M wrote:
> Okay. Jeg synes det virker helt forkert, at det ikke gælder for
> Administrator-kontoen. En af grundende er vel netop forebyggelse
> af et brute force attack på alle konti, og hvorfor så gøre det
> nemt at knække Administrator-kontoen og sværere for de andre? Hvis
> man kommer ind som Administrator, har du jo alligevel adgang til
> hele computeren.
Jeg ved ikke hvorfor man har valgt den løsning, men jeg kan komme med
at par gæt.
Som Alex også nævner, så kan man løbe ind i problemer med at blive låst
fuldstændigt ude at sig eget system, hvilket ikke er så praktisk.
Derudover gælder det som regel, at administratoren af et system er mere
klar over risikoen ved et svagt password end brugerne og det kan derfor
være en fordel at have længere lockout-tider for brugere, således at
den tid det tager at gætte selv et meget svagt password forlænges
betydeligt.
Har man et stærkt password på en konto, og skifter man dette
regelmæssigt (60 dage, for eksempel), er den forkortede lockout tid
"sikker nok" set i forhold til det antal forsøg der vil være krævet for
at have en reel chance for at gætte det pågældende password. Og hvis
man, som anbefalet, aldrig bruger administrator-kontoen til at logge på
maskinen, så vil eventuelle login-forsøg fremstå tydeligt i eventloggen
således at man kan gribe ind overfor brute-force angreb der strækker
sig over lang tid.
Som en sidste faktor, er det normalt også lettere for en angriber at få
fat i login-navnet på en almindelig bruger end det er for ham at få fat
i login-navnet for Administrator-kontoen, hvis den er omdøbt.
--
Niels Callesøe - nørd light
pfy[at]nntp.dk -
http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
-->
http://www.digitalforbruger.dk