Il modo gradevole ed educativo

Questo è un po 'simile al tuo terzo punto elenco.

Nobody else should know your password, not even people you trust. That is the only way you can be sure only you have access to your account. Let's say you give me your Facebook password and a week later rumors start spreading about what you did in Las Vegas last year.

Only a few people you trust knows that, and well, potentially me since I have your Facebook password. If that happens, I do not want to be a suspect. I do not want to be in a position where every privacy-related incident that happens to you could have been because of me.

Giving information they should not have to people you trust can end up destroying that trust instead of reinforcing it.

Se contrastato con "ma mi fido davvero di te", sottolinea che anche la persona si fida completamente di Eve e Mark, le uniche due persone al mondo che conoscono l'incidente di Vegas, e se la parola esce chiaramente qualcuno si fida deve aver infranto la fiducia. Un messaggio chiave è questo:

I do not want to be party to all your secrets.

Se necessario, fai una bugia bianca su un tuo amico che si è messo nei guai in uno scenario simile per renderlo più concreto.

Il modo non molto bello ed educativo

To teach people not to share their password, I post all passwords people give to me on Twitter. No exceptions. If you give me your Facebook password, within five minutes it will be on Twitter together with your username. [Open up Twitter and get ready to type.]

If you still want to give it to me, that is fine, but you have been warned.

Probabilmente non è una buona idea dato che non dovresti creare minacce per le quali non sei preparato a dare risultati, e non dovresti fornire questa minaccia. Ma a volte sono tentato ...

Inversione dei ruoli

A volte è più facile capire la posizione di qualcun altro se si invertono i ruoli. Dare alla persona una busta sigillata e dire questo:

This envelope contains a piece of information that would completely ruin my career, my marriage, my life if it ever came out. You must hold on to this envelope forever, and make sure that nobody - including you - ever see what is inside.

But don't worry, I trust you completely.

Quando si rifiutano di prendere la busta, spiega che non vuoi neanche la loro password di Facebook.

Questo post riguarda la comunicazione con persone che non hanno assolutamente alcuna conoscenza o interesse tecnico; soprattutto le persone hanno paura della tecnologia.

Non spiegare, non lamentarti

È incredibilmente difficile cambiare le altre persone, soprattutto se sono esperti IT e tu sei l'esperto.

Questo è lo stesso problema delle comunicazioni generali. Evita tutte le frasi che in qualche modo contengono "tu" e rimani fedele a "I". Non possono discutere contro "I".

Esempio:

• Loro: "Ecco la mia password, per favore configura il mio account Facebook per me."
• Tu: "No, non prendo mai le password da altre persone, ma se accedi, te lo mostrerò"
• Mentre lo digitano, guarda con attenzione.

È così semplice. È lo stesso di essere un genitore / insegnante, non devi sempre spiegare tutto in grande dettaglio. Fallo con l'esempio.

Corollario

I laici IT spesso non sono interessati a ragioni tecniche o di sicurezza tecniche affatto . Li confonde (perché non hanno un background tecnico), e loro hanno già raccontato molte cose confuse e allarmanti sulla sicurezza IT dalla loro TV o dai loro giornali. Quindi, cercare di forzare qualche spiegazione su di loro non fa nulla per la tua causa. Non li aiuterà e non ti aiuterà. Certo, puoi provare a spiegare le cose se realmente sono realmente interessate (in parole molto semplici), ma ho scoperto nel corso degli anni che anche provare a spiegare qualcosa in questo caso può fare più male che non. Solitamente spiegherò cose in similitudini molto semplici (ad esempio email < = > snailmail) e non entrerò nello specifico affatto .

Abbastanza divertente, in realtà non accetto la tua premessa. Come professionista IT puoi leggere le email di altre persone e altre comunicazioni, eliminare le loro directory, ecc. Fa parte del codice di condotta professionale non abusare della tua posizione. Le persone si fidano della tua integrità, allo stesso modo in cui fidati dei dipendenti della loro banca per non rubare i loro soldi, sebbene potessero.

La divulgazione delle password ai professionisti IT rientra nella stessa categoria di divulgazione dei guadagni al proprio consulente fiscale o ai problemi di salute del medico. Siamo professionisti a cui le persone arrivano per risolvere i problemi; che spesso non può essere fatto senza passare informazioni sensibili.

Modifica: i membri della famiglia a cui hai accesso devono assolutamente fidarti di te in ogni caso a causa della vecchia regola che un sistema a cui un avversario ha accesso fisico non può essere protetto in modo affidabile. Sarebbe relativamente facile installare un keylogger o monitorare il traffico WLAN. In effetti, si fidano di te già con le loro password, che ti piaccia o no.

Se non vuoi per gestire i problemi IT dei tuoi familiari (allo stesso modo in cui non vorrai fare le tasse se fossi un contabile o consiglierei alla loro salute problemi se tu fossi un medico); se che è il problema, fatti avanti e dillo. È un problema che affrontiamo tutti.

Su una nota più amichevole la tua pubblicazione di questa domanda mi fa fidare di te, paradossalmente: -).

Modifica la password dopo averli aiutati e invia un link per la reimpostazione della password. Presto scopriranno che è più facile mantenere le password al sicuro che ripristinarle.

In alternativa (ad esempio per un account di posta elettronica principale), basta cambiare la password con una strong e comunicarla a loro. Spiega che è consigliabile modificare le password e utilizzare password generate dal computer. O impareranno a mantenere la password per se stessi, o almeno insegnerai loro alcune buone pratiche.

La conoscenza porta alla responsabilità. Immagina di avermi dato la tua password ...

Devo mantenere la tua password (che per caso è beerbar2 ) un segreto. La prossima volta che sarò al bar, dovrò evitare di pensarci, perché potrei rovesciarlo accidentalmente. Questo mi sta mentalmente facendo impazzire. Non potrei nemmeno bere una birra in quella situazione.

Devo anche stare attento a non confonderlo con la password del mio altro amico, che ha scelto barbear3 e lo dimentica regolarmente, quindi devo inviargli nuovamente la sua password.

Infine, se il mio computer viene mai infettato da qualche brutto estrattore di informazioni, la tua password finisce per essere una garanzia. Probabilmente sono più attento di te a queste cose, ma è ovvio che la superficie aumenta.

Quindi, sì, ci fidiamo l'un l'altro ad un certo livello, ma a meno che il nostro legame sia così vicino che usiamo regolarmente l'uno l'altro, non voglio dover sostenere questa ulteriore responsabilità, e tu non vuoi che la password è meno sicura per definizione una volta condivisa.

Il mio punto è che spiegare a qualcuno che la condivisione delle password è una cattiva idea non richiede un trust di erosione, che sembra essere implicito da un'altra risposta.

Una cosa che potresti considerare è "Se ti fidi di me, fidati di me quando dico che non dovresti dare la tua password a NESSUNO."

Non dare loro l'opportunità di darti le loro password.

Per prima cosa, non fare mai il supporto tecnico "gratis per la famiglia" al telefono. Questo è un modo rapido per rovinare una buona relazione. Solo sempre il supporto tecnico di persona. Quindi, quando viene visualizzata la schermata di accesso, passare la tastiera a loro. Lascia che inseriscano la password.

A cos'altro ti stanno dando accesso?

Qualcuno che è disposto a condividere password probabilmente ha le stesse password per tutto. Dando la password di Facebook, danno anche accesso a tutte le email che hanno mai inviato, servizi bancari online , account di pensionamento online , ecc.

Speriamo che la menzione della loro sicurezza finanziaria sia sufficiente a dissuaderli.

Offri loro un'alternativa.

Le persone ti stanno dando la loro password per un motivo. Vogliono che tu faccia qualcosa con questo. Scopri di cosa si tratta e trova un altro modo per farlo.

1. Vogliono che tu acceda e "faccia" qualcosa per loro? Correggere, postare, spiegare?

Avere accesso invece e aiutarli in seguito. Usa l'assistenza remota o il teamviewer per occupare il loro schermo, o abbastanza semplicemente Skype per condividere lo schermo e dire loro dove fare clicK.

2. Vogliono che tu abbia la password nel caso in cui non possano accedere a un computer e l'account abbia bisogno di lavoro? Potrebbe essere in caso di morte o malattia, o solo un collega durante un periodo di vacanza.

Prima di tutto, lo stesso principio: prova a trovare un altro modo per fare ciò che vogliono che tu faccia. Memorizza il muro di Facebook - ci sono procedure per questo. Per un collega, forse il reparto IT può darti gli stessi diritti di fare ciò che può?

In secondo luogo, trova un'alternativa alla password: chiedi loro di metterlo nel loro testamento o in un vault dove puoi accedervi, ma vedranno che l'hai fatto quando succede.

Una volta mi è stata data una chiave master in un edificio come parte del mio lavoro e la stavo mostrando orgogliosamente al mio manager. Ha detto che si è rifiutato di averne uno. Quando ho chiesto il perché, ha detto che, sebbene fosse utile, se qualcosa, come un furto, fosse accaduto in uno degli uffici chiusi, quelle persone che detenevano la chiave principale sarebbero state sospettate e lui non voleva quella responsabilità.

Penso che lo stesso sia vero per i membri della famiglia che condividono una password, chiunque abbia la password è ora responsabile congiuntamente di tutto ciò che accade con quell'account. Quindi dipende davvero da cosa puoi fare con l'account. Pubblicare su Facebook, Twitter ecc potrebbe distruggere la reputazione di una persona. I siti di shopping e qualsiasi cosa abbia a che fare con il denaro potrebbero essere usati in modo fraudolento. Quindi, non con la password riduce effettivamente il rischio tuo , che ti coinvolgi in qualcosa relativo a quell'account da qualcun altro che è anche un detentore di password.

Aumenta la tua responsabilità legale

Nel caso di applicazioni finanziarie (come il banking online), la condivisione delle password può comportare arrendersi a determinati diritti di recupero in caso di frode.

Potresti violare le tue condizioni d'uso

La condivisione della password online potrebbe essere considerata una violazione del contratto dell'utente finale.

Potresti violare la legge

La condivisione delle password potrebbe essere un crimine federale in alcuni casi .

Per questo tipo di situazioni, dico che "Ho una politica personale di X".

Esempio:

"I have a personal policy of not knowing other people's passwords."

Se chiedono perché, risponderò:

"It's simply a personal decision."

Se insistono ancora (non comune), spetta a te fornire una spiegazione approfondita. In tal caso, i suggerimenti di altre risposte sono utili. Per quanto mi riguarda, il più delle volte, dirò semplicemente:

"I'd rather avoid discussing that."

Your passwords are private. And like other private information about you, I simply don't want to know it.

Non ne parlerei molto, preferirei semplicemente dichiarare che semplicemente non voglio ottenere queste informazioni e chiedere loro di digitarle da sole.

Basta convincerli a rendere letteralmente la password un fatto imbarazzante su loro stessi. Sarà probabilmente più sicuro delle tipiche password "myname1995", sarà meno dimenticabile e non vorranno condividerlo con nessuno a causa di ciò che dice! Fai una frase del tipo "Sono innamorato del mio migliore amico", eeek, vuoi davvero dirlo ad alta voce !? (anche se non lo renderei too sensibile per paura di qualche malvagio server che lo trasmette / lo memorizza in testo semplice e finisce fuori allo scoperto in quel modo ... ma raggiunge il giusto equilibrio)

Quindi, naturalmente, fai notare che ciò che porta a probabilmente contiene segreti ancora più imbarazzanti che è davvero facile da vedere accidentalmente, anche senza intenzione. Immagina che il tuo ragazzo tecnico sia collegato al tuo Facebook proprio nel momento in cui il tuo migliore amico ti invia un messaggio personale nella chat. Si apre letteralmente, difficile non dare almeno un'occhiata al testo.

Molte volte, One Means All

Explain to them that giving just this one password is going to make it easy for you to guess the passwords of other accounts. Most people use the same password everywhere or a slight variation depending on the website.

Che cosa intendo per lieve variazione?
Dì che tuo fratello John vuole darti la password del suo account Paypal e la sua password è "PJkfadkf! 1". Se hai qualche altra password, puoi facilmente intuire che P sta per Paypal e J per John. Quindi con quella logica la sua password di Facebook sarebbe "FJkfadkf! 1".

Carichi di strumenti e Clutter

Explain to them that you're an IT professional and you use a lot of tools. It isn't humanly possible to keep a track of all the detailed aspects of every tool. If any of those tools infect your computer with a virus/malware you'd be putting them at risk. Then explain them the first point.

Probabilmente capiranno che stanno potenzialmente dando accesso a tutti i loro account online nel caso in cui tu abbia erroneamente sbagliato la loro password.

If he/she's younger than you, you can be a little firm and deny taking their password.

Non è necessario essere scortesi.

Approcci alternativi che ti permetteranno di prendere password.

Use one time measures wherever possible. Example:- Take an one time password.

In questo modo non puoi danneggiarli in alcun modo. Ho visto anche molti siti Web che forniscono un modo alternativo per accedere tramite link nelle e-mail. Forse potresti usare anche quelli.

If you need to take their password, ask them to change it and then give it to you.

Non dimenticare di dire loro di cambiarlo dopo aver finito di usare il loro account.

Ricorda loro che sono responsabili di tutto ciò che accade usando la loro password, indipendentemente da chi l'abbia effettivamente fatto, e che preferiresti non mettere a rischio la tua reputazione se qualcosa dovesse andare storto.

Identità.

Ovviamente la sicurezza è la preoccupazione più urgente, ma prima che la sicurezza possa essere applicata, si deve far rispettare l'identificazione. Le password proteggono identificando un utente, lasciandolo entrare e nessun altro, ecco perché solitamente sono abbinati a un nome utente. Pertanto servono allo stesso scopo del tuo documento d'identità o passaporto.

Non condividi il tuo ID, perché sarebbe contrario allo scopo di avere uno . È come fare un intervento di chirurgia plastica sul viso e usare l'ID del tuo amico.

Proprio per questo motivo la maggior parte dei servizi online afferma anche nel proprio EULA che la condivisione dell'accesso al proprio account non è consentita e potrebbe potenzialmente portare alla chiusura dell'account.

Di solito vado "per favore, per favore condividi le tue credenziali di Facebook con me, così posso scrivere post, sai che non ho il mio account Facebook". Funziona molto bene, almeno tutti hanno rifiutato.

Se più di 1 persona fidata conosce la tua password, sono più o meno anonimi. In altre parole, se comunichi a 3 persone la tua password e ne abusi, non puoi incolpare nessuno, perché è impossibile sapere quale delle 3 persone abbia abusato di esso, o è davvero difficile scoprirlo.

Inoltre, gli hacker potrebbero rovinare la tua relazione anche se la condividi con una sola persona, perché la maggior parte della gente non crede che sia mai stata hackerata, quindi sarà più probabile che incolpi quella persona che conosce la sua password, piuttosto che la sua comportamento.

Un po 'di gente simile è più probabile che affermi: "Il mio computer è lento da quando hai installato quel videogioco, questo non ha nulla a che fare con l'installazione di 50 barre degli strumenti con ogni installazione di freeware sul mio computer e facendo clic su ogni annuncio sul internet ".

Di quanto stanno dicendo: "Wow, quelle barre degli strumenti che ho installato hanno davvero rallentato il mio computer giù, e grazie per quel videogioco tom. "

Non ci dovrebbe essere bisogno di condividere una password per un account di social media, perché il proprietario di questo account dovrebbe essere in grado di gestirlo da solo.

Quando ho chiesto assistenza, sarei propenso a indirizzarli a un tutorial online appropriato. Se non sono in grado di seguire le esercitazioni, mi chiederei se sono in grado di utilizzare il servizio in sicurezza.

La mia solita risposta è fermarli immediatamente e dire

I don't want to know.

Quindi la vera domanda posta qui segue, per quanto riguarda il perché. Queste sono persone normali con cui sto parlando, quindi se vado nello specifico di InfoSec, dovrò probabilmente fare un discorso enorme, che in genere né io né voglio.

La risposta più breve che ho trovato che soddisfa la maggior parte delle persone è qualcosa del tipo:

I want to be sure that if something happens to your account, you know for sure that it wasn't me. I know you trust me and I appreciate it, but if there is a problem, we will both feel better if we know for certain. And anyway, you should always keep your personal passwords to yourself, it's a good habit and will certainly save you trouble one day.

Non ha senso approfondire la fiducia o le possibili minacce o elaborare molto.

Puoi sempre dire alla persona che non ti fidi della sicurezza del tuo computer, e che sarebbe meglio non conoscere la password dato che inserirla nel tuo computer potrebbe far sì che l'account venisse compromesso dagli spammer di Internet e simili . Penso che sarebbe un modo molto ragionevole ed educato di rifiutare.

Molte cose brutte che possono accadere quando dici a qualcuno che la tua password non è perché la persona è disonesta e maltratta la tua password, è perché non ne sanno abbastanza per usarla in modo sicuro, e qualcun altro finisce facendo qualcosa di male con esso.

Puoi sempre buttare via una spiegazione informativa sulla perdita di dati e la tensione che avrebbe posto sulla tua relazione.

Ad esempio,
Loro: puoi aiutarmi? La mia password è ...
Tu: Posso aiutarti, ma per favore non dire a / hand / etc me la tua password.
// qui li hanno digitati o qualcosa //
Tu: Sappiamo tutti che condividere le password è sbagliato, ma se una società, come la tua banca, dovesse essere compromessa, le tue informazioni e password potrebbero essere divulgate al pubblico. Se qualcosa dovesse accadere, non vorrei che pensassi che l'ho usato male o perso.

Lo scenario sopra può essere modificato su come conversare con la persona, ma ottieni il punto.

Questo ha funzionato per me in passato con amici e familiari. Lei cita banca o qualcosa di simile e attira la loro attenzione.

Nella maggior parte dei casi, fornire a qualcun altro la propria password costituisce una violazione dei Termini di servizio del sito. Nella maggior parte dei casi, una violazione del ToS richiede di eliminare l'account e non utilizzare mai più il servizio. In alcune giurisdizioni che continuano ad accedere all'account in violazione del ToS è reato "Computer Hacking" e può mettere in prigione tutte le parti coinvolte.

Per favore non farmi un accessorio per accuse di "hacking". Se mi dai la tua password, sarò costretto a segnalarlo ai manutentori del sito e far terminare il tuo account.

Per gli scettici: link link link

Presentali con una rinuncia. Di 'loro che possono inserire la loro password, se necessario, o firmare la rinuncia e condividere la password con te.

Esonero : (Modifica come vuoi!)

1. Ti concedo il permesso di usare le mie password come necessario per fornire supporto tecnico, intrattenimento o materiale di ricatto.
2. In cambio di servizi resi, accetto la responsabilità per qualsiasi danno derivante dall'accesso agli account a cui ti concedo l'accesso.
3. Riconosco di essere stato avvisato che condividere le mie password può farmi responsabile di sanzioni penali e civili ed è una cattiva idea.
4. Riconosco di essere stato avvisato che, invece, mi hai consigliato di concederlo si accede tramite uno strumento di gestione delle password come lastpass , che mi consente di concederti in modo revocabile l'utilizzo del mio login senza dandoti le mie password.
5. Prometto di non rivelare il fatto che ho condiviso password con tu, e accetti, al posto di un calcolo dei danni, un milione di dollari valutazione dei danni se questo è divulgato.
6. Tenterai di usare prudenti misure di sicurezza per proteggere il mio informazioni, ma non dare garanzie.
7. Accetto che tu possa modificare questi termini in qualsiasi momento.

Firma del Maestro