Password SAP nei commenti delle SAP GUI

Quale casistica di rischio? Cosa significa? Come impedire che accada?

Esistono diversi modi per collegarsi ai sistemi SAP. Ancora oggi le password sono molto utilizzate. Ma è corretto salvarle e gestirle in maniera non crittografata?

SAP GUI, commenti e password?

Cosa significa? Nella SAP GUI, il programma (client) per collegarsi a SAP, esiste un campo chiamato commenti, che può essere attivato ed utilizzato.

Di per sé non è una funzione critica, e può essere anche comoda. Tuttavia non deve essere usata impropriamente. Ad esempio salvando al suo interno Utenza e password!

Le informazioni sono salvate (senza crittografia, chiaramente) nel file "SAPUILandscape.xml"

Ulteriori approfondimenti sulla tematica delle password:

• Password SAP, quali le nuove direttive?
• Secure password sharing
• SAP Password Policy

Quali le mitigazioni?

1. Utilizza dei meccanismi di Single Sign On
2. Disabilita la funzionalità dei commenti dalla SAP GUI
   • 2507580 - How to hide "Display / Hide Comment Field" button or Comment field by changing registry key
3. Effettua se possibile dei controlli periodici
4. Utilizza dei password manager
5. Attenzione! Se gli esterni utilizzano le proprie SAP GUI per collegarsi ai tuoi sistemi, non puoi controllare. Come accedono i tuoi fornitori di servizi SAP?