È giusto dire la tua password ad un amministratore? [duplicare]

16

Lavoro in una piccola azienda (20 dipendenti) come ingegnere senior di SW.

Dopo aver avuto alcuni problemi di posta elettronica, il nostro nuovo amministratore IT mi ha chiesto una password per vedere con esattezza la società di hosting. Senza alcun pensiero gli ho dato la mia password.

Dopo circa 30 minuti, mi sono reso conto che nei miei 10 anni di lavoro in diverse aziende nessuno mi ha chiesto una password e l'ho trovato piuttosto strano. Subito dopo ho cambiato la mia password.

Quindi, ci sono casi in cui la password è davvero necessaria, quando devo davvero comunicare la mia password a un amministratore IT?

Modifica

La ragione per cui la sto chiedendo è questa: ho sentito di storie in cui gli amministratori hanno richiesto la password dell'utente, ma solo su siti come The Daily WTF .

Please note that the answers on this question were not given from a security point of view, and as such should not considered secure.

    
posta BЈовић 21.07.2011 - 17:50
fonte

3 risposte

27

Ho lavorato con molte aziende e la risposta tecnica è che nessuno dovrebbe conoscere la tua password.

In pratica, devi davvero ponderarlo contro qualsiasi minaccia reale, e perché lo stai dando a lui. Inoltre, se la tua password è utilizzata per molte cose (non dovresti farlo neanche), come il tuo banking, quindi NO.

Se hai davvero dei dubbi, puoi fare una delle due cose: puoi cambiarla temporaneamente, quindi darglielo non è un problema, oppure puoi inserirla per lui. Spesso chiedo alle persone di digitare le loro password per me.

Detto questo, un amministratore può cambiare la password quando è necessario, ma l'unico problema è che devono chiedere all'utente di cambiarlo di nuovo.

    
risposta data 21.07.2011 - 17:58
fonte
14

In generale, in un'organizzazione SOX (Sarbanes-Oxley) è conforme è disapprovato per conoscere la password degli utenti e il metodo corretto se è necessario l'accesso come amministratore IT sarebbe quello di ripristinare la password AD degli utenti. Tuttavia, a volte chiedo ai miei utenti le loro password:

  • Quando non riesco a riprodurre qualcosa e ho bisogno di testare come utente senza interrompere il flusso di lavoro giornaliero.
  • Alcuni amministratori fanno i loro amministratori di dominio degli account degli utenti regolari (terribile idea btw) ma potrebbero aver bisogno della tua password per testare come utente di dominio standard.
  • Se sto configurando l'e-mail su un telefono degli utenti e non hanno alcun interesse a seguire i passaggi (IE: vogliono solo farlo)
  • In una piccola azienda come la tua ho visto amministratori che conservano i fogli Excel con tutte le password degli utenti (un'altra idea terribile).
  • Se qualcuno ha bisogno di una modifica sul proprio computer mentre è in viaggio e non si desidera interrompere il flusso di posta elettronica sul proprio telefono o interrompere una sessione VPN.

Il tema principale qui è che l'utente ha avviato la richiesta di supporto e la password è necessaria per non interromperli. Come un amministratore che non intralcia i miei utenti è la mia priorità numero uno, quindi sono alcuni casi marginali in cui reimpostare la password non è l'opzione migliore. Come mai la richiesta non richiesta per la password di un utente non è mai accettabile ai miei occhi senza spiegare esattamente perché ne hai bisogno. Se dovesse capitare di nuovo, chiedi al tuo amministratore IT di reimpostare la tua password di AD e di ricrearla quando ha finito, I SEMPRE danno questa opzione ai miei utenti (tengo anche a mente che queste password possono essere usate altrove come per il banking online). Se ha un problema o rifiuta questa semplice richiesta, dovrebbe per lo meno essere in grado di fornire una buona ragione per cui ne ha bisogno.

    
risposta data 21.07.2011 - 18:04
fonte
7

Mentre sono d'accordo con la regola generale, nessuno dovrebbe conoscere le tue credenziali, in termini pratici, alcune volte potrebbe essere necessario, se vuoi l'aiuto, e non vuoi sederti a riscrivere la tua password per la tecnologia.

Forse sto leggendo la tua domanda, ma sembra che tu stia parlando di un servizio esterno? La maggior parte delle altre risposte sembra mancare il punto e presumendo che l'amministratore IT abbia effettivamente accesso amministrativo.

Nella mia rete sono in uso molti servizi esterni, e non ho accesso da amministratore, e non ho nemmeno un account. Se uno dei miei utenti ha bisogno di me per assisterli nella risoluzione di un problema, non ho la possibilità di reimpostare le password o forzare una modifica dopo il fatto. L'unico modo per risolvere il problema è con le loro credenziali. Per problemi minori che gli utenti devono semplicemente digitare le loro credenziali va bene, ma per quelli molto complessi che hanno a che fare con le interazioni di molti sistemi, questo non è pratico.

Idealmente, la persona cambierebbe la propria password prima e / o dopo aver usato le proprie credenziali per risolvere i problemi con un servizio esterno, ma in genere gli utenti non amano questo. Se sei preoccupato, menzionalo semplicemente all'amministratore IT. Sono certo che non gli dispiacerebbe cambiare la password prima di lavorarci sopra.

Nel caso delle piccole imprese, alcune password per i servizi esterni appartengono all'organizzazione e non all'individuo. Ad esempio, diciamo che il tuo sito web è stato ospitato su un provider di hosting a basso costo che offre solo un account singolo per gestire il contenuto. In un mondo perfetto pagherebbe un servizio migliore che fornisca account individuali a ciascun utente, ma in realtà è molto comune disporre di un insieme di credenziali condivise per i servizi esterni. Se vuoi che il tuo tecnico ti aiuti a capire perché alcune impostazioni sono rovinate, o perché alcuni file sono corrotti, allora avrà bisogno di accesso, e se hai solo l'opzione per un singolo account, potresti semplicemente non avere altra scelta che condividi la password.

    
risposta data 21.07.2011 - 18:46
fonte

Leggi altre domande sui tag