it-swarm-eu.dev

Ist es in Ordnung, Ihr Passwort dem Systemadministrator Ihres Unternehmens mitzuteilen?

Ich arbeite in einem kleinen Unternehmen (20 Mitarbeiter) als Senior Software Engineer.

Nachdem ich Probleme mit meiner E-Mail hatte, bat mich unser neu eingestellter IT-Administrator, mein Benutzerkennwort an jemanden in unserem Hosting-Unternehmen zu schreiben, damit dieser das Problem identifizieren kann.

Ohne nachzudenken gab ich ihm mein Benutzerpasswort.

Nach 30 Minuten wurde mir klar, dass mich in meinen 10 Jahren in mehreren Unternehmen niemand nach einem Passwort gefragt hatte, und ich fand es ziemlich seltsam. Unmittelbar danach habe ich mein Passwort geändert.

Gibt es Fälle, in denen das Passwort wirklich benötigt wird, wenn ich mein Passwort wirklich einem IT-Administrator mitteilen muss?

Ich habe von Geschichten gehört, in denen Administratoren nach dem Passwort des Benutzers gefragt haben, aber nur auf Websites wie The Daily WTF , die diese Frage aufgeworfen haben.

(Siehe auch: "Ein Kunde möchte mir das Passwort seines Heim-Laptops mitteilen. Muss ich ihn zu einer komplexeren Alternative drängen?" )

79
BЈовић

Kurze Antwort:

ABSOLUT NICHT!
Ihr Passwort befindet sich zwischen Ihnen und Ihrem Computer.
Kein anderer.

Nicht Ihr Chef, sein Chef, der Systemadministrator, Ihr Bankangestellter, Ihr Versicherungsvertreter, Ihr ISP-Supporttechniker oder Ihre Katze. Nun, deine Katze kannst du sagen, wenn sie verspricht, sie nicht zu teilen.

Es gibt NIE einen guten Grund, ein Passwort zu teilen.
Es gibt viele Gründe, dies NICHT zu tun. Meistens kann ein Passwort Ihre Identität nicht mehr beweisen, da es IHRE Authentifizierung ist und sobald es auch nur eine andere Person kennt.

Jeder Grund, den Ihr Administrator vorbringt, ist falsch, entweder weil er böswillig, faul, falsch informiert oder inkompetent ist.
Das heißt, es kann nicht seine Schuld sein, sondern die Schuld seiner Organisation. In jedem Fall gibt es eine Fülle von Inkompetenz, Unwissenheit und Faulheit.

Wenn ein Administrator oder ein Support-Techniker nach Ihrem Passwort fragt, lautet die richtige Antwort LACHEN.
Weil sie es auf keinen Fall ernst meinen, oder?

Wenn Ihr Administrator darauf besteht - erklären Sie ihm, dass Sie dokumentieren, dass Sie Ihr Passwort mit ihm teilen ... und dass Sie auf dieser Grundlage böse E-Mails an alle senden - nicht an about ihn, aber Sie werden behaupten, dass sie von ihm kamen (unter Verwendung Ihres Kontos, in Ihrem Namen, unter Verwendung Ihres Passworts, das du hast es gerade mit ihm geteilt). Natürlich kann er nicht beweisen, dass er Ihr Passwort nicht missbraucht hat ... worum es geht.

Nein, beim zweiten Gedanken, gib ihm einfach nicht dein Passwort. Es gehört dir, nur zwischen dir und dem Computer.

88
AviD

Versuchen wir eine andere Idee: Würden Sie Ihrem IT-Manager einen Finger geben, damit er Ihren Zugang zu Ihrem Gebäude während der Arbeit reparieren kann?

Ich gehe davon aus, dass die Antwort nein ist. Gleiches gilt für Ihr Passwort. Selbst wenn Sie ein einziges Passwort für alle Ihre Dienste haben (was selbst für mich nie passiert, gestehe ich), sollte das Passwort NIEMALS mit jemandem geteilt werden. Es ist das einzige, was sich authentifizieren kann. Das kann Sie stören, Zeit mit Ihrem IT-Support zu verschwenden, aber dies kann Sie auch für eine lange Zeit ins Gefängnis schicken.

Also definitiv: nein

20
M'vy

Es wurde vorher erklärt, dass niemand jemals einem Administrator sein Passwort geben sollte (ich bin damit einverstanden), aber Sie sollten sich bei seinem Vorgesetzten erkundigen, was los ist, denn wenn er Sie nach Ihrem fragt, ist es möglich, dass er nach dem Passwort von fragt die 18 anderen (der 19. ist wahrscheinlich sein Vorgesetzter) und ich bin mir ziemlich sicher, dass einige Ihrer Kollegen überall das gleiche Passwort verwenden.

15
noktec

Kurze Antwort: Wenn er ein Administrator ist, sollte er niemals Ihr Passwort benötigen. Das schlimmste Szenario ist, dass er Ihr Passwort zurücksetzen und Ihnen ein neues geben muss (das Sie umgehend ändern würden).

Sofern keine mildernden Umstände vorliegen, sind Passwörter/Codes/Phrasen nur für Sie bestimmt. (e.i. wenn der Administrator kein privilegiertes Konto auf Ihrem PC hat)

Ich habe einige Jobs eingegeben, bei denen ein langjähriger Mitarbeiter einen einmaligen Computer hat, auf dem kein Administratorkonto vorhanden ist, das ich verwenden kann, aber selbst dann ist es eine bessere Lösung, den Benutzer zu haben (vorausgesetzt, er hat das Rechte an) machen den Administrator zu einem privilegierten Konto, das er verwenden kann. Selbst dann fällt es mir schwer, mir einen tragfähigen Grund vorzustellen, warum der Administrator Ihr Passwort benötigen würde. Es ist immer ein trauriger Tag zu erfahren, dass der Benutzer keine Administratorrechte hat, nicht mit der Domain verbunden ist und der Administrator, der sie eingerichtet hat, dort seit 10 Jahren nicht mehr funktioniert hat.

p.s. Wie in einer anderen Antwort erwähnt, ist es möglich, dass der Administrator es gewohnt ist, von seinen Vorgesetzten die "Get it done" -Behandlung zu erhalten, was dazu führen kann, dass er nur nach Passwörtern fragt.

11
Ormis

Möglicherweise ist es an der Zeit, Ihre IT-Sicherheitsrichtlinien auszuarbeiten. Wenn Sie eine in Ihrer Organisation haben. Wenn nicht, ist es Zeit, das Team dazu zu bringen, sich zu setzen und einen zu schreiben.

Es kann sein, dass dieser Administrator es nicht gelesen hat oder nicht geschult wurde.

Eine Kultur des Vergebens von Passwörtern erhöht sicherlich die Wahrscheinlichkeit, dass Konten gebildet werden, wenn keine Überprüfungen vorhanden sind, um jede einzelne Anfrage zu überprüfen.

Die Fragen zur Rechenschaftspflicht geben ebenfalls Anlass zur Sorge.

Es ist sicher keine gute Praxis.

6
RobertRay

Es gibt noch ein weiteres Problem bei der Kennwortfreigabe.

Wenn etwas mit Ihrem Konto oder Ihrem Konto passiert, während jemand anderes angemeldet ist, werden Sie dafür verantwortlich gemacht. Selbst wenn es innerhalb des Unternehmens in Ordnung ist, das Passwort gemäß den Sicherheitsrichtlinien weiterzugeben, sind Sie gesetzlich (gesetzlich; zumindest in meinem Land) derjenige, der beschuldigt wird.

6
StupidOne

Die Kernfrage lautet: "Muss ein Administrator jemals nach einem Passwort fragen?" Klar, es sollte nicht sein notwendig. Aber definieren wir "notwendig" als "erforderlich, um etwas Kritisches zu erreichen".

Bei diesen Parametern kann es in Fällen mit schwerwiegenden/fehlerhaften Fehlern in der Sicherheitsinfrastruktur erforderlich sein, ein Kennwort anzugeben, um kritische Aufgaben auszuführen. Ich habe sowohl in großen Unternehmen als auch in der Regierung verschmutzte Systeme gesehen, die jahrelang so betrieben wurden, bevor ich ihnen begegnete. Und unter dem Gesichtspunkt, den Betrieb am Laufen zu halten, war es notwendig, diese Art der Kennwortbelichtung fortzusetzen, während Korrekturen vorgenommen wurden.

In jedem Fall bestand der Schlüssel darin, das Problem zu dokumentieren, die Risiken eines Betriebs unter dieser fehlerhaften Sicherheitslage zu dokumentieren und klar zu kommunizieren, eine Richtlinienerklärung von der Führung zu erhalten, in der angegeben wird, unter welchen Umständen während der Korrekturen eine Kennwortoffenlegung erfolgen sollte, und anschließend ein Kennwort zu dokumentieren Exposition erforderlich, um den Betrieb fortzusetzen, während das Sicherheitssystem korrigiert wurde.

Kurz gesagt, es sollte niemals notwendig sein. Wenn dies jedoch der Fall ist, schützen Sie sich, indem Sie das Haftungsrisiko von sich selbst auf die Partei übertragen, die für die Entscheidungen/die Infrastruktur verantwortlich ist, die dies unangemessen notwendig gemacht haben. Und wenn es keine Möglichkeit gibt, das Problem zu beheben, sollten Sie in Betracht ziehen, weiterzumachen.

0
HumanJHawkins