Privacy, legittimo cambiare la password

Il Garante sottolinea che il dipendente di un'azienda ha il diritto di cambiare la password di accesso al proprio computer. Ma c'è modo e modo

Roma - I dipendenti possono cambiare la password del computer che è loro affidato per lo svolgimento delle attività lavorative: questo il senso di quanto ribadito ieri dal Garante per la privacy. Il Garante ha risposto ad un quesito posto da alcuni dipendenti di una ditta privata, entrati in conflitto con il management proprio dopo aver cambiato le password d'accesso alle proprie postazioni.

In particolare, il Garante ha spiegato che sulla base della legge sulla privacy (675/96) e dell'obbligo ad una corretta custodia dei dati, è necessaria l'adozione di una password, una parola chiave, per l'accesso alle informazioni. Questa parola chiave deve essere trasmessa al responsabile della gestione dei dati nell'azienda nei modi appropriati, come in busta chiusa, per evitare usi non autorizzati della password stessa.

Per queste ragioni, sostiene il Garante, il dipendente può modificare quando possibile e quando lo desideri la password del proprio sistema. Ma in questo caso deve comunque comunicare preventivamente al responsabile l'avvenuto cambiamento. Al responsabile deve anche trasmettere la nuova password. Questi, infatti, deve poter accedere al sistema in caso di malattia o assenza del dipendente.
TAG: privacy
20 Commenti alla Notizia Privacy, legittimo cambiare la password
Ordina
  • Mi sembra che a livello di regole di sicurezza siamo piuttosto messi male...
    Le password sono e debbono rimanere STRETTAMENTE PERSONALI. Comunicare a chicchesia la propria password va contro le più elementari norme di sicurezza. Gli amministratori di sistema non hanno bisogno di conoscere la password degli utenti, perchè hanno il controllo totale delle macchine. Le password sono poi state inventate per attribuire ad un determinato soggetto le azioni svolte su una rete. Se la password comincia ad essere condivisa (anche se tra due persone) non si avrà più un riferimento di chi ha fatto cosa.
    Sono deluso...,profondamente deluso...

    non+autenticato
  • sami risponde:

    - Scritto da: Sysadmin
    > Mi sembra che a livello di regole di
    > sicurezza siamo piuttosto messi male...

    io l'ho interpretata in questo modo
    dato che la notizia e' stata cosi' trasmessa

    -> in particolare, il Garante ha spiegato che sulla base della legge sulla privacy (675/96) e dell'obbligo ad una corretta
    custodia dei dati, è necessaria l'adozione di una password,una parola chiave, per l'accesso alle informazioni. -<

    <> intendeva nei casi in cui l'utente non accede tramite password????

    dato che e' ovvio che in un sistema informatico
    gestito da un'amministratore ci siano delle regole di gestione di password e permessi assegnati ad ogni utente.

    -> Questa parola chiave deve essere trasmessa al responsabile della gestione dei dati nell'azienda nei modi appropriati, come in busta chiusa, per evitare usi non autorizzati della password stessa.

    <> questa e' la norma di una normale amministrazione, di gestire, secondo i casi la lunghezza della password e la scadenza delle medesime.<>

    sono d'accordo con te sysadmin
    ma quale' la differenza tra poter
    cambiare la password, ed comunicarla ad un'amministratore? = la medesima.
    dato che e' solo quest'ultimo in grado di farlo.
    oltre a chi gli siano stati assegnati i diritti.
    ed e' buon senso non farla scegliere all'utente
    dato che trovera' password ovvie ed del tutto
    Inefficienti.

    il resto dell'annuncio non ha senso.
    dato che le password che l'utente ha diritto di modificare vengono cmq. gestite dal SysAdmin
    almeno che', tutti gli utenti diventino amministratori, mandando a farsi fottere non solo la sicurezza, del proprio pc, ma dell'intera azienda.

    ciao
    sami
    non+autenticato
  • > io l'ho interpretata in questo modo
    > dato che la notizia e' stata cosi' trasmessa
    > (................)
    > ciao
    > sami
    Cercherò di essere più chiaro.
    In un sistema di rete che si rispetti, il SysAdmin non ha ne il diritto ne la necessità di conoscere le password degli utenti. Esse sono scelte e immesse direttamente da quest'ultime. Per quanto riguarda la possibilità che vengano scelte delle "password ovvie" è il sistema stesso che, opportunamente settato, rifiuterà ad esempio l'immissione di password inferiori ad una certa lunghezza o nei quali non siano previsti dei numeri o dei segni di interpunzione. Quindi ribadisco che non c'è nessuna esigenza di conoscere le password degli utenti anche se queste sono custodite in busta chiusa!
    La password è segreta. Se si ha la possibilità di conoscerla in due non più segreta!
    Ciao
    non+autenticato
  • sui sistemi seri tutto funziona facilmente, da decenni prima di questa leggina...
    su AS400 (IBM) gli utenti con privilegi amministrativi hanno la facoltà di cambiare la password a tutti.
    ma NON possono conoscere la password.

    Quindi non c'è bisogno di chiedere a destra e manca, *se c'è bisogno*, e in tutti gli altri casi, gli unici a conoscere e tutelare la password, sono i proprietari della medesima.

    In caso di "abuso" da parte dell'amministratore, se ne accorgerebbero in 10 secondi, perché non riuscirebbero più ad accedere: non conoscendo la password, l'amministratore, che ha la facoltà di farl, la cambia: a questo punto non conoscendola, non può ripristinarla.

    Trasparenza e correttezza obbligatorie!
    Logica e funzionalità, sicurezza: tutte storie che sulle reti cazzute sono sempre esistite.

    non+autenticato
  • Anche su NT.. e su qualunque altro sistema di rete ad amministrazione centrale.
    su windows 9X non esiste pwd, vale solo per il desktop e le impostazioni personali, un "amministratore" la può cancellare in qualunque momento senza saperla.

    A quali sistemi non seri ti riferisci ?

    Conoscere prima di parlare.

    PS: Naturalmente considero AS infinitamento più sicuro e stabile di NT

    - Scritto da: bontà moderna
    > sui sistemi seri tutto funziona facilmente,
    > da decenni prima di questa leggina...
    > su AS400 (IBM) gli utenti con privilegi
    > amministrativi hanno la facoltà di cambiare
    > la password a tutti.
    > ma NON possono conoscere la password.
    >
    > Quindi non c'è bisogno di chiedere a destra
    > e manca, *se c'è bisogno*, e in tutti gli
    > altri casi, gli unici a conoscere e tutelare
    > la password, sono i proprietari della
    > medesima.
    >
    > In caso di "abuso" da parte
    > dell'amministratore, se ne accorgerebbero in
    > 10 secondi, perché non riuscirebbero più ad
    > accedere: non conoscendo la password,
    > l'amministratore, che ha la facoltà di farl,
    > la cambia: a questo punto non conoscendola,
    > non può ripristinarla.
    >
    > Trasparenza e correttezza obbligatorie!
    > Logica e funzionalità, sicurezza: tutte
    > storie che sulle reti cazzute sono sempre
    > esistite.
    >
    non+autenticato


  • > PS: Naturalmente considero AS infinitamento
    > più sicuro e stabile di NT

    Non c'è bisogno di nessuna considerazione: questo è un dato di fatto.
    Dimentichi però infinitamente più semplice da usare. Amministrare un As400 è quanto di più facile ci possa essere. Fa tutto lui.
    Per assurdo, una volta configurato, basta che ci sia una persona che conosca come gestire gli utenti e non serve altro. Ovvio che tutto ha un prezzo......
    non+autenticato
  • > > PS: Naturalmente considero AS
    > infinitamento
    > > più sicuro e stabile di NT
    >
    > Non c'è bisogno di nessuna considerazione:
    > questo è un dato di fatto.

    Mi piace l'arroganza, mi insegni?
    non+autenticato
  • Sono un gestore di rete di una azienda da pochi mesi ed i suoi dipendenti spostano migliaia di $ al giorno, sto raccogliendo proprio in questi giorni la loro richieta che le password "private" non siano in mano alla direzione e giustamente neanche a me che potrei essere obbligato a divulgarla, che cosa centra se il dipendente è ammalato o in ferie, chiunque lo debba sostituire entrerà con la sua password e non con quella dell'assente e per quanto riguarda ai consentiti controlli che può effettuare sul lavoro dei dipendenti lo farà utilizzando la password di controllo creata allo scopo di poter solo leggere i files e non poterli modificare.
    Non è possibile che in un settore delicato come quello della sicurezza, si legiferi o si interpreti la realta, senza una sana analisi tecnica firmata e pubblicata dall'ing. XXX O dal perito YYY.
    Ma...
    non+autenticato
  • A proposito di password inviate con busta, proviamo a fare alcune considerazioni:
    - 150 PC in azienda con password
    - 150 salvaschermi con password (necessari perchè non si puo' spegnere il computer tutte le volte che ci si assenta)
    - 150 password per l'accesso alla rete
    - 100 password relativi alle applicazioni specifiche (programma paghe, contabilità, ecc.)
    Nell'ipotesi ragionevole di fare modificare la password ogni mese l'aspettativa di buste circolanti annualmente nella mia azienda è di (150+150+150+100) * 12 = 66.600 buste.
    Vi lascio immaginare cosa comporta la gestione di questo numero di buste. Se poi l'azienda ha un numero superiore di utenti il problema si ingigantisce.
    E poi a cosa serve l'adozione di strumenti di crittografia delle password se queste vengono gestite con un sistema che obiettivamente è meno sicuro ?
    non+autenticato
  • Ragazzi, il garante deve giustificare il suo stipendio..non bisogna stupirsi di nulla.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)