Sono un consulente IT. Devo scoraggiare un cliente dal dirmi la sua password?

54

Sono un consulente IT. Un cliente mi conosce da alcuni anni. Vuole che faccia di nuovo del lavoro sul portatile dei suoi figli. Dovrò accedere all'account utente Windows dei suoi figli. (Immagino che più ragazzi condividano un account.)

Questa volta, vuole lasciare la macchina con me. Vorrebbe dirmi la password dei bambini ( "piano A" ): si fida di me. Ma non voglio che prenda l'abitudine di pratiche insicure come la condivisione di password con i consulenti IT.

Potrei proporre e spingere un "piano B" :

  • Cambia la password dei bambini in una nuova password temporanea.
  • Accedo, eseguo il lavoro, quindi impone una modifica della password all'accesso successivo.

Oppure potrei spingerlo a farmi un account in modo da poter seguire un "piano C" :

  • reimposta la password dei bambini.
  • Accedo, eseguo il lavoro, quindi impone una modifica della password all'accesso successivo.

Comunque, voglio tenerlo felice, e non voglio che perda tempo o soldi. Non voglio spingerlo verso il piano B o il piano C a meno che non sia assolutamente necessario. Mi chiedo:

  1. È davvero così grave per lui dirmi solo la password dei bambini? Se è male, spiegaci perché, e per favore cita una fonte se puoi.

  2. (Opzionale :) Dico sempre ai clienti una tariffa per ora. Ma ultimamente, ho fatto la fatturazione di minuto in minuto. Se scegliamo il piano C, è per me etico fatturarlo per i minuti extra necessari?

posta unforgettableid 07.06.2013 - 08:29
fonte

8 risposte

16

Quando hai a che fare con i clienti casa o piccole imprese , andrei con "Piano A." Come ha detto Adnan, sta proteggendo dati banali. Bypassare la password, o anche recuperarla, è abbastanza semplice.

Per rispondere alle tue domande:

  1. Non riesco a pensare a un singolo motivo per cui sarebbe brutto conoscere la password di accesso dei suoi figli.
  2. Eticamente, è necessario fatturare solo per il protocollo standard. Questo è ciò che è concordato e pagato. Se comunichi uno standard per la gestione della password, il tuo cliente può accettarlo o rifiutarlo e trovare attività altrove.

Il piano B richiede più tempo. Il tuo cliente potrebbe non essere in grado di accedere al computer per cominciare.

In generale abbiamo chiesto ai clienti "come posso accedere?", aver effettuato l'accesso all'amministratore predefinito o reimpostare la password e averli modificati al momento della restituzione. Se non è possibile farlo rapidamente, avvisare il cliente.

In qualità di consulente IT, sii coerente. Se stai trattando qualcuno che conosci 2-3 anni diversi da un cliente nuovo di zecca, stai compromettendo le tue politiche.

Quando hai a che fare con un impresa o un cliente governativo, non devi mai conoscere la loro password. Non dovresti mai chiedere, e se provano o riescono a dirti la loro password, segnalali immediatamente.

Il progetto governativo su cui ho lavorato, abbiamo utilizzato Plan C tramite Active Directory. Un cliente una volta si è lamentato, ho reimpostato la password (anziché il piano A). Il nostro responsabile della sicurezza informatica ha masticato l'intero management e mi ha salvato il bacon.

    
risposta data 08.06.2013 - 06:18
fonte
51

Il problema non è in particolare con la questa situazione. Valutiamo la situazione qui:

  • Sei una persona affidabile per loro
  • È molto probabile che la password protegga i dati banali

Fornire la password non è un grosso problema in questo caso. Il problema (come hai affermato nella tua domanda) è quello di fargli prendere l'abitudine di fornire password.

Sicuramente andrei con il piano B. Perché?

  • In questo caso è il miglior compromesso tra sicurezza e praticità.

  • Gli insegnerà a non condividere la password, soprattutto se la lezione proviene da una persona affidabile per lui.

  • Ti farà sembrare ancora più professionale e mostrerà il tuo interesse per la sicurezza del tuo cliente.

  • Non lo sai, potrebbe spargere la voce su questa situazione e in un certo modo contribuirai a una migliore comprensione della sicurezza (in questo tipo di situazioni) nella sua cerchia di amici / famiglia.

Per quanto riguarda la tua seconda domanda, non penso di essere la persona migliore per rispondere a questa domanda, ma direi di no. Se qualcosa ti porta 2-3 minuti ed è ovviamente banale rispetto ad un'altra attività (risolvendo ciò che è sbagliato con il computer) in realtà non fatturare al cliente i 3 minuti extra di lavoro. Non fa sembrare nessuno bello.

    
risposta data 07.06.2013 - 08:48
fonte
22

Suggerisco il piano B a lui, ma non lo spingo se non vuole disturbare.

Avrai accesso fisico senza supervisione al laptop - a meno che non ci sia una password di crittografia del disco che non hai menzionato, questo è quasi certamente sufficiente per fare qualsiasi cosa tu voglia senza password di account, inclusa l'installazione di backdoor per un accesso remoto successivo, e conoscere la password ti risparmia solo lavoro inutile.

Quindi, se ha ragione di fidarsi di te, non ha bisogno di ulteriore sicurezza, e se ha sbagliato a fidarsi di te, la modifica temporanea della password (o account extra) non gli dà alcuna reale sicurezza extra.

D'altro canto, se non ha già un account guest non privilegiato, incoraggiatelo a crearne uno, quindi se i suoi figli lasciano che i loro amici lo usino, possono usarlo. (E se puoi fare il lavoro necessario da un account di questo tipo, usalo tu stesso, ma sembra meno probabile.)

    
risposta data 07.06.2013 - 13:45
fonte
5

Supporto suggerimento di TildalWave .

In realtà, penso che dovresti andare a casa sua e mostrargli quanto è facile craccare la password, ad esempio con Cain & Abel (senza mostrargli come ottenere questo software, né quale software sia, quindi non sarà tentato di farlo da solo in seguito). POI cambi la password con lui e gli dai qualche consiglio su alcune password sicure e buone abitudini di sicurezza.

Penso che il fatto che tu gli mostri queste cose rafforzerà la tua fiducia reciproca, non la abbasserai.

Ma se non puoi venire al suo posto, allora sì, permettigli solo di dirti la password dei suoi figli, in quanto non avrà alcun "effetto scioccante da cui possa imparare" per chiedergli di cambiare password temporanea.

Riguardo a quanto puoi caricare ... beh, sembra che sia più un amico che un cliente, quindi caricalo come un amico, non come un cliente.

    
risposta data 07.06.2013 - 12:29
fonte
4

Chiedi a te stesso, sarebbe più difficile per te abusare della fiducia di questa persona in te seguendo uno dei piani proposti, e se lo volessi davvero? Io non la penso così Ognuno dei piani che proponi è altrettanto facilmente sfruttabile - da qualcun altro che da te. Perché so che non abuserai della sua fiducia? Perché sei venuto qui per chiedere del tuo dilemma; Qualcosa che anche una persona leggermente meno onesta non prenderebbe mai in considerazione, e una persona completamente disonesta preferirebbe cercare la falsità in un sito web pubblico che rende più facile dimostrare l'identità di questa persona.

Quindi, per come la vedo io, il tuo dilemma non sta nel dimostrare la tua affidabilità, o nel prevenire qualsiasi dubbio nelle tue oneste intenzioni proponendo piani che potrebbero richiedere meno, ma più non sei abituato a conoscenze di business che mettono così tanto fidati di te anche nella vita privata. Probabilmente hai già guadagnato questa fiducia in altri modi, e questa persona è pronta a portare avanti questa amicizia. Qualcosa che, a quanto pare, ti ha colpito come una sorpresa, immagino?

Quindi, abbiamo questi tre piani, nessuno dei quali perfetto in un contesto non fidato, e tutti quasi identici in un'impostazione attendibile. Quindi ti propongo semplicemente di seguire un piano che sarà il più facile per entrambi. Semplice come quello.

Per quanto riguarda il pagamento, ecco cosa faccio in tali situazioni: non mi chiedo mai alcuna accusa, né chiedo alcun compenso o reso i favori. Sono per lo più compiti di routine che posso facilmente completare in ogni caso, e se sono più impegnativi (rari), lo considero come una sfida. Anche meglio. Se tuttavia, la persona che sto facendo questo favore insiste nel ripagarmi in qualche modo, accetterò o un piccolo segno di apprezzamento (invito a una birra, un pezzo di torta che sua moglie ha cotto, ...), o se viene offerto denaro - date un indirizzo web della mia organizzazione di beneficenza preferita e chiedete alla persona di donare quel denaro e non chiedetelo più (ma una volta che sono via, quindi se è difficile per quella persona separarsi dal soldi offerti - alcuni possono essere troppo generosi -, possono tenerli senza rimorsi)

    
risposta data 07.06.2013 - 10:33
fonte
2

In questo particolare caso, direi di andare con il piano B o semplicemente accettare la sua password.

Il piano B ha più senso, purché tu spieghi esattamente perché stai facendo ciò che stai facendo.

Tuttavia, in alcuni casi, specialmente se è una password condivisa usata da tutti i bambini, cambiare la password può essere un problema. Sto pensando in particolare ad Apple. Ho raramente bisogno del mio ID Apple, e invariabilmente dimentico la password e devo passare attraverso le solite domande di sicurezza ecc. Prima di poterlo resettare. Ma ogni volta che scelgo una nuova password e ne faccio una variazione oscura su qualcosa di memorabile, mi viene detto che ho già usato la password. Questo è un problema e se alcune persone condividono la stessa password, le probabilità di bloccare l'account possono essere piuttosto elevate.

Quindi fai un giudizio.

    
risposta data 07.06.2013 - 16:58
fonte
1

Il piano B è il più sicuro, perché non si vede mai quale sia il modello di password della persona (quasi tutti hanno uno schema che usano per scegliere le password). Il piano C è un buon ripiego. Anche se lo riporta a quello che era, hai fatto la tua dovuta diligenza nel suggerire e aiutarlo a cambiare la password e puoi legittimamente dire che non conosci la password se succede qualcosa dopo. (non lo sai a meno che non ti dica che l'ha resettato a quello che era)

    
risposta data 24.06.2013 - 05:24
fonte
-2

Penso che tutti i piani non siano divertenti per il cliente. ma per necessità, il piano B dovrebbe essere fatto.

Questo è uno spreco di tempo e denaro. ma devi dire al tuo cliente di nascondere prima tutti i loro dati importanti, prima di randomizzare il computer. Penso che il browser in una password sia più importante.

    
risposta data 09.07.2013 - 00:58
fonte