it-swarm-eu.dev

Je v pořádku sdělit své heslo sysadminovi vaší společnosti?

Pracuji v malé společnosti (20 zaměstnanců) jako vedoucí softwarový inženýr.

Po problémech s mým e-mailem nás nově zaměstnaný správce IT požádal, abych napsal uživatelské heslo někomu z naší hostitelské společnosti, aby jim pomohl identifikovat problém.

Bez jakékoli myšlenky jsem mu dal své uživatelské heslo.

Po 30 minutách jsem si uvědomil, že v mých 10 letech práce v několika společnostech mě nikdo nepožádal o heslo, a bylo mi to docela zvláštní. Ihned poté jsem změnil své heslo.

Existují případy, kdy je heslo skutečně potřeba, když musím své heslo sdělit správci IT?

Slyšel jsem o příbězích, kde administrátoři požadovali heslo uživatele, ale pouze na webech jako The Daily WTF , které tuto otázku vyvolaly.

(Související: „Klient mi chce říct heslo svého domácího notebooku. Musím ho tlačit směrem ke složitější alternativě?“ )

79
BЈовић

Stručná odpověď:

ABSOLUTNĚ NE!
Vaše heslo je mezi vámi a samotným počítačem.
Nikdo jiný.

Ne váš šéf, jeho šéf, správce systému, váš bankovní úředník, váš pojišťovací agent, váš technik podpory ISP nebo vaše kočka. Dobrá, tvoje kočka může říct, jestli slíbí, že se o ni nesdílí.

NIKDY není dobrý důvod sdílet heslo.
Existuje mnoho důvodů, proč. Většinou, protože heslo je VAŠE ověření, a jakmile to zná i jedna osoba, nemůže již prokázat vaši totožnost.

Jakýkoli důvod, který váš administrátor přijde, je falešný, buď proto, že je škodlivý, líný, dezinformovaný nebo nekompetentní.
To znamená, že to nemusí být jeho chyba, ale chyba jeho organizace. Ať tak či onak, existuje neschopnost, nevědomost a lenost.

Pokud administrátor nebo jakýkoli technik podpory požádá o heslo, je správná odpověď na LAUGH.
Protože neexistuje způsob, jak to myslí vážně, že?

Pokud váš administrátor trvá na tom - vysvětlete mu, že s ním zdokumentujete sdílení hesla ... a na základě toho budete odesílat ošklivé e-maily všude kolem - ne o , ale budete tvrdit, že přišli od od něj (pomocí vašeho účtu, svým jménem, ​​pomocí hesla, které jen jsi s ním sdílel). Samozřejmě nebude schopen prokázat, že nezneužil vaše heslo ... což je to správné.

Ne, při druhé myšlence mu prostě nedej heslo. Je to vaše, mezi vámi a samotným počítačem.

88
AviD

Vyzkoušejte jiný nápad: dali byste jednomu z prstů svému IT manažerovi, aby mohl opravit váš přístup do vaší budovy, když pracujete?

Budu předpokládat, že odpověď zní ne. Totéž platí pro vaše heslo. I když máte jediné heslo pro všechny své služby (což se nikdy nestane, i pro mě přiznávám), heslo by se NIKDY NIKDY nemělo sdílet s nikým. Je to jediná věc, která se dokáže ověřit. To vás může obtěžovat tím, že s IT podporou budete muset ztrácet čas, ale také vás to může na dlouhou dobu poslat do vězení.

Takže rozhodně: ne

20
M'vy

Už dříve bylo vysvětleno, že nikdo by nikdy neměl dávat své heslo administrátorovi (jsem v pořádku se vším), ale měli byste se svým nadřízeným zkontrolovat, co se děje, protože pokud se vás zeptá, je možné, že požádal o heslo 18 dalších (19. je pravděpodobně jeho nadřízený) a jsem si docela jistý, že někteří z vašich spolupracovníků používají stejné heslo všude.

15
noktec

Krátká odpověď, pokud je administrátor, neměl by nikdy potřebovat vaše heslo. Nejhorší scénář je ten, že musí resetovat vaše heslo a dát vám nové (které byste okamžitě změnili).

Pokud neexistují nějaké polehčující okolnosti, hesla/kódy/věty jsou pouze pro vás. (e.i. pokud správce nemá v počítači privilegovaný účet)

Zadal jsem několik úkolů, kde bude mít dlouhodobý zaměstnanec jednorázový stroj, který nemá administrátorský účet, který na něm mohu použít, ale i tak je lepší řešení mít uživatele (za předpokladu, že má práva na) učinit z administrátora privilegovaný účet, který mohou používat. Dokonce i tehdy jsem těžce přemýšlel o nějakém rozumném důvodu, proč by administrátor potřeboval vaše heslo. Je to vždy smutný den, když zjistíte, že uživatel nemá administrátorská práva, není připojen k doméně a správce, který jej nastavil, tam nefungoval 10 let ......

p.s. jak bylo řečeno v jiné odpovědi, je možné, že správce je zvyklý na to, aby jejich nadřízený dostal postup „udělej to hotovo“, což může vést k tomu, že si vyžádají pouze hesla.

11
Ormis

Možná je na čase vykopat zásady zabezpečení IT. Pokud máte ve vaší organizaci. Pokud ne, je čas přimět tým, aby si sedl a penisoval.

Může se stát, že si ho tento správce nečetl nebo nebyl vyškolen.

Kultura rozdávání hesel jistě zvýší šanci na založení účtů, pokud nebudou existovat šeky pro ověření každé žádosti.

Problémy vznesené ohledně odpovědnosti jsou také trochu znepokojivé.

Není to určitě dobrá praxe.

6
RobertRay

Existuje také jeden další problém se sdílením hesla.

Pokud se něco stane s vaším účtem nebo vaším účtem, zatímco někdo jiný je přihlášen, jste tím, kdo bude obviňován. I když je uvnitř společnosti v pořádku sdílet heslo pomocí bezpečnostní politiky, legálně (podle zákona; alespoň v mé zemi) jste tím, kdo bude obviněn.

6
StupidOne

Hlavní položená otázka zní: „Je někdy nutné, aby administrátor požádal o heslo?“ Je zřejmé, že nemělo by být nutné. Pojďme však definovat „nezbytné“ jako „potřebné k dosažení něčeho kritického“.

S těmito parametry může být v případě závažných/prolomených bezpečnostních chyb v zabezpečení infrastruktury nutné odhalit heslo k provedení důležitých úkolů. Viděl jsem zničené systémy ve velkých korporacích i ve vládě, které byly takto provozovány několik let, než jsem do nich narazil. A z hlediska udržení provozu v provozu ano, bylo nutné pokračovat s tímto druhem vystavení heslu, zatímco byly prováděny opravy.

Klíčem v každém případě bylo zdokumentovat problém, zdokumentovat a jasně sdělit rizika provozu v této chybné bezpečnostní situaci, získat prohlášení vedení od vedení, za jakých okolností by při vystavení hesel mělo dojít k vystavení heslu, a poté zdokumentovat jakékoli heslo expozice nezbytná pro pokračování v činnosti, zatímco byl opraven bezpečnostní systém.

Stručně řečeno, nikdy by to nemělo být nutné. Pokud ano, chraňte se tím, že přesunete riziko odpovědnosti mimo sebe a na stranu odpovědnou za rozhodnutí/infrastrukturu, která ji učinila nevhodně nezbytnou. A samozřejmě, pokud se problém nevyřeší, možná budete chtít zkusit pokračovat.

0
HumanJHawkins