home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / std_unix / volume.24 / text0038.txt < prev    next >
Encoding:
Text File  |  1991-09-03  |  3.0 KB  |  68 lines
  1. Submitted-by: jmcarli@ns.PacBell.COM (Jerry M. Carlin)
  2.  
  3. In article <1991Jul3.193636.8734@uunet.uu.net> epstein@trwacs.fp.trw.com (Jeremy Epstein) writes:
  4. >Submitted-by: epstein@trwacs.uucp (Jeremy Epstein)
  5. >In article <1991Jul2.224427.784@uunet.uu.net>, peter@Sugar.NeoSoft.com (Peter da Silva) writes:
  6. >> Submitted-by: peter@Sugar.NeoSoft.com (Peter da Silva)
  7. >> 
  8. >> In article <1991Jun28.192719.17816@uunet.uu.net> jmcarli@ns.PacBell.COM (Jerry M. Carlin) writes:
  9. >> > The BIG problem I see with 1003.6 is lack of I&A; identification and
  10. >> > authentication...
  11.  
  12. >I'm a member of the 1003.6 working group, but speaking for myself only...
  13. >
  14. >All of these ideas are good ones, but they miss the point.  1003.6 is
  15. >extending 1003.1 and 1003.2 to add security relevant features.  1003.1
  16. >has no mention of either login or passwd; 1003.2 mentions passwd (although
  17. >I'm not sure that it will make it into the standard), but with many weasel-
  18. >words...
  19.  
  20. Then 1003.6 is mostly useless and since it really does not address security
  21. in a comprehensive way it should be called something else. This is like
  22. saying that we won't worry about networking, windowing systems, your-favorite
  23. topic because another part of the standard does not consider it. I guess
  24. we can also forget about system administration. small amount of :-)  but
  25. a larger :-(
  26.  
  27. >In the near future we'll see many systems which don't even use passwords
  28. >for authentication (I assume there are already some out there, but I'm
  29. >not sure).  You'll see smart cards, voiceprints, retina scans, fingerprint
  30. >analysis, etc.  It's not a good idea to specify a password-based scheme as
  31. >a standard when technology is already growing beyond that.
  32.  
  33. Since passwords will be what most systems use for the forseeable future,
  34. I don't agree but if you want to extend this arguement, it might be
  35. noted that the Orange book is obsolete so that its concepts should
  36. not have been used either! After all, how many systems do we have that
  37. are not networked and have dumb terminals connected to them (and that
  38. have no databases).
  39.  
  40. >...
  41. >Having said all that, once there is some agreement on a meta-mechanism for
  42. >authenticating users I think it's entirely reasonable to define a mechanism
  43. >for rules...
  44.  
  45. That is a good idea. I'd support that especially if it were coupled with
  46. a framework whereby users could plug in authentication mechanisms (smart
  47. cards, passwd.c with rules, etc.)
  48.  
  49. >Incidentally, 1003.1 has no notion of what a "user" is, which means breaking
  50. >major new ground for any such extensions.
  51.  
  52. Does 1003.1 have notions of system administration, windowing systems,
  53. networks and the like?
  54.  
  55. >1003.6 will be going to ballot soon (I hope!) with the current proposed
  56. >standard...
  57.  
  58. And I'll vote against it as incomplete and urge others to do the same. 
  59. Without I&A the standard is not anything close to a comprehensive
  60. "security" standard at all. I'd rather see nothing than such a standard.
  61. --
  62. Jerry M. Carlin    (415) 823-2441 jmcarli@srv.pacbell.com
  63. To dream the impossible dream. To fight the unbeatable foe.
  64.  
  65.  
  66. Volume-Number: Volume 24, Number 39
  67.  
  68.