home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #23 / NN_1992_23.iso / spool / bit / listserv / ibmmain / 2393 < prev    next >
Encoding:
Internet Message Format  |  1992-10-16  |  3.4 KB

  1. Path: sparky!uunet!stanford.edu!lll-winken!elroy.jpl.nasa.gov!usc!sol.ctr.columbia.edu!destroyer!gatech!paladin.american.edu!auvm!UCHIMVS1.UCHICAGO.EDU!CCFXKPD
  2. From: CCFXKPD@UCHIMVS1.UCHICAGO.EDU (Kriss Davis)
  3. Newsgroups: bit.listserv.ibm-main
  4. Subject: Re: Addr: RACF/VM
  5. Message-ID: <IBM-MAIN%92101611281642@RICEVM1.RICE.EDU>
  6. Date: 16 Oct 92 17:25:00 GMT
  7. Sender: IBM Mainframe Discussion list <IBM-MAIN@RICEVM1.BITNET>
  8. Lines: 58
  9. Comments: Gated by NETNEWS@AUVM.AMERICAN.EDU
  10.  
  11. > On Fri, 16 Oct 1992 09:12:00 CST Kriss Davis said:
  12. > >I agree that theoritically having the users change their passwords
  13. > >at initial log on and at intervals is a good idea.  However,
  14. > >there are way too many users of systems that changing their
  15. > >passwords just adds another thing they have to know how to
  16. > >do that they are not called upon to do frequently enough to
  17. > >remember how to do.
  18. > >
  19. > >Also, the rules about password construction (if there are
  20. > >any like no duplicate letters, must be at least X chars. long, etc.)
  21. > >are usually poorly or not documented.  So when a user goes to
  22. > >change passwords, they try several, none are the right configuration,
  23. > >and then the USERID gets locked and must be unlocked and reset.
  24. > >Seecurity packages rarely put out informative messages telling the
  25. > >user why a certain password is not acceptable.
  26. > >
  27. >
  28. > Doesn't your site test software that affects all users before it goes
  29. > into "production"???
  30. >
  31. > If the rules for passwords are poorly documented why don't you or your
  32. > staff figure out what the rules are and educate your users before you
  33. > thrust upon them a new security system that requires password changing?????
  34.  
  35.   First, I am in an application area, not a systems area.  I am not
  36.   responsible for ACF or system wide security. U of Chicago has good
  37.   and hard-working people in our systems group that do a good job of MVS
  38.   security maintenance and enhancement.  However, when users of
  39.   application systems can't get logged in they don't call a system
  40.   programmer, they call the people that maintain their application.  So
  41.   my group must do the problem determination and then contact the
  42.   appropriate people to get their password reset and tell them to call.
  43.   I also don't understand your comment about testing software.
  44.   All software at this site is tested.  But quite a bit (like MVS
  45.   security systems) is purchased.  It is not a question of the
  46.   software working.  Again, I do not maintain or build system level
  47.   software at this site.  But even if I did, it should not be up to
  48.   each site to provide a better interface to commercially sold
  49.   products like ACF2 and RACF.
  50.  
  51.   The rules should not have to be figured out.  Good system interfaces
  52.   have error messages that tell the user something about what they
  53.   did wrong, not just to try again.  Creating a paper document
  54.   (since you couldn't get to an electronic one until you are logged in)
  55.   stating password rules just isn't viable.  The paper document would
  56.   not be around when one needed it in most cases.
  57.  
  58. My main point is not an attack on anyone or any particular security
  59. package.  My point is that having to deal with users and their
  60. frustration with not being able to get into systems to do their
  61. jobs is a daily reality and one that is sometimes not really
  62. appreciated by people who do not have direct interaction with
  63. end users of computer systems.  This includes vendors of security
  64. systems.
  65.  
  66. I apologize if anyone took my first comments personally.
  67.  
  68.   Kriss Davis, University of Chicago
  69.