<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 3, 2015 at 6:19 PM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> writes:<br>
<br>
>While the Federal Aviation Administration (FAA) has taken steps to protect<br>
>its air traffic control systems from cyber-based and other threats,<br>
>significant security control weaknesses</span><br></blockquote><div>.................. </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  In some situations the use of shared credentials is even enshrined in<br>
  organisational <br></blockquote><div>................... </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  An extreme case of the shared login is the 24-hour login, in which the user<br>
  is never logged off. <br></blockquote><div><br></div><div>Interesting... </div><div>This seems as if it lacks the concept of audit and responsibility.</div><div><br></div><div>Many of these systems are old enough that changing them would </div><div>be astoundingly difficult.   Physical security enhancements seem</div><div>to be an easier project.</div><div> </div></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>