it-swarm.dev

È corretto comunicare la password al amministratore di sistema della tua azienda?

Sto lavorando in una piccola azienda (20 dipendenti) come ingegnere informatico senior.

Dopo aver avuto problemi con la mia e-mail, il nostro nuovo amministratore IT mi ha chiesto di scrivere la mia password utente a qualcuno nella nostra società di hosting per aiutarli a identificare il problema.

Senza pensarci gli ho dato la mia password utente.

Dopo 30 minuti, mi sono reso conto che nei miei 10 anni di lavoro in diverse aziende nessuno mi ha chiesto una password e l'ho trovato piuttosto strano. Subito dopo, ho cambiato la mia password.

Ci sono casi in cui la password è davvero necessaria, quando devo davvero dire la mia password a un amministratore IT?

Ho sentito parlare di storie in cui gli amministratori hanno chiesto la password dell'utente, ma solo su siti come The Daily WTF , che ha portato a questa domanda.

(Relativo: "Un cliente vuole dirmi la password del suo laptop di casa. Devo spingerlo verso un'alternativa più complessa?" )

79
BЈовић

Risposta breve:

ASSOLUTAMENTE NO!
La tua password è tra te e il tuo solo computer.
Nessun altro.

Non il tuo capo, il suo capo, l'amministratore di sistema, il tuo funzionario di banca, il tuo agente assicurativo, il tuo tecnico di supporto ISP o il tuo gatto. Bene, il tuo gatto lo sai, se promette di non condividerlo.

Non c'è MAI un buon motivo per condividere una password.
Ci sono molte ragioni per NON farlo. Soprattutto perché una password è la TUA autenticazione e non appena UN'altra persona lo sa, non può più dimostrare la tua identità.

Qualsiasi motivo che viene fuori dal tuo amministratore è falso, sia perché è malizioso, pigro, male informato o incompetente.
Detto questo, potrebbe non essere colpa sua, ma della sua organizzazione. Ad ogni modo, c'è incompetenza, ignoranza e pigrizia abbondano.

Se un amministratore o QUALSIASI tecnico dell'assistenza richiede la tua password, la risposta corretta è RIDERE.
Perché non c'è modo che siano seri, giusto?

Se il tuo amministratore insiste: spiegagli che documenterai di condividere la tua password con lui ... e che, in base a ciò, invierai brutte e-mail a tutti intorno - non circa lui, ma affermerai che sono venuti da lui (usando il tuo account, a tuo nome, usando la tua password che hai appena condiviso con lui). Ovviamente non sarà in grado di provare che non ha usato in modo improprio la tua password ... che è il punto.

No, ripensandoci, semplicemente non dargli la tua password. È tuo, tra te e il computer da solo.

88
AviD

Proviamo un'altra idea: vorresti dare un dito al tuo responsabile IT in modo che possa riparare l'accesso al tuo edificio mentre lavori?

Presumo che la risposta sia no. Lo stesso vale per la tua password. Anche se hai una sola password per tutti i tuoi servizi (cosa che non succede mai, anche per me lo confesso) la password non dovrebbe MAI MAI condividere con nessuno. È l'unica cosa che può autenticarti. Ciò può darti fastidio dover perdere tempo con il tuo supporto IT, ma può anche mandarti in galera per molto tempo.

Quindi, sicuramente: no

20
M'vy

Prima è stato spiegato che nessuno dovrebbe mai dare la sua password a un amministratore (sto bene con tutto questo), ma dovresti verificare con il suo superiore cosa sta succedendo, perché se ha chiesto la tua, è possibile che abbia chiesto la password di gli altri 18 (il 19 è probabilmente il suo superiore) e sono abbastanza sicuro che alcuni dei tuoi colleghi colleghi utilizzino la stessa password ovunque.

15
noktec

Risposta breve, se è un amministratore non dovrebbe mai aver bisogno della tua password. Lo scenario peggiore è che deve reimpostare la password e dartene una nuova (che cambieresti prontamente).

A meno che non vi siano circostanze attenuanti, le password/i codici/le frasi sono solo per te. (es. se l'amministratore non ha un account privilegiato sul tuo PC)

Ho inserito alcuni lavori in cui un dipendente di lunga data avrà una macchina una tantum che non ha un account amministratore che posso usare su di esso, ma anche in questo caso è una soluzione migliore avere l'utente (supponendo che abbiano il diritti di) rendere l'amministratore un account privilegiato che possono utilizzare. Quindi anche in quel momento mi viene difficile pensare a qualsiasi ragione praticabile per cui l'amministratore avrebbe bisogno della tua password. È sempre un giorno triste apprendere che l'utente non ha diritti amministrativi, non è collegato al dominio e l'amministratore che lo ha impostato non ha funzionato lì per 10 anni ......

post scriptum come detto in un'altra risposta, è possibile che l'amministratore sia abituato a ottenere il trattamento "get it done" dai propri superiori, il che può comportare la richiesta di password.

11
Ormis

Potrebbe essere il momento di approfondire la tua politica di sicurezza IT. Se ne hai uno nella tua organizzazione. In caso contrario, è tempo di convincere la squadra a sedersi e scriverne una.

È possibile che questo amministratore non l'abbia letto o non sia stato addestrato.

Una cultura di diffusione delle password aumenterà sicuramente le possibilità che gli account vengano compresi se non ci sono controlli in atto per verificare ogni singola richiesta.

Anche le questioni sollevate in merito alla responsabilità sono un po 'preoccupanti.

Non è una buona pratica di sicuro.

6
RobertRay

C'è anche un altro problema con la condivisione della password.

Se succede qualcosa al tuo account o al tuo account mentre qualcun altro è registrato, sei tu quello che verrà incolpato. Anche se all'interno dell'azienda è accettabile condividere la password in base alla politica di sicurezza, legale (per legge; almeno nel mio paese), sei tu quello che verrà accusato.

6
StupidOne

La domanda principale che viene posta è "È mai necessario che un amministratore richieda una password?" Chiaramente, non dovrebbe essere necessario. Ma definiamo "necessario" come "necessario per realizzare qualcosa di critico".

Con questi parametri, in casi con difetti gravi/di rottura nell'infrastruttura di sicurezza, potrebbe essere necessario esporre una password per eseguire attività critiche. Ho visto sistemi sporchi sia nelle grandi società che nel governo che sono stati gestiti in questo modo per anni prima che mi imbattessi in loro. E dal punto di vista dell'operazione in corso, sì, era necessario continuare ad avere quel tipo di esposizione della password mentre venivano fatte le correzioni.

La chiave in ogni caso era documentare il problema, documentare e comunicare chiaramente i rischi di operare in questa situazione di sicurezza imperfetta, ottenere una dichiarazione di politica dalla direzione in quali circostanze dovesse verificarsi l'esposizione delle password mentre venivano fatte le correzioni, quindi documentare qualsiasi password esposizione necessaria per continuare a funzionare mentre il sistema di sicurezza veniva corretto.

In breve, non dovrebbe mai essere necessario. Ma se lo è, proteggiti spostando il rischio di responsabilità da te stesso e sulla parte responsabile delle decisioni/infrastrutture che lo hanno reso impropriamente necessario. E, naturalmente, se non vi è alcuna mossa per risolvere il problema, potresti prendere in considerazione l'idea di andare avanti.

0
HumanJHawkins