Una volta la password era uguale per tutti, finchè non si è cominciato a differenziarla di computer in computer: è iniziata l'era dei post-it appiccicati al monitor, in modo che chiunque potesse accedere.
Finchè un giorno il legislatore ha deciso di imporre vincoli e best practice affinché le password non fossero di pubblico dominio.

E' cominciata l’era delle password personali

Al giorno d'oggi nessuno sa (o almeno non dovrebbe) le password degli altri.
Eppure a chi gestisce i sistemi IT succede ancora di dover chiedere la password agli utenti...
Per capire quanto questa abitudine sia frequente e in che modalità avvenga, abbiamo sottoposto ai nostri rivenditori un sondaggio.


Il 24% sostiene di non chiedere mai la password ai propri clienti.
Ciò significa che sono state impostate delle policy (scritte o de facto) in base alle quali ognuno gestisce la segretezza della propria password e non la divulga mai. Inoltre tutte le applicazioni sono integrate e poggiano su un unico sistema di autenticazione, non richiedendo così di inserire password diverse da quella di login: una best practice ottima per chi si deve occupare della manutenzione.

Il 38% risponde che capita di chiedere la password ai clienti, anche se raramente.
Andrea, per esempio, spiega che la richiesta di password all’utente capita quando l'utente non è davanti al desktop per digitarla in prima persona. In generale può succedere perché le applicazioni non sono integrate con altri sistemi tipo Active Directory (che quindi potrebbero automaticamente prendere le credenziali dell’utente che sta usando il PC in quel momento).
 
Chi invece chiede la password ai propri utenti spesso e volentieri è il 29%: il motivo è che questo è il metodo più veloce per risolvere i problemi.

Infine il 9% afferma di chiedere sistematicamente le password ai proprio clienti, pur essendo consapevole che si tratta di un potenziale buco di sicurezza. Come afferma Mario: "Con il cliente c'è un rapporto di fiducia tale che al fine di risolvere i suoi problemi ti affida le sue chiavi di casa". Senza contare il fatto che spesso le password sono molto semplici da indovinare: il nome del figlio, del cane, la data di nascita…
(A questo proposito, ecco come creare e memorizzare password robuste).
Qual è il mio consiglio?

Benché io capisca la comodità di farsi dare dal cliente le credenziali di accesso per eseguire manutenzione sui computer, mi rendo anche conto della potenziale pericolosità dell’operazione: quando un amministratore di rete si collega con le credenziali di un utente, è come se fosse l’utente stesso a lavorare, qualsiasi cosa avvenga.
Il mio consiglio è di utilizzare questa procedura:
  • formalizzare l’intervento con una notifica (via email o a video);
  • eseguire un cambio password, meglio se con strumenti automatici, ed eventualmente chiedere all’utente di farlo;
  • eseguire l’intervento;
  • configurare i sistemi in modo che al successivo accesso venga chiesto un cambio password forzato.
Personalmente apprezzerei molto un fornitore che non solo mi risolva i problemi, ma che adotti anche un formalismo per definire i limiti del proprio intervento.
E tu?


Condividi sui Social Network