it-swarm-tr.com

Parolanızı şirketinizin sistem yöneticisine bildirmeniz uygun mudur?

Küçük bir şirkette (20 çalışan) kıdemli yazılım mühendisi olarak çalışıyorum.

E-postalarımla ilgili sorun yaşadıktan sonra, yeni işe alınan BT yöneticimiz, sorunu belirlemelerine yardımcı olması için kullanıcı şifremi hosting şirketimizden birine yazmamı istedi.

Hiç düşünmeden ona kullanıcı şifremi verdim.

30 dakika sonra, 10 yıllık çalışmamda birkaç şirkette kimsenin benden şifre istemediğini fark ettim ve oldukça garip buldum. Bundan hemen sonra şifremi değiştirdim.

Parolamı gerçekten bir BT yöneticisine söylemem gerektiğinde parolanın gerçekten gerekli olduğu durumlar var mı?

Yöneticilerin kullanıcının şifresini istediği hikayeleri duydum, ancak sadece bu soruyu yönlendiren The Daily WTF gibi sitelerde.

(İlgili: "Bir müşteri bana ev dizüstü bilgisayarının şifresini söylemek istiyor. Onu daha karmaşık bir alternatife doğru itmeli miyim?" )

79
BЈовић

Kısa cevap:

KESİNLİKLE DEĞİL!
Parolanız sizinle bilgisayarınız arasında.
Başka hiç kimse.

Patronunuz, patronu, sistem yöneticisi, banka yetkilisi, sigorta acenteniz, İSS destek teknisyeniniz veya kediniz değil. Kediniz, paylaşmayacağına söz verirse söyleyebilirsiniz.

Bir şifreyi paylaşmak için ASLA iyi bir neden yoktur.
YAPMAMANIN birçok nedeni var. Çoğunlukla, bir şifre SİZİN kimlik doğrulamanız olduğundan ve bir kişi daha tanıdığı anda, kimliğinizi artık kanıtlayamaz.

Yöneticinizin ortaya çıkmasının herhangi bir nedeni, kötü niyetli, tembel, yanlış bilgilendirilmiş veya yetersiz olması nedeniyle sahte.
Bu onun hatası değil, organizasyonunun hatası olabilir dedi. Her iki durumda da, yetersizlik, cehalet ve tembellik var.

Bir yönetici veya HERHANGİ bir destek teknisyeni şifrenizi isterse, doğru yanıt GÜÇLÜ olur.
Çünkü ciddi olmalarının bir yolu yok, değil mi?

Yöneticiniz ısrar ederse - şifrenizi onunla paylaşacağınızı belgeleyeceğinizi açıklayın ... ve buna dayanarak, her yere kötü e-postalar göndereceksiniz - ( hakkında , ancak sizden 'den geldiğini (hesabınızı kullanarak, adınızla, onunla paylaştınız). Tabii ki şifrenizi kötüye kullanmadığını kanıtlayamayacak ... işte bu nokta.

Hayır, ikinci düşüncede, ona şifrenizi vermeyin. Sadece seninle senin arasında, senin.

88
AviD

Başka bir fikir deneyelim: Çalışırken binanıza erişiminizi onarabilmesi için parmağınızdan birini BT yöneticinize verir misiniz?

Cevabın hayır olduğunu varsayacağım. Aynısı şifreniz için de geçerlidir. Tüm hizmetleriniz için tek bir şifreniz olsa bile (ki asla benim için itiraf etmiyorum) şifre ASLA HİÇBİRİ ile paylaşılmamalıdır. Kendinizi doğrulayabilen tek şey bu. Bu, BT desteğinizle zaman kaybetmenize neden olabilir, ancak bu sizi uzun süre hapse gönderebilir.

Yani, kesinlikle: hayır

20
M'vy

Daha önce kimsenin şifresini bir yöneticiye vermemesi daha önce açıklanmıştı (hepsiyle iyiyim), ama onun üstünden neler olup bittiğini kontrol etmelisiniz, çünkü sizinkini sorarsa, şifresini sordu. diğer 18 kişi (19. muhtemelen onun üstündür) ve bazı meslektaşlarınızın her yerde aynı şifreyi kullandığından eminim.

15
noktec

Kısa cevap, eğer bir yönetici ise asla şifrenize ihtiyaç duymamalıdır. En kötü senaryo, şifrenizi sıfırlaması ve size yeni bir şifre vermesi gerektiğidir (hemen değiştirirsiniz).

Bazı hafifletici durumlar olmadığı sürece, şifreler/kodlar/ifadeler yalnızca sizin içindir. (ör. yöneticinin bilgisayarınızda ayrıcalıklı bir hesabı yoksa)

Uzun zamandır çalışan bir çalışanın üzerinde kullanabileceğim bir yönetici hesabı olmayan bir kerelik bir makineye sahip olacağı birkaç işe girdim, ancak o zaman bile kullanıcıya sahip olmak için daha iyi bir çözüm ( yöneticiyi kullanabilecekleri ayrıcalıklı bir hesap yapmak. O zaman bile, yöneticinin neden parolanıza ihtiyacı olabileceğini düşünmek için zorlandım. Kullanıcının yönetici haklarına sahip olmadığını, etki alanına bağlı olmadığını ve kurulumu yapan yöneticinin 10 yıldır orada çalışmadığını öğrenmek her zaman üzücü bir gündür ...

not; başka bir cevapta da belirtildiği gibi, yöneticinin "üstesinden gel" muamelesini almak için kullanılması mümkündür, bu da sadece şifre istemelerine neden olabilir.

11
Ormis

BT güvenlik politikanızı belirleme zamanı gelmiş olabilir. Kuruluşunuzda bir tane varsa. Değilse, takımın oturmasını ve bir kalem almasını sağlama zamanı.

Bu yöneticinin okumamış veya eğitilmiş olması mümkündür.

Parola verme kültürü, her bir talebi doğrulamak için yerinde kontrol yoksa hesapların oluşma şansını kesinlikle artıracaktır.

Hesap verebilirlik ile ilgili gündeme getirilen konular da endişe vericidir.

Kesinlikle iyi bir uygulama değil.

6
RobertRay

Parola paylaşımında başka bir sorun daha var.

Başka birine giriş yaparken hesabınıza veya hesabınıza bir şey olursa suçlanacak olan sizsiniz. Şirket içinde güvenlik politikası, yasal olarak (kanunen; en azından ülkemde) şifreyi paylaşmaya uygun olsa bile, suçlanacak kişi sizsiniz.

6
StupidOne

Sorulan temel soru şudur: "Bir yöneticinin şifre istemesi hiç gerekli mi?" Açıkçası, olmamalı gerekli. Ancak "kritik" bir şeyi başarmak için "gerekli" olarak tanımlayalım.

Bu parametrelerle, güvenlik altyapısında ciddi/kırılma kusurları olması durumunda, kritik görevleri yerine getirmek için bir parola ortaya koymak gerekebilir. Hem büyük şirketlerde hem de hükümette, bunlarla karşılaşmadan önce yıllarca süren faal sistemleri gördüm. Ve operasyonu çalışır durumda tutmak açısından, evet, düzeltmeler yapılırken bu tür bir şifre maruz kalmaya devam etmek gerekiyordu.

Her durumda anahtar, sorunu belgelemek, bu kusurlu güvenlik durumu altında çalışma risklerini açık bir şekilde iletmek, düzeltmeler yapılırken hangi durumlarda parolaya maruz kalması gerektiğini belirleyen liderlikten bir politika bildirisi almaktı. güvenlik sistemi düzeltilirken çalışmaya devam etmek için gerekli pozlama.

Kısacası, asla gerekli olmamalıdır. Ancak öyleyse, sorumluluk riskini kendinizden ve uygun olmayan bir şekilde gerekli kılan kararlardan/altyapıdan sorumlu tarafa taşıyarak kendinizi koruyun. Ve elbette sorunu çözmek için herhangi bir hareket yoksa, devam etmeyi düşünebilirsiniz.

0
HumanJHawkins