J'ai remarque que la moitié des "admins réseau" qui m'entoure conserve un base de données avec les mots de passe des utilisateurs.
 
Je le fais aussi(AS400/Win) et ils le savent...
 
Mais je me demandais si c'était légal...
   
 
quelqu'un s'y connait un peu?

S'il y a une charte de security Policy and Standards comme celle ci par ex
 
http://cio.uiowa.edu/policy/EnterprisePasswordv2-3.htm
 
et qui est typique de ce qui est deploye dans les grosses boites, la question ne se pose meme pas

Il n'y a pas de charte précise dans ma boîte à ce sujet

en France c'est la CNIL qui s'occupe de ça, non ?

Comment fais-tu pour connaitre les mdp de tes users ? Tu le définis pour eux sans qu'ils aient la possibilité de le changer ou il existe un truc pour récup les mdp d'un AD ?

Perso les mdp des users je veux surtout pas les connaitre ("dit m'sieur l'admin j'ai oublié mon mot de passe, c'est quoi ?" ), je definit des regles de longueur et de complexité mais apres chacun choisit son propre mot de passe, un admin pourra de toutes facons acceder a tout ce qu'il a envie sans les connaitre.

 
non pas exactement, l'admin a la possibilité de changer le mot de pass.
 
donc au final ça revient au meme.
 

Alors en l'occurence à la création du compte, les utilisateurs me filent les mdp et j'ai une base de données...
 
C'est un système qui est en place depuis bien longtemps ici et ça m'intrigue quand même...
 
D'un autre côté ça me permet de ne pas me délogguer à chaque fois pour me relogguer en admin(et pour tester le poste dans les conditions de l'utilisateur à l'install(permissions etc).
 
ça m'évite aussi les "han, mais mon mot de passe ne marche plus/c'est quoi mon mot de passe??"
(j'y ai déjà droit sur l'AS400, c'est fou le nombre de personne qui arrivent pas à taper un mot de passe pipo en 3 essais, re )
 
enfin seule la moitié du parc est en 2K/XP aussi
 
 
En fait c'est surtout la légalité de la chose qui m'intrigue et la politique appliquée dans d'autres sociétés?
 

Je vois pas en quoi y'aurais un probleme legal a conserver les mots de passe surtout si les utilisateurs sont prévenus. Le mot de passe est la pour authentifier les utilisateurs et les empecher  (ou des gens exterieurs) de faire autre chose que ce qu'ils ont le droit le faire, c'est pas la pour les proteger des mechants admins ou des patrons trop curieux.

Il est parfois indispensable d'avoir une liste users/mdp dans le cas de domaines distincts ( DC distincts  donc création par script sur chaque domaine à partir d'une liste),  
lorqu'on utilise un système linux dans un réseau 2000,...
bref pour permettre aux utilisateurs d'avoir le même mdp partout.
 
Et puis cela permet de dépanner le cas :  
"mon mot de passe y marche pas" ( traduction : "je suis trop *** pour retenir quelques lettres ou chiffres" )
 
sans être obligé de réinitialiser le mdp.

De toute façon ce n'est pas un mot de passe qui arrette un admin   du fait que l'admin a tous les pouvoirs

Bah je suis également de l'avis que c'est bon si les utilisateurs sont prévenus mais on m'a dit que "légalement" on pourrait être emmerdé un jour ou l'autre
 
les admins ici présents, quelles sont vos politiques en la matière?

chez nous (collège) les mdp sont définis par moi (enfin le logiciel que j'utilise )
 
impossibilité de le changer pour les users

Bheu... Moi j'en connais une bonne partie (70%) par coeur. Au pire si j'en ai besoin je le vire et je demande d'en retaper un au prochain login...
 
 
D'ailleur, en réfléchissant, c'est incroyable le nombre de mot de passe que je connais de tête.  
Impressionnant.

Si je devais connaitre 70% des mdp, cela ferait plus de 500 mdp dans ma tête

c claire...
j'ai un peu moins de client..

hum les mdps j'en ai pas besoin
 
si je dois les resetter, comme ca mes users le save
cote vie privée et messagerie, c'est mieux
 
y a que pour les collegues et/ou superieurs que ca sert
 
donc, vala

chez nous pour tout nouvel user un mot de passe basic est attribué et l'user doit le changer à la premier ouverture de session. bien sur il y a des normes de complexité et de longueurs... Si un user perd son mot de passe je remet un mot de passe basic et il doit le changer à la premier ouverture de session, vla!!

 
ou une base de données