Come posso proteggermi dalle false accuse quando la nostra azienda pratica il deposito di password?

83

Durante uno stage per una piccola azienda, il mio capo ha creato un account per me, così ho generato una password e l'ho usata. Il giorno dopo, il mio capo mi ha detto di scrivere la password del mio account su un foglio di carta, di metterlo in una lettera e di firmare la busta. Poi ha preso la lettera e mi ha detto che se ha bisogno di accedere al mio account e io sono irraggiungibile, è autorizzato ad aprire la busta e leggere la password per usarlo.

Mi ha anche detto che questa è una pratica comune in tutte le società . Ora non so se ogni azienda lo fa (non penso) ma, per me, non è legale.

Diciamo che il mio capo è una persona cattiva ( non è ) e vuole incastrarmi per qualcosa che ha fatto. Deve solo aprire la lettera e leggere la mia password (diciamo che sono irraggiungibile) e fare la sua nefasta attività con il mio account.

Ora diciamo che non posso provare la mia innocenza . Come posso evitare tutto questo? Ho pensato di scrivere una password sbagliata, ma se ha davvero bisogno del mio account e sono irraggiungibile, lo metterò in una brutta situazione.

Quindi c'è un modo per proteggermi (senza rifiutare di scrivere la password)?

    
posta malloc 31.01.2016 - 18:28
fonte

14 risposte

122

Questo è ciò che la busta è (o dovrebbe essere) per: Per usare la tua password, è necessario rompere il sigillo della busta che hai firmato. Se ritieni che la tua password sia stata abusata, puoi chiedere di vedere la busta con la tua firma e controllare se non è ancora aperta.

Tutto quello che devi fare è che dovrebbe la tua gestione richiedere sempre la tua password, cambiare la password e consegnare una nuova busta. Ad ogni modo, potresti voler cambiare la tua password ad intervalli regolari: è la procedura consigliata più comune.

A proposito: nelle aziende con una corretta gestione IT questo metodo non è necessario, perché gli amministratori di sistema possono ricevere tutte le informazioni necessarie dagli account degli utenti senza dover conoscere le password dell'utente. Se un amministratore veramente deve accedere a un account utente, reimposta la password (creando una traccia di verifica verificabile). E di solito c'è più di un amministratore di sistema, quindi anche gli account di amministrazione non richiedono questo metodo.

    
risposta data 31.01.2016 - 19:20
fonte
26

Non penso che ti trovi in una situazione particolarmente peggiore di quella di non rivelare la tua password. Il tuo capo potrebbe:

  • Chiedi all'amministratore di sistema di fare una copia della tua password attuale (con hash)
  • Cambia in qualcosa di nuovo
  • Fai qualcosa di malvagio nel tuo nome
  • Rimetti la vecchia password (sostituisci l'hash di nuovo)

Ciò che ti ti protegge è che ci sono, presumibilmente, tracce di controllo delle cose che vengono fatte. Ad esempio, il monitoraggio delle e-mail tramite indirizzi IP.

Se ti trovi in una situazione migliore di prima. Ora puoi argomentare plausibilmente, se qualcosa di brutto viene fatto nel tuo nome: "Ma il mio capo ha insistito per avere la mia password, forse l'ha fatto".

Se le tracce di controllo possono essere utilizzate per dimostrare l'innocenza del tuo capo in questo tipo di situazione, allora può anche essere usato per dimostrare il tuo. E se non ci sono tracce di controllo, ci saranno dubbi su chi lo abbia fatto veramente - qualunque sia il suo ".

    
risposta data 01.02.2016 - 07:11
fonte
13

Modifica la password immediatamente dopo averlo consegnato.

Hai soddisfatto il suo obbligo di dargli una busta con la tua password e hai soddisfatto la necessità di mantenerla al sicuro. Nell'improbabile eventualità che cerchi di utilizzare la password della busta, puoi spiegare che è necessario cambiarla e che non ha ancora ricevuto la nuova busta.

In nessun caso mi fiderei di nessuno con una mia password, anche in una busta sigillata. Una busta è troppo facile da violare , anche senza rompere il sigillo. Anche utilizzando "buste di sicurezza", posizionando una luce intensa (super-torcia elettrica, proiettore per ufficio, faro di un'auto) sul lato posteriore di esso, il contenuto sarà visibile attraverso di esso. Considerando che le informazioni da ottenere sono probabilmente una singola parola stampata di grandi dimensioni, non è sicuro. Non ho mai lavorato per un'azienda che mi ha chiesto di fornire loro una password in una busta.

    
risposta data 01.02.2016 - 14:57
fonte
13

L'impegno con password come descritto nella tua situazione è molto insolito e carico di rischi. Il setup che descrivi si basa sulla fiducia che il tuo capo non solo è onesto con le sue intenzioni e motivazioni, ma assume anche che il tuo capo stia memorizzando quelle password in maniera sicura. Le buste sono conservate in luogo sicuro? Un archivio chiuso a chiave? Il suo cassetto della scrivania? Una cartella sulla sua scrivania?

La situazione ideale:

Escrow: A system where a disinterested third party holds money/information/property in trust on the condition that certain requirements are met before transferring said holdings to the receiving parties.

Nel tuo scenario, la persona che detiene la password non è una terza parte disinteressata. Questo è meno che perfetto, ma sono considerati affidabili dal management per essere onesti e sicuri nella gestione delle password.

Le alternative in altre risposte sono buoni suggerimenti. Un'alternativa alternativa allo scenario attuale sarebbe dividere la password in più parti. Ad esempio, metà della password fornita al tuo manager e l'altra metà è data dal manager del tuo manager (o Risorse umane, capo dipartimento o CEO, qualsiasi cosa abbia più senso). Come dividere la password e quante persone hanno accesso a quali parti della password variano a seconda della struttura di gestione dell'azienda.

Proprio come stanno cercando di mitigare i rischi avendo in primo luogo l'impegno delle password, dovrebbero evitare di avere un singolo punto di errore nel processo. Evitare conflitti di interesse e richiedere l'intervento di più parti farebbe molto per rendere l'impegno delle password più sicuro. Non è ancora una buona pratica di gestione, ma non deve essere tanto insicuro e rischioso quanto semplicemente consegnare la password al capo in una busta normale. Anche qualcosa di così semplice ed economico come l'aggiunta di un nastro di sicurezza resistente alla manomissione migliorerebbe lo scenario attuale.

    
risposta data 01.02.2016 - 20:10
fonte
8

Philipp è corretto qui. Permettimi di riaffermare qualcosa che ha detto:

In order to use your password, one needs to break the seal of the envelope you signed. When you think your password was abused, you can ask to see the envelope with your signature and check if it is still unopened.

Per aggiungere a ciò che sta dicendo, la tua azienda sembra avere pratiche di gestione IT grossolanamente errate. Quello che dovresti fare a questo punto è assicurarti che la tua password non sia la stessa che usi altrove.

Assumi sempre che il tuo datore di lavoro abbia accesso a qualsiasi cosa tu stia facendo online. Anche se non lo fanno. Non accedere ai tuoi account di social network sul posto di lavoro. Non accedere ai tuoi conti bancari. Usa il tuo computer di lavoro per le attività legate al lavoro. Se hai un cellulare, è ancora più facile.

Il tuo datore di lavoro dovrebbe essere in grado di fare tutto ciò che desidera, entro i limiti della legge, sul tuo computer di lavoro. Non dovresti avere alcuna aspettativa di privacy.

    
risposta data 01.02.2016 - 15:17
fonte
4

Questo dovrebbe essere completamente inutile in un sistema configurato correttamente, assumendo che tu acceda a un dominio aziendale. In un sistema opportunamente configurato, accedendo a un dominio aziendale, tutti i dati che si modificano, creano o hanno accesso alla rete o sul sistema locale, verranno archiviati in una posizione accessibile da altri che hanno ciascuno le proprie credenziali di accesso che disporre delle autorizzazioni necessarie per accedere a tali dati. Utilizzando le proprie credenziali di accesso, non solo hanno accesso ai dati di rete, ma anche dati locali e i registri di controllo mostreranno chi ha fatto cosa e quando. Essere NECESSARI di dare il proprio nome utente e password a CHIUNQUE non è solo una cattiva pratica, ma è altamente irregolare, rischioso e / o indicativo di un sistema incompetente / amministrazione di rete.

Se fossi nei tuoi panni, chiederei ai suoi superiori su tale politica, cambiare la mia password e rifiutare. Se il tuo lavoro è minacciato, allora chiamerei il loro / il suo / a / i / a bluff e si preparerà a presentare denuncia per interruzione ingiustificata se ti licenzi. Personalmente, non darei mai queste informazioni e non mi fiderei di una busta sigillata come misura di sicurezza per mantenere le persone oneste (le buste sigillate possono essere aperte e richiuse, se sai come o una nuova busta sigillata con una firma contraffatta). i capi apparentemente più simpatici potrebbero semplicemente mettersi in atto fino a quando non si accendono e ti incastrano per qualcosa. Ho visto qualcosa di simile, tranne che al posto di una busta sigillata contenente una password, si trattava di un disco contenente una copia di backup delle chiavi di crittografia. Il fallout non è stato bello e il manager è stato licenziato dopo che i dischi e i dati sono stati rubati. Non sorprendentemente, il manager licenziato non ha mai avuto un altro lavoro, non ha mai avuto problemi di soldi e un concorrente è arrivato sul mercato per primo con lo stesso progetto su cui stavamo lavorando. Prima del furto, il nostro concorrente non aveva nemmeno un prodotto simile. Stai attento e pensa al mio consiglio. Questo mi sembra molto sospetto e così spesso, in questi tempi, le persone più gentili / simpatiche si rivelano essere i serpenti più velenosi.

    
risposta data 02.02.2016 - 05:33
fonte
3

Questo è purtroppo comune nelle piccole aziende che utilizzano i servizi cloud, senza avere una relazione commerciale con il provider cloud.

Contrassegna la busta per renderla un po 'più a prova di manomissione, il gioco è fatto. Una mia ex azienda usa ancora il mio indirizzo e-mail personale nel loro dominio, non è mai riuscito a modificare la registrazione del dominio dopo che me ne sono andato.

Cambia frequentemente la password e consegna sempre nuove buste. Avrebbero anche bisogno di produrre tutte le vecchie buste, in modo che possano provare di non averne aperto uno. Poiché la maggior parte dei servizi online non fornisce traccia di controllo. Quindi puoi sempre stare in piedi in modo innocente.

    
risposta data 02.02.2016 - 11:43
fonte
3

Chiamiamolo di cosa si tratta: una soluzione alternativa per mancanza di controllo di accesso appropriato. La vera soluzione è correggere / migliorare il controllo degli accessi.

In particolare, qui: perché il tuo capo non può accedere alle cose a cui puoi accedere con il suo account?

L'unico scopo delle credenziali è autenticare un'identità. Se lo spezziamo, diventano inutili. Potresti anche rimuovere il concetto di "account" e usare segreti condivisi per tutto.

Quindi, in alternativa al totale rifiuto, tentare di convincerlo ad affrontare il problema di fondo (che probabilmente è apparso a causa di un malinteso) potrebbe essere utile. Se argomentato correttamente, questo non dovrebbe creare attriti: il risultato finale è un sistema più sicuro per tutti.

    
risposta data 03.02.2016 - 11:44
fonte
2

Non ho mai avuto per me in nessuna compagnia in cui mi trovavo.

In tal caso, inserisco nella busta un messaggio che recita "In caso di emergenza chiama il numero di cellulare mobile ".

In caso di emergenza, posso scrivere la password al telefono ed essere informata che è stata usata - e il mio capo potrebbe fare tutto il necessario. Quindi è tutto ciò di cui ha bisogno.

Se la busta viene usata in modo scorretto / rubata / scansionata / rotta - non permetterebbe a nessuno di impersonarmi.

    
risposta data 03.02.2016 - 17:26
fonte
1

L'esistenza stessa della busta ti protegge da qualsiasi azione nefasta del tuo capo. In generale, non è necessario dimostrare la tua innocenza. Qualcun altro deve dimostrare la tua colpevolezza. E questo sarà molto difficile se è noto che qualcun altro ha accesso all'account incriminante. Se sei veramente preoccupato, firma semplicemente la busta. Quindi, se il tuo capo riesce a leggere la password attraverso la busta per fare qualcosa di nefasto, puoi rifiutare la validità della busta stessa.

Note a margine:

  1. Questa non è una pratica comune in nessuna grande azienda, ma posso vedere come avrebbe senso qualcuno che tentasse di gestire una piccola azienda. In effetti, ho sentito parlare di diverse piccole aziende che si sono messe nei guai quando una risorsa chiave è rimasta senza rivelare le password a vari software.
  2. Se vuoi mai commettere un crimine usando il tuo account, assicurati che molte altre persone abbiano prima accesso alla tua password.
risposta data 03.02.2016 - 22:08
fonte
1

È una grande bugia - nessuno ha bisogno del tuo pass per accedere al tuo account, ci sono degli account amministrativi solo per questo scopo. Ancor più: non è una pratica comune tranne per gli imbroglioni che desiderano biasimarti e ridurre / rimuovere il tuo libro paga . Né il pass, né i certificati sono necessari per un amministratore per dare un'occhiata al tuo account completo.

    
risposta data 04.02.2016 - 00:05
fonte
0

Se sei preoccupato per il tuo capo che apre la busta, usa la tua password per azioni nefaste, e poi richiudi la tua password in una nuova busta e forgia la tua firma, poi schizza un po 'di vernice, stile Jackson Pollock, sulla busta dopo aver firmato a destra attraverso l'area incollata, e quindi prendere alcune foto ad altissima risoluzione della busta per identificare facilmente eventuali falsi tentativi di Pollock. Assicurati di proteggere anche la password da qualsiasi radiazione visibile, a raggi infrarossi, raggi gamma o qualsiasi altra forma di radiazioni che possano consentire al tuo capo di leggere la tua password senza aprire la busta, racchiudendo la tua password in un grosso filo caso prima di metterlo nella busta.

Naturalmente, dovrai anche preoccuparti che una videocamera ti abbia registrato mentre scrivevi la password in primo luogo. In tal caso, assicurati di aver fatto tutto ciò a casa e di non aver mai avuto accesso a casa tua.

Penso che lo copra.

EDIT:

Tranne, naturalmente, se il tuo capo strappa la busta aperta, esegue le azioni nefande e poi avvia un grave incendio con tostapane nella stanza degli snack nella stanza successiva nello stesso giorno in cui le telecamere di sicurezza sono in riparazione e non in linea, bruciando così tutta la busta della password e si sta assolvendo da ogni sospetto. Quindi ti consiglio di spruzzare l'intera stanza e le stanze vicine con una schiuma ignifuga. Questo dovrebbe risolvere il tuo problema.

    
risposta data 02.02.2016 - 10:44
fonte
0

In realtà ciò dipende dalle leggi nazionali e / o statali che vivi. Questa è più una domanda per il diritto del lavoro, piuttosto che una questione di sicurezza informatica.

La ragione per cui si tratta di una questione di diritto del lavoro è che dipende dalle dimensioni dell'organizzazione, dai dati e dal sistema in questione, dal contratto generale di lavoro e dalle politiche aziendali.

Le aziende possono e fanno scrivere questo in contratti di lavoro. In generale, il manuale del dipendente spiegherà quali dati o sistemi informatici appartengono a loro o hanno clausole nella loro politica aziendale generale che descrivono quali sistemi informatici appartengono a loro. Se possiedono il sistema in questione a seconda del sistema utilizzato, non solo hanno il diritto alla tua password, ma sono legalmente autorizzati a fare tutto ciò che vogliono con la tua password, i dati coinvolti nel sistema e qualsiasi cosa in tra tutti in conformità con le leggi federali, statali e locali all'interno della propria giurisdizione.

Ecco perché le aziende possono imporre l'uso di proxy per registrare informazioni. Tuttavia, se il sistema in questione non è di proprietà della loro organizzazione e stai utilizzando la loro rete, diventa un'area grigia a causa delle leggi sulla privacy.

L'unico modo per impedirlo è il seguente:

1) In breve, tu come dipendente, non puoi impedirlo, se possiedono le informazioni / dati e il sistema a cui hai accesso.

2) Leggi il manuale del tuo dipendente, il tuo contratto di lavoro e in particolare chiedi quali informazioni e dati sono di proprietà specifica dell'azienda. Questo include tutto, dalle tue idee, al tuo contratto di assegnazione dell'invenzione e a qualsiasi informazione personale che consideri privata.

3) Separare l'uso personale dall'uso aziendale, Se l'azienda fornisce un laptop o un sistema informativo da utilizzare, non utilizzarlo per uso personale. Questa è l'area che diventa grigia. Ad esempio, se hai pubblicato segreti aziendali su Facebook, siano essi sul tuo personal computer o sui loro potrebbero possedere ancora i dati.

    
risposta data 04.02.2016 - 00:10
fonte
-1

Direi che è tipico e usato abbastanza comunemente nel settore. Non esattamente allo stesso modo però.

Molte aziende utilizzano gestori di password in cui possono accedere alle password dei dipendenti e le password possono essere condivise tra i dipendenti. Questo è principalmente per l'accesso a servizi di terze parti che non supportano account utente individuali.

Questo sarebbe specifico solo per gli accessi relativi alle società. Nessun login personale dovrebbe avere questo.

    
risposta data 04.02.2016 - 01:55
fonte

Leggi altre domande sui tag