Come posso proteggermi dalle false accuse quando la nostra azienda pratica il deposito di password?

Questo è ciò che la busta è (o dovrebbe essere) per: Per usare la tua password, è necessario rompere il sigillo della busta che hai firmato. Se ritieni che la tua password sia stata abusata, puoi chiedere di vedere la busta con la tua firma e controllare se non è ancora aperta.

Tutto quello che devi fare è che dovrebbe la tua gestione richiedere sempre la tua password, cambiare la password e consegnare una nuova busta. Ad ogni modo, potresti voler cambiare la tua password ad intervalli regolari: è la procedura consigliata più comune.

A proposito: nelle aziende con una corretta gestione IT questo metodo non è necessario, perché gli amministratori di sistema possono ricevere tutte le informazioni necessarie dagli account degli utenti senza dover conoscere le password dell'utente. Se un amministratore veramente deve accedere a un account utente, reimposta la password (creando una traccia di verifica verificabile). E di solito c'è più di un amministratore di sistema, quindi anche gli account di amministrazione non richiedono questo metodo.

Non penso che ti trovi in una situazione particolarmente peggiore di quella di non rivelare la tua password. Il tuo capo potrebbe:

• Chiedi all'amministratore di sistema di fare una copia della tua password attuale (con hash)
• Cambia in qualcosa di nuovo
• Fai qualcosa di malvagio nel tuo nome
• Rimetti la vecchia password (sostituisci l'hash di nuovo)

Ciò che ti ti protegge è che ci sono, presumibilmente, tracce di controllo delle cose che vengono fatte. Ad esempio, il monitoraggio delle e-mail tramite indirizzi IP.

Se ti trovi in una situazione migliore di prima. Ora puoi argomentare plausibilmente, se qualcosa di brutto viene fatto nel tuo nome: "Ma il mio capo ha insistito per avere la mia password, forse l'ha fatto".

Se le tracce di controllo possono essere utilizzate per dimostrare l'innocenza del tuo capo in questo tipo di situazione, allora può anche essere usato per dimostrare il tuo. E se non ci sono tracce di controllo, ci saranno dubbi su chi lo abbia fatto veramente - qualunque sia il suo ".

Modifica la password immediatamente dopo averlo consegnato.

Hai soddisfatto il suo obbligo di dargli una busta con la tua password e hai soddisfatto la necessità di mantenerla al sicuro. Nell'improbabile eventualità che cerchi di utilizzare la password della busta, puoi spiegare che è necessario cambiarla e che non ha ancora ricevuto la nuova busta.

In nessun caso mi fiderei di nessuno con una mia password, anche in una busta sigillata. Una busta è troppo facile da violare , anche senza rompere il sigillo. Anche utilizzando "buste di sicurezza", posizionando una luce intensa (super-torcia elettrica, proiettore per ufficio, faro di un'auto) sul lato posteriore di esso, il contenuto sarà visibile attraverso di esso. Considerando che le informazioni da ottenere sono probabilmente una singola parola stampata di grandi dimensioni, non è sicuro. Non ho mai lavorato per un'azienda che mi ha chiesto di fornire loro una password in una busta.

L'impegno con password come descritto nella tua situazione è molto insolito e carico di rischi. Il setup che descrivi si basa sulla fiducia che il tuo capo non solo è onesto con le sue intenzioni e motivazioni, ma assume anche che il tuo capo stia memorizzando quelle password in maniera sicura. Le buste sono conservate in luogo sicuro? Un archivio chiuso a chiave? Il suo cassetto della scrivania? Una cartella sulla sua scrivania?

La situazione ideale:

Escrow: A system where a disinterested third party holds money/information/property in trust on the condition that certain requirements are met before transferring said holdings to the receiving parties.

Nel tuo scenario, la persona che detiene la password non è una terza parte disinteressata. Questo è meno che perfetto, ma sono considerati affidabili dal management per essere onesti e sicuri nella gestione delle password.

Le alternative in altre risposte sono buoni suggerimenti. Un'alternativa alternativa allo scenario attuale sarebbe dividere la password in più parti. Ad esempio, metà della password fornita al tuo manager e l'altra metà è data dal manager del tuo manager (o Risorse umane, capo dipartimento o CEO, qualsiasi cosa abbia più senso). Come dividere la password e quante persone hanno accesso a quali parti della password variano a seconda della struttura di gestione dell'azienda.

Proprio come stanno cercando di mitigare i rischi avendo in primo luogo l'impegno delle password, dovrebbero evitare di avere un singolo punto di errore nel processo. Evitare conflitti di interesse e richiedere l'intervento di più parti farebbe molto per rendere l'impegno delle password più sicuro. Non è ancora una buona pratica di gestione, ma non deve essere tanto insicuro e rischioso quanto semplicemente consegnare la password al capo in una busta normale. Anche qualcosa di così semplice ed economico come l'aggiunta di un nastro di sicurezza resistente alla manomissione migliorerebbe lo scenario attuale.

Questo dovrebbe essere completamente inutile in un sistema configurato correttamente, assumendo che tu acceda a un dominio aziendale. In un sistema opportunamente configurato, accedendo a un dominio aziendale, tutti i dati che si modificano, creano o hanno accesso alla rete o sul sistema locale, verranno archiviati in una posizione accessibile da altri che hanno ciascuno le proprie credenziali di accesso che disporre delle autorizzazioni necessarie per accedere a tali dati. Utilizzando le proprie credenziali di accesso, non solo hanno accesso ai dati di rete, ma anche dati locali e i registri di controllo mostreranno chi ha fatto cosa e quando. Essere NECESSARI di dare il proprio nome utente e password a CHIUNQUE non è solo una cattiva pratica, ma è altamente irregolare, rischioso e / o indicativo di un sistema incompetente / amministrazione di rete.

Se fossi nei tuoi panni, chiederei ai suoi superiori su tale politica, cambiare la mia password e rifiutare. Se il tuo lavoro è minacciato, allora chiamerei il loro / il suo / a / i / a bluff e si preparerà a presentare denuncia per interruzione ingiustificata se ti licenzi. Personalmente, non darei mai queste informazioni e non mi fiderei di una busta sigillata come misura di sicurezza per mantenere le persone oneste (le buste sigillate possono essere aperte e richiuse, se sai come o una nuova busta sigillata con una firma contraffatta). i capi apparentemente più simpatici potrebbero semplicemente mettersi in atto fino a quando non si accendono e ti incastrano per qualcosa. Ho visto qualcosa di simile, tranne che al posto di una busta sigillata contenente una password, si trattava di un disco contenente una copia di backup delle chiavi di crittografia. Il fallout non è stato bello e il manager è stato licenziato dopo che i dischi e i dati sono stati rubati. Non sorprendentemente, il manager licenziato non ha mai avuto un altro lavoro, non ha mai avuto problemi di soldi e un concorrente è arrivato sul mercato per primo con lo stesso progetto su cui stavamo lavorando. Prima del furto, il nostro concorrente non aveva nemmeno un prodotto simile. Stai attento e pensa al mio consiglio. Questo mi sembra molto sospetto e così spesso, in questi tempi, le persone più gentili / simpatiche si rivelano essere i serpenti più velenosi.

Questo è purtroppo comune nelle piccole aziende che utilizzano i servizi cloud, senza avere una relazione commerciale con il provider cloud.

Contrassegna la busta per renderla un po 'più a prova di manomissione, il gioco è fatto. Una mia ex azienda usa ancora il mio indirizzo e-mail personale nel loro dominio, non è mai riuscito a modificare la registrazione del dominio dopo che me ne sono andato.

Cambia frequentemente la password e consegna sempre nuove buste. Avrebbero anche bisogno di produrre tutte le vecchie buste, in modo che possano provare di non averne aperto uno. Poiché la maggior parte dei servizi online non fornisce traccia di controllo. Quindi puoi sempre stare in piedi in modo innocente.

Chiamiamolo di cosa si tratta: una soluzione alternativa per mancanza di controllo di accesso appropriato. La vera soluzione è correggere / migliorare il controllo degli accessi.

In particolare, qui: perché il tuo capo non può accedere alle cose a cui puoi accedere con il suo account?

L'unico scopo delle credenziali è autenticare un'identità. Se lo spezziamo, diventano inutili. Potresti anche rimuovere il concetto di "account" e usare segreti condivisi per tutto.

Quindi, in alternativa al totale rifiuto, tentare di convincerlo ad affrontare il problema di fondo (che probabilmente è apparso a causa di un malinteso) potrebbe essere utile. Se argomentato correttamente, questo non dovrebbe creare attriti: il risultato finale è un sistema più sicuro per tutti.

Non ho mai avuto per me in nessuna compagnia in cui mi trovavo.

In tal caso, inserisco nella busta un messaggio che recita "In caso di emergenza chiama il numero di cellulare mobile ".

In caso di emergenza, posso scrivere la password al telefono ed essere informata che è stata usata - e il mio capo potrebbe fare tutto il necessario. Quindi è tutto ciò di cui ha bisogno.

Se la busta viene usata in modo scorretto / rubata / scansionata / rotta - non permetterebbe a nessuno di impersonarmi.

L'esistenza stessa della busta ti protegge da qualsiasi azione nefasta del tuo capo. In generale, non è necessario dimostrare la tua innocenza. Qualcun altro deve dimostrare la tua colpevolezza. E questo sarà molto difficile se è noto che qualcun altro ha accesso all'account incriminante. Se sei veramente preoccupato, firma semplicemente la busta. Quindi, se il tuo capo riesce a leggere la password attraverso la busta per fare qualcosa di nefasto, puoi rifiutare la validità della busta stessa.

Note a margine:

1. Questa non è una pratica comune in nessuna grande azienda, ma posso vedere come avrebbe senso qualcuno che tentasse di gestire una piccola azienda. In effetti, ho sentito parlare di diverse piccole aziende che si sono messe nei guai quando una risorsa chiave è rimasta senza rivelare le password a vari software.
2. Se vuoi mai commettere un crimine usando il tuo account, assicurati che molte altre persone abbiano prima accesso alla tua password.

È una grande bugia - nessuno ha bisogno del tuo pass per accedere al tuo account, ci sono degli account amministrativi solo per questo scopo. Ancor più: non è una pratica comune tranne per gli imbroglioni che desiderano biasimarti e ridurre / rimuovere il tuo libro paga . Né il pass, né i certificati sono necessari per un amministratore per dare un'occhiata al tuo account completo.

Se sei preoccupato per il tuo capo che apre la busta, usa la tua password per azioni nefaste, e poi richiudi la tua password in una nuova busta e forgia la tua firma, poi schizza un po 'di vernice, stile Jackson Pollock, sulla busta dopo aver firmato a destra attraverso l'area incollata, e quindi prendere alcune foto ad altissima risoluzione della busta per identificare facilmente eventuali falsi tentativi di Pollock. Assicurati di proteggere anche la password da qualsiasi radiazione visibile, a raggi infrarossi, raggi gamma o qualsiasi altra forma di radiazioni che possano consentire al tuo capo di leggere la tua password senza aprire la busta, racchiudendo la tua password in un grosso filo caso prima di metterlo nella busta.

Naturalmente, dovrai anche preoccuparti che una videocamera ti abbia registrato mentre scrivevi la password in primo luogo. In tal caso, assicurati di aver fatto tutto ciò a casa e di non aver mai avuto accesso a casa tua.

Penso che lo copra.

EDIT:

Tranne, naturalmente, se il tuo capo strappa la busta aperta, esegue le azioni nefande e poi avvia un grave incendio con tostapane nella stanza degli snack nella stanza successiva nello stesso giorno in cui le telecamere di sicurezza sono in riparazione e non in linea, bruciando così tutta la busta della password e si sta assolvendo da ogni sospetto. Quindi ti consiglio di spruzzare l'intera stanza e le stanze vicine con una schiuma ignifuga. Questo dovrebbe risolvere il tuo problema.

In realtà ciò dipende dalle leggi nazionali e / o statali che vivi. Questa è più una domanda per il diritto del lavoro, piuttosto che una questione di sicurezza informatica.

La ragione per cui si tratta di una questione di diritto del lavoro è che dipende dalle dimensioni dell'organizzazione, dai dati e dal sistema in questione, dal contratto generale di lavoro e dalle politiche aziendali.

Le aziende possono e fanno scrivere questo in contratti di lavoro. In generale, il manuale del dipendente spiegherà quali dati o sistemi informatici appartengono a loro o hanno clausole nella loro politica aziendale generale che descrivono quali sistemi informatici appartengono a loro. Se possiedono il sistema in questione a seconda del sistema utilizzato, non solo hanno il diritto alla tua password, ma sono legalmente autorizzati a fare tutto ciò che vogliono con la tua password, i dati coinvolti nel sistema e qualsiasi cosa in tra tutti in conformità con le leggi federali, statali e locali all'interno della propria giurisdizione.

Ecco perché le aziende possono imporre l'uso di proxy per registrare informazioni. Tuttavia, se il sistema in questione non è di proprietà della loro organizzazione e stai utilizzando la loro rete, diventa un'area grigia a causa delle leggi sulla privacy.

L'unico modo per impedirlo è il seguente:

1) In breve, tu come dipendente, non puoi impedirlo, se possiedono le informazioni / dati e il sistema a cui hai accesso.

2) Leggi il manuale del tuo dipendente, il tuo contratto di lavoro e in particolare chiedi quali informazioni e dati sono di proprietà specifica dell'azienda. Questo include tutto, dalle tue idee, al tuo contratto di assegnazione dell'invenzione e a qualsiasi informazione personale che consideri privata.

3) Separare l'uso personale dall'uso aziendale, Se l'azienda fornisce un laptop o un sistema informativo da utilizzare, non utilizzarlo per uso personale. Questa è l'area che diventa grigia. Ad esempio, se hai pubblicato segreti aziendali su Facebook, siano essi sul tuo personal computer o sui loro potrebbero possedere ancora i dati.

Direi che è tipico e usato abbastanza comunemente nel settore. Non esattamente allo stesso modo però.

Molte aziende utilizzano gestori di password in cui possono accedere alle password dei dipendenti e le password possono essere condivise tra i dipendenti. Questo è principalmente per l'accesso a servizi di terze parti che non supportano account utente individuali.

Questo sarebbe specifico solo per gli accessi relativi alle società. Nessun login personale dovrebbe avere questo.