it-swarm.dev

Sono un consulente IT. Devo scoraggiare un cliente dal dirmi la sua password?

Sono un consulente IT. Un cliente mi conosce da alcuni anni. Vuole che faccia di nuovo un po 'di lavoro sul portatile dei suoi figli. Dovrò accedere all'account utente di Windows dei suoi figli. (Immagino che più bambini condividano un account.)

Questa volta, vuole lasciare la macchina con me. Vorrebbe dirmi la password dei bambini ("piano A"): si fida di me. Ma non voglio che abbia l'abitudine di pratiche insicure come la condivisione di password con i consulenti IT.

Potrei proporre e Push a "piano B":

  • Cambia la password dei bambini con una nuova password temporanea.
  • Eseguo l'accesso, eseguo il lavoro, quindi impongo una modifica della password al successivo accesso.

Oppure potrei spingerlo a farmi un account in modo da poter seguire un "piano C":

  • Ho resettato la password dei bambini.
  • Eseguo l'accesso, eseguo il lavoro, quindi impongo una modifica della password al successivo accesso.

Tuttavia, voglio renderlo felice e non voglio che perda tempo o denaro. Non voglio spingerlo verso il piano B o il piano C se non assolutamente necessario. Mi chiedo:

  1. È davvero così male per me dirmi semplicemente la password dei bambini? Se è un problema, spiega perché e, se possibile, cita una fonte.

  2. (Opzionale :) Dico sempre ai clienti una tariffa oraria. Ma ultimamente, sto fatturando di minuto in minuto. Se scegliamo il piano C, è etico per me fatturarlo per i minuti extra che mi ci vorranno?

Quando ho a che fare con casa o piccola impresa clienti, andrei con "Piano A." Come ha detto Adnan, sta proteggendo dati banali. Bypassare la password, o addirittura recuperarla, è abbastanza semplice.

Per rispondere alle tue domande:

  1. Non riesco a pensare a un solo motivo per cui sarebbe male conoscere la password di accesso dei suoi figli.
  2. Eticamente, si dovrebbe fatturare solo per il protocollo standard. Questo è ciò che viene concordato e pagato. Se si comunica uno standard per la gestione delle password, il cliente può accettarlo o rifiutarlo e trovare attività altrove.

Il piano B è il più dispendioso in termini di tempo. Il tuo cliente potrebbe non essere in grado di accedere al computer per cominciare.

Generalmente abbiamo chiesto ai clienti "come posso accedere?", Abbiamo effettuato l'accesso come amministratore predefinito o ripristinato la password e li abbiamo cambiati al momento della restituzione. Se non è possibile farlo rapidamente, avvisare il cliente.

Come consulente IT, sii coerente. Se stai trattando qualcuno che conosci 2-3 anni diverso da un cliente nuovo di zecca, stai compromettendo le tue politiche.


Quando hai a che fare con un cliente impresa o pubblico, non dovresti mai conoscere la sua password. Non dovresti mai chiedere, e se provano o riescono a dirti la loro password, segnalale immediatamente.

Nel progetto governativo su cui ho lavorato, abbiamo utilizzato Plan C tramite Active Directory. Un cliente, una volta lamentato, ho reimpostato la password (anziché il piano A). Il nostro responsabile della sicurezza informatica masticò l'intero management superiore e mi salvò il bacon.

16
Nathan Goings

Il problema non riguarda la situazione questa in particolare. Valutiamo la situazione qui:

  • Sei una persona affidabile per loro
  • Molto probabilmente la password sta proteggendo dati banali

Darti la password non è un grosso problema in questo caso. Il problema (come hai affermato nella tua domanda) è che l'abitudine di rilasciare le password.

Andrei sicuramente con il piano B. Perché?

  • In questo caso è il miglior compromesso tra sicurezza e praticità.

  • Gli insegnerà come non condividere la password, specialmente se la lezione proviene da una persona affidabile per lui.

  • Ti farà sembrare ancora più professionale e mostrerà il tuo interesse per la sicurezza del tuo cliente.

  • Non sai, potrebbe spargere la voce su questa situazione e in un modo che contribuiresti a una migliore comprensione della sicurezza (in questo tipo di situazioni) nella sua cerchia di amici/famiglia.

Per quanto riguarda la tua seconda domanda, non credo di essere la persona migliore per rispondere a questa domanda, ma direi di no. Se qualcosa ti richiede 2-3 minuti ed è ovviamente banale rispetto ad un'altra attività (correggere qualsiasi cosa non vada nel computer), non fatturare al cliente i 3 minuti di lavoro in più. Nessuno fa apparire bene.

51
Adi

Suggerirei un piano B per lui, ma non spingerlo se non vuole disturbare.

Avrai accesso fisico senza supervisione al laptop - a meno che non ci sia una password di crittografia del disco che non hai menzionato, è quasi certamente sufficiente per fare ciò che vuoi senza password dell'account, inclusa l'installazione di backdoor per un successivo accesso remoto e la conoscenza del la password ti salva solo il lavoro inutile.

Quindi, se ha ragione a fidarsi di te, non ha bisogno di alcuna sicurezza aggiuntiva, e se si sbaglia di fidarsi di te, la modifica temporanea della password (o dell'account extra) non gli dà una vera sicurezza aggiuntiva.

D'altra parte se non ha già un account ospite senza privilegi, incoraggialo a crearne uno, quindi se i suoi figli lasciano che i loro amici lo usino, possono usarlo. (E se puoi fare il lavoro necessario da un tale account, usalo da solo, ma sembra meno probabile.)

22
armb

Appoggio suggerimento di TildalWave .

In realtà, penso che dovresti piuttosto andare a casa sua e mostrargli quanto è facile decifrare la password, ad esempio con Cain & Abel (senza mostrargli come ottenere questo software, né quale software sia, quindi non lo farà essere tentato di farlo da solo in seguito). POI cambiate la password con lui e dategli alcuni consigli su alcune password sicure e buone abitudini di sicurezza.

Penso che mostrargli queste cose rafforzerà la vostra fiducia reciproca, non abbassarla.

Ma se non riesci a venire a casa sua, allora sì, permettigli di dirti la password dei suoi figli, poiché non avrà alcun "effetto scioccante da cui possa imparare" per chiedergli di passare a una password temporanea.

Quanto puoi caricare ... beh, sembra che sia un amico più che un cliente, quindi carica lui come un amico, non un cliente.

5
Yannovitch

Chiediti, sarebbe più difficile abusare della fiducia di questa persona nei tuoi confronti seguendo uno dei piani proposti, e se lo volessi davvero? Io non la penso così. Ognuno dei piani che proponi è altrettanto facilmente sfruttabile - da qualcun altro rispetto a te. Perché so che non abuserai della sua fiducia? Perché sei venuto qui per chiedere del tuo dilemma; Qualcosa che nemmeno una persona un po 'meno onesta potrebbe mai prendere in considerazione, e una persona completamente disonesta preferirebbe cercare una finzione di negligenza su un sito Web pubblico che semplifichi la prova dell'identità di questa persona.

Quindi, per come la vedo io, il tuo dilemma non è nel dimostrare la tua affidabilità, o nel prevenire qualsiasi dubbio nelle tue oneste intenzioni proponendo piani che potrebbero richiederne meno, ma più non sei abituato a conoscenti aziendali che ripongono tanta fiducia in te anche nella vita privata. Probabilmente hai già guadagnato questa fiducia in altri modi prima, e questa persona è pronta a portare avanti questa amicizia. Qualcosa che, a quanto pare, ti ha colpito un po 'come una sorpresa, immagino?

Quindi, abbiamo questi tre piani, nessuno dei due perfetto in un ambiente non attendibile, e quasi tutti identici in un ambiente fidato. Quindi ti propongo semplicemente di seguire un piano che sarà il più semplice per entrambi. Semplice come quella.

Per quanto riguarda il pagamento, ecco cosa faccio in tali situazioni: non mi addebito mai, né chiedo compensi o favori di ritorno. Per lo più sono compiti di routine che posso facilmente completare comunque, e se sono più difficili (rari), lo prendo così - una sfida. Anche meglio. Se tuttavia, la persona che sto facendo questo favore insiste nel ripagarmi in qualche modo, accetterò un piccolo segno di apprezzamento (invito a una birra, un pezzo di torta che sua moglie ha preparato, ...), o se viene offerto denaro - fornisci un indirizzo web della mia organizzazione di beneficenza preferita e chiedi alla persona di donare quel denaro e non chiederlo mai più (ma una volta che sono via, quindi se è difficile per quella persona separarsi dal i soldi offerti - alcuni possono essere troppo generosi -, possono mantenerli senza rimorso).

4
TildalWave

In questo caso particolare, direi di andare con il piano B o semplicemente di accettare la sua password.

Il piano B ha molto senso, purché tu spieghi esattamente perché stai facendo quello che stai facendo.

Tuttavia, in alcuni casi, soprattutto se si tratta di una password condivisa utilizzata da tutti i bambini, cambiare la password può essere una seccatura. Sto pensando in particolare ad Apple. Molto raramente ho bisogno del mio Apple di Apple, e invariabilmente dimentico la password e devo passare attraverso le solite domande di sicurezza ecc. Prima di poter reimpostarla. Ma ogni volta che scelgo una nuova password e la faccio un'oscura variazione di qualcosa di memorabile, mi viene detto che ho già usato la password. Questo è un dolore, e se alcune persone condividono la stessa password, le possibilità di bloccare l'account possono essere piuttosto alte.

Quindi fai una chiamata di giudizio.

2

Il piano B è il più sicuro, perché non si vede mai quale sia il modello di password della persona (quasi tutti hanno un modello che usano per scegliere le password) Il piano C è un buon fallback. Anche se lo cambia di nuovo in quello che era, hai fatto la dovuta diligenza nel suggerire e aiutarlo con la modifica della password e puoi legittimamente dire che non conosci la password se succede qualcosa in seguito. (non sai a meno che non ti dica che lo ha riportato a quello che era)

1
Rod MacPherson