Accueil du site > Les articles > les mots de passe par omission : Trou béant dans la sécurité
Version à imprimer Enregistrer au format PDF

les mots de passe par omission : Trou béant dans la sécurité

mercredi 15 septembre 2004, par Didier Encinas Visites  1442 Première mise en ligne le jeudi 11 décembre 2003.

Définition : mot de passe par omission : utilisateur = mot de passe


La commande ANZDFTPWD permet de les lister dans un spool.

De plus, cette commande permet :
-  Soit de désactiver le profil
-  Soit de la rendre « périmé », pour forcé l’utilisateur à changer de Mot de passe à la prochaine connexion.

Un inconvénient supplémentaire aux mots de passe par omission

Une commande les liste sur un SPOOL : ANZDFTPWD

Vous allez me dire que je me répète,
mais cette commande constitue un spool des utilisateurs
qui ont pour mot de passe leur code utilisateur.

Donc quelqu’un qui connaît cette commande (et qui y a droit certes) peut se loguer sur n’importe lequel des profils inscrit sur cette liste puisque MOT DE PASSE = PROFIL.

P.-S.

L’existence de cette commande constitue donc également un risque dans la sécurité de l’AS/400.

Enfin, constituait : car maintenant vous savez qu’elle existe !