Verfahren anordnet, bitte doch höflich um eine schriftliche Weisung! Falls der Vorgesetzte berechtigt ein anders Verfahren anordnet, dann ist es seine Verantwortung, er wird dann ja auch kein Problem haben, eine Weisung schriftlich zu erlassen.

Ich habe während meiner Dienstzeit bei der Bundeswehr mehrmals Vorgesetzte um Unterschrift zu von mir erstellten Aktennotizen gebeten. Einige Vorgänge waren damit ganz schnell vom Tisch.

Man muss sich die Frage stellen, was lohnt sich? Lasse ich den Kerl ****e sterben? Erfährt er von mir noch die Uhrzeit oder die Notrufnummer?

Wie wichtig ist diese Geschichte mit dem Passwert überhaupt (für dich)?

Off Topic

Die MCSEboard.de Member Lounge: Small Talk Forum — Bitte keine technischen Fragen