È corretto comunicare la password al sysadmin della tua azienda?

Risposta breve:

ASSOLUTAMENTE NON!
La tua password è tra te e il tuo computer da solo.
Nessun altro.

Non il tuo capo, il suo capo, l'amministratore di sistema, il tuo funzionario bancario, il tuo agente assicurativo, il tuo tecnico di supporto ISP o il tuo gatto. Bene, puoi dire al tuo gatto, se promette di non condividerlo.

Non c'è MAI una buona ragione per condividere una password.
Ci sono molte ragioni per NON farlo. Principalmente, perché una password è TUA autenticazione, e non appena nemmeno un'altra persona lo sa, non può più dimostrare la tua identità.

Qualsiasi motivo per cui il tuo amministratore si avvicina, è falso, sia perché è malevolo, pigro, disinformato o incompetente.
Detto questo, potrebbe non essere colpa sua, ma è colpa della sua organizzazione. Ad ogni modo, c'è l'incompetenza, l'ignoranza e la pigrizia abbondano.

Se un amministratore o QUALSIASI tecnico di supporto richiede la tua password, la risposta corretta è RISATA.
Perché non c'è modo di essere seri, giusto?

Se il tuo amministratore insiste - spiegagli che documenterai la condivisione della tua password con lui ... e che, in base a questo, invierai cattive email a tutti intorno - non a su lui, ma tu affermerai che sono venuti da lui (usando il tuo account, nel tuo nome, usando la tua password che hai appena condiviso con lui). Ovviamente non sarà in grado di dimostrare che non ha abusato della tua password ... che è il punto.

No, a pensarci bene, non dargli la tua password. È tuo, tra te e il solo computer.

Proviamo un'altra idea: daresti un dito al tuo responsabile IT in modo che possa riparare il tuo accesso al tuo edificio mentre lavori?

Supporrò che la risposta sia no. Lo stesso vale per la tua password. Anche se hai una sola password per tutti i tuoi servizi (il che non succede mai, anche per me lo confesso) la password non dovrebbe MAI MAI condivisa con nessuno. È l'unica cosa che può autenticarti. Questo può darti la pena di perdere tempo con il tuo supporto IT, ma questo può anche mandarti in prigione per un lungo periodo.

Quindi, sicuramente: no

È stato spiegato prima che nessuno dovrebbe mai dare la sua password ad un amministratore (sto bene con tutto questo), ma dovresti controllare con il suo superiore cosa sta succedendo, perché se ha chiesto il tuo, è possibile che abbia chiesto la password degli altri 18 (il 19 è probabilmente il suo superiore) e sono abbastanza sicuro che alcuni dei tuoi colleghi di lavoro usano la stessa password ovunque.

Risposta breve, se è un amministratore non dovrebbe mai aver bisogno della tua password. Lo scenario peggiore è che ha bisogno di reimpostare la tua password e darti una nuova (che cambieresti prontamente).

A meno che non vi siano circostanze attenuanti, password / codici / frasi sono solo per te. (e.i. se l'amministratore non ha un account privilegiato sul tuo PC)

Ho inserito alcuni lavori in cui un dipendente di vecchia data disporrà di una macchina una tantum che non ha un account amministratore che posso utilizzare su di essa, ma anche in questo caso è una soluzione migliore avere l'utente (supponendo che hanno i diritti per) rendere l'amministratore un account privilegiato che possono usare. Quindi anche a quel punto mi viene difficile pensare a un motivo valido per cui l'amministratore abbia bisogno della tua password. È sempre un giorno triste sapere che l'utente non ha diritti amministrativi, non è connesso al dominio e l'amministratore che lo ha configurato non ha funzionato lì per 10 anni ......

P.S. come detto in un'altra risposta, è possibile che l'amministratore sia abituato a ricevere il trattamento "get it done" dai propri superiori, il che potrebbe comportare la richiesta di password.

Potrebbe essere il momento di estrapolare la tua politica di sicurezza IT. Se ne hai uno nella tua organizzazione. Altrimenti, è tempo di mettere la squadra a sedersi e digitarne una.

Può darsi che questo amministratore non abbia letto o sia stato addestrato.

Una cultura di distribuzione delle password aumenterà sicuramente le probabilità che gli account vengano inclusi se non ci sono controlli in atto per verificare ogni singola richiesta.

Anche le questioni sollevate in merito alla responsabilità sono un po 'preoccupanti.

Di sicuro non è una buona pratica.

C'è anche un altro problema con la condivisione delle password.

Se succede qualcosa al tuo account o al tuo account mentre qualcun altro è registrato, sei quello che verrà incolpato. Anche se all'interno dell'azienda è ok condividere la password con la politica di sicurezza, legalmente (per legge, almeno nel mio paese) sei colui che verrà accusato.

La domanda principale che viene posta è: "È mai necessario che un amministratore richieda una password?" Chiaramente, non dovrebbe essere necessario. Ma definiamo "necessario" come "richiesto per realizzare qualcosa di critico".

Con questi parametri, in caso di difetti gravi / di rottura nell'infrastruttura di sicurezza potrebbe essere necessario esporre una password per eseguire attività critiche. Ho visto sistemi incerti in entrambe le grandi società e il governo che sono stati gestiti così per anni prima di incontrarli. E dal punto di vista del mantenimento dell'operazione, sì, è stato necessario continuare ad avere quel tipo di esposizione della password durante le correzioni.

La chiave in ciascun caso è stata quella di documentare il problema, documentare e comunicare chiaramente i rischi di operare in questa situazione di sicurezza imperfetta, ottenere una dichiarazione di policy dalla dirigenza dirigenziale in quali circostanze l'esposizione della password dovrebbe verificarsi durante le correzioni, quindi a documentare l'esposizione della password necessaria per continuare a funzionare mentre il sistema di sicurezza veniva corretto.

In breve, non dovrebbe mai essere necessario. Ma se lo è, proteggiti spostando il rischio di responsabilità da te stesso e verso il partito responsabile delle decisioni / infrastrutture che lo rendono improprio necessario. E, naturalmente, se non c'è una mossa per risolvere il problema, potresti prendere in considerazione la possibilità di andare avanti.

Forse .. Quanto ti fidi di loro? Usi questa password altrove? Se si tratta della stessa password (o qualche sua semplice derivazione) che usi per accedere a luoghi che consentono la manipolazione diretta delle tue finanze, allora ti conviene che il sysadmin non usi la tua password per accedere a tali aree. Amazon Customer Service: "Bene, i nostri file di log e audit trail mostrano che tu hai acquistato quelle 1200 copie di" Sharknado 2 "."

La tua convenienza è più importante della tua sicurezza? "Uomo ... Se non concedo a sysadmin la mia password corrente, la cambieranno e dovrò cambiarla di nuovo nella configurazione email del mio telefono. BOGUS !!!"

La password è quella che ti metterebbe in imbarazzo perché le persone lo sappiano? (stella della Reality-TV preferita, parolaccia, posizione sessuale ...)

Gli esempi sopra suggeriscono che la risposta sarebbe "no". Ma ...

Il sysadmin: "Dato che hai deciso di crittografare il tuo disco rigido con TrueCrypt che l'azienda non supporta, non posso recuperare alcun dato dal tuo laptop a meno che non disponga della tua password di decrittografia."

Quindi la risposta non sarà "sì" o "no" in ogni circostanza. La risposta dipende dalle circostanze che circondano il motivo per cui viene richiesto.

E ... considera sempre chi, a parte te stesso, potrebbe essere danneggiato in qualche modo se qualcuno oltre a te avesse la tua password. Servizio segreto: "Signor Presidente, hai dato i codici di lancio nucleari a quel ragazzo ???"

Se l'amministratore sta tentando di diagnosticare un problema che stai riscontrando, potrebbero esserci buone ragioni per accedere al tuo account "come te" per identificare il tuo problema in modo efficiente. Hai una probabilità molto più alta di risolvere il tuo problema se lo rendi più facile per loro.

Considera che i tuoi dati non sono davvero segreti dagli amministratori di sistema, quindi l'unico la cosa che stai effettivamente proteggendo è la password stessa. Se lo sei già seguendo una buona igiene della password, non ha valore finché lo si cambia di nuovo non appena sono terminati.

L'alternativa: che hanno una backdoor per aggirare il bisogno di password, non è nemmeno attraente.