Absolument pas!

ISO 27001 nécessite la gestion des mots de passe et nécessite des politiques de mot de passe. Quelqu'un dans votre entreprise interprète cela comme ayant besoin d'inspecter tous les mots de passe en clair pour s'assurer qu'ils respectent la politique de mot de passe.

Mais c'est une manière terrible de faire cet audit. La technologie doit être en place pour forcer les gens à se conformer aux politiques de mot de passe lorsqu'ils créent des mots de passe, et non pour les inspecter à la main une fois qu'ils sont créés.

Il existe une grande série d'échecs s'ils veulent auditer les mots de passe en les regardant ...

Ce n'est pas vrai. Outre le fait qu'un administrateur système devrait être en mesure de modifier votre mot de passe en cas de besoin, il enfreint probablement les contrôles mêmes qu'il prétend appliquer.

C'est leur travail de s'assurer que des contrôles sont en place autour des mots de passe, mais il est de la responsabilité des utilisateurs de garder leurs mots de passe confidentiels.

Tout mot de passe administrateur partagé doit être géré de manière centralisée par votre administrateur système.

Un exemple de politique de mot de passe conforme

Ce que dit ISO27001 sur les mots de passe

De ( https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according- to-iso-27001 /) il y a un résumé sur les mots de passe des utilisateurs:

Responsabilités de l'utilisateur (sous-section A.9.3)

Ceci est une sous-section très courte (avec un seul contrôle) qui vous oblige à définir comment les utilisateurs garderont leurs informations d'authentification secrètes (par exemple, protéger leurs mots de passe). Cela se fait généralement via un document comme la politique d'utilisation acceptable, qui définit des règles comme celles-ci: n'écrivez pas les mots de passe, ne les divulguez à personne, n'utilisez pas le même mot de passe dans différents systèmes, etc.

En gros, si un utilisateur révèle son mot de passe, l'entreprise échoue à l'audit.

Importance des mots de passe

Votre mot de passe est plus important que votre signature. dans les vieux jours. Parce que jadis, votre signature pouvait être falsifiée, mais de nos jours, votre mot de passe est invisible (du moins en théorie).

Votre mot de passe authentifie votre identifiant. Votre nom d'utilisateur vous donne certains pouvoirs, mais limités, dans les domaines de votre entreprise. Les contrôles comptables exigent la séparation des tâches. Par exemple, un utilisateur qui approuve les bons de commande ne peut pas approuver la réception des marchandises. Un utilisateur qui approuve la réception des marchandises ne peut pas approuver les factures des fournisseurs.

Si un criminel (ou un auditeur ISO27001 ou un informaticien) avait accès aux trois mots de passe, il pouvait créer un faux compte fournisseur, configurer un faux bon de commande, configurer une fausse réception de marchandises et payer des fonds sur le faux compte du fournisseur.

Ceci est contraire au SMSI. Je suis certifié audit ISO27001 et ce n'est certainement pas là. Vous avez deux groupes de mots de passe:

1. Personnel: aucune de leurs préoccupations
2. Entreprise: le SMSI oblige les administrateurs à mettre en œuvre des politiques de mot de passe, vous oblige à changer votre mot de passe pour respecter leurs politiques ET l'auditeur doit vérifier la politique et la manière dont elle est mise en œuvre / forcée

Il peut s'agir de l'audit de la politique "ne partagez votre mot de passe avec personne", mais il n'y a jamais jamais de raison de donner votre mot de passe. Pour s'assurer que la politique de mot de passe est appliquée, ils peuvent simplement forcer de nouveaux mots de passe dans les règles de la politique.

Vous pouvez trouver cette question sur ServerFault d'une certaine utilité: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him -the-information-he-want? s = 1 | 2.3233

Je suis d'accord avec d'autres commentaires ici qui suggèrent que si c'est ce dont ils "ont besoin", il vaut mieux qu'ils réinitialisent tout mots de passe à quelque chose qu'ils ont choisi et transmettent ces informations à leur auditeur (dans le monde réel, ils ne devraient pas donner de mots de passe à l'auditeur).

En vérifiant Wikipedia ( https://en.wikipedia.org/wiki/ISO/IEC_27001:2005), je peux voir une section sur la gestion des mots de passe, qui commence par dire:

La gestion des mots de passe traite de l'attribution, de la réglementation et du changement des règles de mot de passe de l'organisation

Je soupçonne que l'accent devrait être mis sur les «règles», pas sur «mots de passe».

Temps de réponse controversé ...

• Nombre de fois 27001 audité: 3 Je pense, je ne compte pas vraiment moi-même.
• Nombre de fois 27001 (ou 9000 d'ailleurs) a nécessité d'impressionner et de revoir la sécurité du stockage des mots de passe (au niveau personnel et institutionnel): trop pour compter.
• Nombre de fois 27001 ou 9000 m'a demandé pour fournir directement un mot de passe à quelqu'un: 0.
• Nombre de fois où 27001 ou 9000 m'ont demandé de stocker un mot de passe à un endroit où d'autres personnes peuvent y accéder: des dizaines de fois.

L'important ... Notre audit nous oblige à documenter les mots de passe que d'autres personnes devraient légitimement avoir, cela nous oblige à documenter qui devrait être en mesure de se connecter à certains systèmes de haute sécurité, et cela nous oblige moyen de fournir des mots de passe aux gens. Le détail clé est que cela ne nous oblige pas à le faire directement ou en clair.

Supposons que vous ayez un système de gestion des mots de passe interne qui crypte au repos, crypte en transit, vérifie l'accès aux journaux et impose des restrictions accès ... c'est une 27001 méthode acceptable de gestion des mots de passe. L'audit 27001 dit que vous devez partager un mot de passe avec quelqu'un, cela passe par là.

Donc, une sorte de mots de passe que vous devriez partager? Le moins possible.

• Vous identifie-t-il personnellement à quelqu'un? Vous ne devriez certainement pas le partager, personne ne devrait s'y connecter.
• Pouvez-vous avoir plusieurs connexions au système? Créez-les et ne les partagez pas.
• Un senior peut-il se connecter au système en tant qu'utilisateur différent et réinitialiser le mot de passe? Vous ne devriez probablement pas le partager, et vous devriez probablement utiliser des identifiants individuels de toute façon.
• Vous ne pouvez pas créer plusieurs comptes ou les créer, mais ils ne peuvent pas partager certaines exigences importantes? Ok, très bien, stockez ces mots de passe, mais vous ne devriez vraiment pas utiliser ce système de connexion.

Fondamentalement, de bonnes politiques exigent juste assez de stockage des mots de passe de sorte que la seule personne verrouillée de quoi que ce soit si un employé est frappé par un bus est cet employé. sont stockés quelque part en tant que politique de sécurité ... il ne peut pas vous demander de stocker vos informations d'identification personnelles AD ou helpdesk.

En bref, les mots de passe ne doivent être partagés avec quelqu'un que si le besoin est justifié personne doit également se connecter à ce compte, et si ce besoin ne peut pas être satisfait via une méthode qui ne vous oblige pas à fournir ledit mot de passe. Si les deux points ne sont pas satisfaits, soulevez un problème de conformité avec le comité de sécurité de l'entreprise.

J'espère que cela fournit une vue légèrement plus réaliste et non binaire du sujet. Il existe une raison de fournir des mots de passe, il est plutôt important de savoir pourquoi quelqu'un pense que vous devriez les fournir avant de dire oui ou non à la demande.

Pour être honnête, mon travail consiste à gérer et / ou à définir occasionnellement des mots de passe d'administrateur principal pour les ressources de l'entreprise. La plupart des personnes auditées par 27001 n'ont pas cette responsabilité professionnelle.

Bien sûr que non, comme l'ont souligné d'autres réponses. Vos premiers efforts devraient viser à changer l’avis du demandeur.

Si, malgré vos efforts, vous êtes en quelque sorte obligé de fournir votre mot de passe - recevez cette demande par écrit.

Vous pouvez alors répondre , également par écrit, que vous fournirez au demandeur ces informations dans une enveloppe scellée et qu'à partir de ce moment vous n'êtes plus responsable des actions effectuées via ce compte, dont le mot de passe vient d'être rendu public à la demande de la direction.

Il est probable que vous ayez par le passé accepté (directement ou indirectement) que vous êtes responsable du compte, auquel vous accédez par un mot de passe que vous êtes le seul à connaître. Vous avez probablement également accepté de ne pas partager ce compte.

Ils peuvent et doivent créer un programme dans lequel vous entrez votre mot de passe actuel et il vérifie s'il répond aux exigences ISO. Le programme pourrait également vérifier par rapport à la base de données pour vérifier si le mot de passe est vraiment le vôtre.

Tout le reste est de la folie et rend effectivement votre mot de passe sans valeur s'il est accessible par trop de personnes, bien que les administrateurs puissent probablement accéder à vos comptes. façon ou une autre de toute façon. Qui sait à quoi vous utilisez votre mot de passe.

Tous les logiciels OS incluent aujourd'hui des méthodes pour appliquer des règles de mot de passe plus strictes, y compris celles utilisées pour la sécurité du gouvernement. Inspecter les mots de passe eux-mêmes est un anathème pour une bonne sécurité.