Devo dire al mio capo che ho scoperto le loro password e sono troppo deboli?

Anche se non vi è alcun dubbio che le password deboli siano un problema per la tua azienda, ti sconsiglio vivamente di dire al tuo capo delle cose che hai fatto.

La tua azienda ha deciso di non consentire ai lavoratori temporanei l'accesso a siti e risorse per un motivo. Non solo hai ottenuto l'accesso non autorizzato alla LAN wireless indovinando la password del router, ma hai anche esteso l'accesso verificando le credenziali con altre risorse - Risorse a cui non dovresti avere la password. In pratica, hai praticamente fatto surf sul tuo capo.

Sebbene sembrino esserci dei difetti nella politica dei datori di lavoro in merito all'accesso alle risorse aziendali e alle relative politiche sulle password, tutte queste cose potrebbero essere considerate "hacking" dal datore di lavoro e sono decisamente fuori dalla tua autorizzazione.

Se fossi in te, disconnetterei la WLAN e chiederò al tuo datore di lavoro la password se vuoi accedervi. A parte questo, dovresti smettere di cercare di usare le password di altre persone su qualsiasi punto di accesso solo per "vedere se è stato utilizzato lo stesso modello". A seconda del sistema legale dei paesi coinvolti, puoi affrontare problemi legali per questi tipi di atti.

Che cosa dovresti fare con le informazioni che hai?
Se il tuo datore di lavoro ti fornisce una password per un servizio o una risorsa che potresti segnalare, ad es. quella password sarebbe facilmente immaginabile per le altre persone. Non vorrei menzionare l'altra password qui direttamente però.
Se il tuo capo sembra interessato, potresti offrirti volontario per ricercare le migliori pratiche della password per l'azienda. Se sono seri su questo, ciò eliminerebbe le tue preoccupazioni.
Se c'è una persona IT nell'azienda potresti portargli queste preoccupazioni poiché probabilmente comprenderà meglio la necessità di una politica di password sicura.

A meno che tu non abbia ricevuto un mandato esplicito o implicito (*) per farlo, provare a indovinare le password per accedere a risorse che non ti sono state concesse è un'azione ostile, anche se le password sono banali o scritto in un posto che non dovresti leggere. Se trovi un opuscolo con "Riservato - riservato alle persone consentite" sulla copertina e comunque lo leggi, è anche un'azione ostile.

Il più che puoi fare è nel caso dell'opuscolo che dice "Ho visto lì un documento confidenziale lì, che qualcuno potrebbe leggere senza che nessun altro se ne accorga. Contiene davvero informazioni sensibili e se così fosse non dovrebbe essere conservato in un posto più sicuro? " - > nel senso che ho visto un possibile problema di sicurezza e ti ho avvertito, ma I ho rispettato il segno riservato .

O se hai scoperto la password di un collega (e se la seguente storia è possibile): "Ehi, dovevo collegarmi a un computer, stavo pensando a qualcos'altro, e ho inserito una password che uso a poi mi sono reso conto che ero collegato al tuo account. Ho subito effettuato il logout, ma dovresti davvero cambiare la password per un account professionale "

* Il mandato può essere implicito se si è incaricati di valutare la sicurezza generale. Ma in tal caso dovresti chiedere se puoi continuare non appena hai scoperto una password banale.

Sto dicendo la stessa cosa di altri, ma questo potrebbe davvero essere un problema legale per te (non sono un avvocato). Nel Regno Unito (*) un atto pertinente è il Computer Misuse Act 1990 che dice giusto all'inizio:

1 Unauthorised access to computer material.

(1)A person is guilty of an offence if—

(a)he causes a computer to perform any function with intent to secure access to any program or data held in any computer

(b)the access he intends to secure [F2, or to enable to be secured,] is unauthorised; and

(c)he knows at the time when he causes the computer to perform the function that that is the case.

vale a dire. se provi a provare ad accedere a qualsiasi cosa tu sappia, non dovresti.

La sottosezione 2 dice che non importa quale computer, quali dati, o che tipo di dati, nulla lo rende OK.

La sottosezione 3 dice:

(3)A person guilty of an offence under this section shall be liable—

(a)on summary conviction in England and Wales, to imprisonment for a term not exceeding 12 months or to a fine not exceeding the statutory maximum or to both;

E poi la sezione 2 della legge dice Accesso non autorizzato con l'intento di commettere o facilitare la commissione di ulteriori reati. - hai commesso un atto di accesso non autorizzato (ottenendo l'accesso al router) in modo da poter commettere un altro atto di accesso non autorizzato (accesso wifi).

In uno dei tuoi commenti, dici

no harm meant to be done

Ma la sezione 3 della legge è Atti non autorizzati con intento di compromettere, o con sconsideratezza come compromissione, funzionamento del computer, ecc. - anche se non intendi male, se agisci in modo avventato, è abbastanza. Unire un dispositivo (telefono) non protetto, sconosciuto, non autorizzato, personale alla rete aziendale 'potrebbe' metterli a rischio di tutti i tipi di stile cryptolocker bla bla.

Posso strongmente dubitare che questo si applichi in vigore a qualcuno in una piccola azienda che accede a un router, ma se vogliono sostenerlo, hai preso un lavoro temporaneo, irrotto nella loro rete, la loro email, il loro dominio / hosting di siti Web, incautamente mettono a rischio la loro rete e quindi il loro funzionamento aziendale e chissà quali furti, ricatti, estorsioni o danni avete intenzione di commettere.

E quel che è peggio, non capiscono l'IT, non sono interessati a quanto è divertente o quanto sia curioso, o quanto siano gravi o banali le tue azioni, se ottengono la parte sbagliata del bastone non ti starà bene.

Should I tell my boss their passwords are too bad?

Sì, tu dovresti . Ma non farlo se non hai ragione di pensare che lo prenderanno bene. E loro dovrebbero prendersi cura. Ma loro non lo fanno. E non è la tua azienda e non il tuo problema. Se mostrano interesse, suggerisci perché (in linea di principio) le password memorizzate del browser sono rischiose, o gli account condivisi sono rischiosi, o le password semplici sono rischiose.

Se non ci sono backup, incoraggiali a fare backup. "Salve, stavo leggendo questa notizia su GitLab ha quasi perso 300 GB di dati e mi ha fatto pensare che non abbiamo un buon backup qui - potremmo crearne uno per $ xyz, cosa ne pensi? "

(*) Altre giurisdizioni sono disponibili.

Mi sono messo più o meno nella tua esatta situazione una volta quando ero giovane. Mi sono annoiato a un lavoro temporaneo e ho iniziato a indagare sui punti deboli della sicurezza. Ho provato a chiuderlo inviando un'email anonima al sysadmin, che è fallito nei seguenti modi:

• Hanno dato di matto, pensando che la minaccia venisse inizialmente dall'esterno dell'azienda.
• Hanno sfogliato i log di sistema e interrogato e hanno quasi licenziato uno dei miei colleghi con cui ero amico e che non aveva niente a che fare con niente.
• Alla fine l'hanno rintracciata e mi hanno licenziato.
• Sono stato molto fortunato che non ha fatto di peggio.

La parte sul mio amico che stava per licenziare mi ha buttato per un giro. Nella mia arroganza, ero completamente ignaro di eventuali danni collaterali che potrei causare. Inoltre, quello che mi ha sorpreso è stato quando sono stato chiamato in quella stanza per essere licenziato, come le persone spaventate erano di me. Ignora i pensieri che hai delle persone che rispondono razionalmente.

Il mio suggerimento è interrompere immediatamente l'utilizzo di qualsiasi accesso non autorizzato. Se davvero non puoi fare il tuo lavoro senza una password, segnalalo e se ti danno quella password, fai notare quanto è debole. A parte questo, lascia stare. So che è difficile. Un giorno sarai in una posizione migliore per influenzare questo tipo di politiche. Devi solo essere paziente.

Non iniziare parlando delle password non sicure. Comincia invece sottolineando che non è una pratica sicura per te utilizzare il computer di un altro dipendente per accedere ai sistemi perché mette a rischio i dati di altri utenti (di un incidente anche se non sei malizioso o ficcanaso come sei). Cerca di convincerli che sarebbe più sicuro fornirti le password necessarie per svolgere il tuo lavoro. Sarebbe anche più efficiente dal momento che non dovresti bloccare l'altro utente dal lavoro. Se vogliono che tu abbia accesso, dovrebbero darti accesso. Se funziona, puoi commentare le password insicure che ti rivelano. Se sono preoccupati che tu conosca le password dopo che te ne sei andato, possono cambiarle in quel momento.

La maggior parte delle aziende di qualsiasi dimensione ha un meccanismo tramite il quale è possibile effettuare segnalazioni anonime di illeciti da parte di membri dello staff. Può essere definito un'integrità di un sistema di reporting di conformità.

Questa sorta di denuncia è incoraggiata a proteggere l'azienda da rivelazioni più dannose.

Vorrei verificare se il tuo datore di lavoro ha un tale sistema e, in tal caso, usarlo. Segnala i nomi delle persone coinvolte e, se ritieni che sia appropriato, anche la password che stanno utilizzando.

Dove lavoro, tali rapporti sono incoraggiati. Aiuteresti la società a proteggere i suoi dati senza rischi per te stesso.

Should I tell my boss their passwords are too bad?

Quando lavoro a un progetto, e mi viene data la password di un server / router ecc. ed è una password errata, dirò sempre qualcosa, e consiglio di usare password più forti / un gestore di password ecc.

Penso che sia una cosa ragionevole da fare.

With that in mind, I just wanted to see if the same pattern was used for other types of resources such as the email address, hosting accounts, etc. and yes, they were.

Sì, sicuramente non farlo. È contro la legge, e potresti finire con una fedina penale se il tuo datore di lavoro ha scoperto.

Dicendo loro finiresti per rivelare le azioni che hai preso per ottenere quelle informazioni e questo potrebbe metterti nei guai.

Se vuoi educarli sull'importanza di password complesse, potresti essere in grado di farlo senza divulgare ciò che sai.

Mentre sono d'accordo con gli altri che sei andato troppo lontano nel sondare la sicurezza e che non dovresti dire al tuo datore di lavoro delle password / dei sistemi che hai compromesso, penso che tu abbia la responsabilità di dire loro che le loro pratiche di sicurezza sembra essere povero e chiedere il permesso di indagare ulteriormente.

(ma assicurati di avere un permesso scritto, fuori sede prima di andare oltre)

Onestamente, tutto dipende dalla personalità del tuo capo e da quanto sai / ti fidi l'un l'altro. Ci sono molti datori di lavoro che non potrebbero importare di meno dei propri dipendenti e che approfitterebbero di tale situazione facendoti causa, ma allo stesso tempo ce ne sono molti che sono molto grati per questo consiglio e ti aiutano a fare del lavoro extra.

Si potrebbe dire qualcosa sulla falsariga di "Stavo guardando tutorial sulla sicurezza della rete e mi chiedevo se il sistema qui avesse tali difetti" o, in caso contrario, si potrebbe trovare un dipendente affidabile per dire che, che probabilmente sarebbe più accettato dal tuo capo.

E infine, c'è sempre l'approccio non dire nulla e fai semplicemente il tuo lavoro, fatti gli affari tuoi e dimenticatene. Sembra sbagliato, ma al giorno d'oggi ci sono troppe persone cattive che vogliono approfittare di buone azioni (come far notare i difetti nella sicurezza di un business) che non vale davvero il rischio di andare in prigione e pagare multe per aver tentato di essere un bel persona.

L'unico che può fare una mossa sei tu, e tutto dipende da quanto è buono il tuo giudizio sulle personalità delle persone.

And finally, there's always the dont-say-anything approach and just do your job, mind your own business, and forget about it. Seems wrong, but nowadays there's too many bad people that want to take advantage of genuinely good deeds (like pointing out flaws in a business' security) that it's not really worth the risk of going to jail and paying fines for trying to be a nice person.

E questo è esattamente quello che dovresti fare. Se dici una parola, anche solo un suggerimento, a chiunque - nessuno !, non solo il capo, o altri in quella compagnia - stai mettendo la tua sicurezza e libertà nelle sue mani. Tieni la bocca chiusa, fai il tuo lavoro e vai da qualche altra parte a lavorare dopo aver concluso il contratto. La tua situazione è pericolosa . I pubblici ministeri sono ricompensati per il numero di condanne, non il male del perpetratore.

Dipende dalla personalità del tuo capo. È intelligente, intelligente e comprensivo? Se sì, allora puoi dirglielo. Non sarà la causa per licenziarti o demotarti per qualche ragione. Invece, potresti essere ricompensato per il tuo talento e chissà, potrebbe essere anche una promozione.

Ma se la personalità del tuo capo è piuttosto ordinaria, dimenticala.

Prova a chiedere loro la password, a causa di blah blah blah. Se sanno che conosci la password, puoi dire loro che non sono sicuri e, molto probabilmente, accetteranno di cambiarlo! E dal momento che hai ottenuto la password in un modo "buono", sarai FINE.

Nota: prendi tutto ciò che è stato detto con un pizzico di sale, sto cercando di fornire un punto sul perché potresti non aver bisogno di una sicurezza elevata, ma questo non significa che non dovresti avere alcuna sicurezza.

Potrei fare l'avvocato del diavolo qui, ma la sicurezza è rischio vs ricompensa.

Quindi avere una password debole potrebbe non comportare molto, nel peggiore dei casi ci sono poche ore di rallentamento se qualcuno accede al sistema IT.

Ma lui dimentica la sua password "h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% μ454" e / o sprecando 5-10 minuti al giorno entrando e lui è frustrato perché si sbaglia qualcosa alcune volte sarebbe probabilmente peggio a lungo termine.

Quello che voglio dire è che a volte siamo presi da una paranoia di sicurezza e dimentichiamo che il rischio di qualcuno disposto ad attaccare la compagnia non è molto alto, e anche un completo fallimento dell'IT può significare solo dover tornare alla carta per un pochi giorni.

Per quanto riguarda come gestirlo, suggerisco casualmente di parlare con il tuo capo della sicurezza IT, e se pensa che sia importante o meno. Puoi discutere se i tuoi punti sono validi.

Se il tuo capo è d'accordo sul fatto che la sicurezza IT è importante, potresti chiedergli se puoi sondare in giro per vedere se ci sono problemi con la sicurezza. Fai quello che hai fatto, coscienziosamente e riferisci su di lui per posta con ogni problema che trovi, che rischio significa, e come / quanto a risolverlo.

La maggior parte delle volte i problemi con la sicurezza IT non provengono da fonti esterne, ma da (ex) dipendenti con rancore, quindi è probabilmente il motivo per cui non vuole che tu riceva le password.