So che potrebbe essere un po 'soggettivo, ma si basa su questa domanda popolare qui speriamo che sia accettabile.
Il problema con quella domanda e risposta è che non posso inviarlo al mio capo e dire "Vedi, questo ragazzo su internet è d'accordo con me!".
Quindi, che cos'è una fonte affidabile e rispettata che spiega chiaramente perché dovresti mai fornire la tua password a qualcuno, anche a un tecnico IT?
In un ambiente aziendale, ci sono alcuni posti che puoi guardare. Le Politiche di utilizzo accettabile della società generalmente hanno una clausola che dice di non condividere account o rivelare password. Se la tua azienda è soggetta a determinati regolamenti (PCI-DSS, SOC2, HIPAA, ecc.), Avranno requisiti simili.
Perché vuoi comunicare con il tuo capo, c'è un percorso non tecnico che puoi seguire.
Tali regolamenti e politiche si basano sullo stesso principio generale: responsabilità. Questo è un concetto legale che ha a che fare con l'idea che una volta che si condivide quell'accesso (che è ciò che si sta dando loro), allora sono responsabili per tale accesso. In questo caso, si condivide la responsabilità. Cosa succede se il responsabile IT usa il tuo account per fare qualcosa di illegale? Poiché è il tuo nome sull'account, sei principalmente responsabile di tale attività, ma se si tratta di un account "condiviso", tale responsabilità è condivisa con coloro che hanno accesso a tale account (il responsabile IT o il resto dell'azienda) . Se non si può sapere chi ha fatto qualcosa, allora ci sono molte meno opzioni per provare e correggere o risolvere i problemi.
Quindi, puoi dire al tuo capo che semplicemente non vuoi condividere la responsabilità con l'intero staff IT. Gli account sono intesi per essere personali in modo tale da consentire l'attribuzione corretta e questo riduce il rischio per l'azienda.
Un'autentica fonte unica per questo può essere difficile da trovare così com'è, in definitiva, soggettiva. Tuttavia, non condividere le credenziali è un'aspettativa fondamentale del nostro attuale paradigma informatico. L'uso di login e password è fondamentale per questa realtà e uscire da questo viola quel paradigma e ogni sistema che è stato costruito attorno ad esso.
Risorse con accesso limitato
Le restrizioni IT sono simili a quelle di un cassetto di file bloccato o di una cassetta di sicurezza bancaria. È simile alle leggi e alle aspettative generali riguardanti l'apertura della posta di altre persone. Certo, quella carta caratteristica con una firma non è di per sé sensibile, ma ha un pubblico e un elenco di accesso specifici.
Indipendentemente dal contenuto e dal loro significato o valore, gli articoli sono protetti e l'accesso è stato limitato. Ovviamente potremmo discutere su valore, sensibilità, ecc. Ma questo è dopo il fatto.
La rappresentazione
Non vai in giro con il nome del tuo collega di lavoro, costruisci la chiave di accesso o ti siedi nel loro cubicolo. Perché dovresti usare le loro risorse IT? Tutti i problemi e le preoccupazioni della rappresentazione in un ambiente fisico esistono su reti e dischi. I rischi di imitazione sono maggiori data la capacità di identificare questa imitazione minore e la durata potenziale della rappresentazione dura più a lungo con le credenziali di sistema.
La maggior parte delle aziende è "a volontà dei datori di lavoro"
Come tale, e dal momento che è probabile che accedano alle loro risorse, attraverso i loro sistemi, l'unica vera linea di difesa legale è smettere. Le sfumature di questo, compresi i problemi di BYOD, sono probabilmente fuori portata per questo sito o almeno per la mia area di competenza.
L'aspetto secondario di questo però è che l'azienda ha già, probabilmente, accesso a tutto ciò che hai o sta facendo. Un buon consiglio commerciale è rischio vs premio . Per nessun compenso si guadagna un rischio significativo per tutte le parti. Il destinatario della password ora è, come notato da schroeder, responsabile per le azioni intraprese sotto le tue credenziali. Sei responsabile di eventuali azioni intraprese da chiunque usi le tue credenziali. Chi è la persona successiva per ottenere la password? Anche se ti fidi completamente di tutti, le persone commettono errori? In che modo potrebbero influire gli individui e l'organizzazione?
Un ulteriore rischio sorge quando l'azienda sta promuovendo un ambiente di condivisione delle credenziali e rischia tutte le risorse attraverso l'erosione delle migliori pratiche di base che contrastano il phishing, l'ingegneria sociale, il keylogging, i principi di minor accesso e altro ancora. La persona che sta chiedendo le tue credenziali è effettivamente supporto per il livello 1? Non hai nulla di valore sul tuo computer, ma chi a sua volta darà la "tua" password?
Come ultima parte, HIPPA / HITECH, a mio parere, non ha una formulazione specifica per le password o la condivisione delle password. È così che tu fai una legge "buona" però. La capacità di soddisfare i numerosi requisiti di sicurezza, segmentazione e verifica dei dati non è possibile in un ambiente in cui si verifica la condivisione delle credenziali. Quando le persone condividono le password, gli ACL non hanno senso e l'auditing è essenzialmente un falso accesso effettivo. Dalla mia prospettiva plebea, questa è una violazione della legge federale.
*** Nota Parlo / scrivo colloquialmente con "tu" e non intendo indicare l'avvocato del diavolo, ma piuttosto qualsiasi lettore o persona generale a cui questo possa essere applicato.
No, non può esserci una fonte autorevole perché l'affermazione non è vera. Ci sono momenti in cui dovresti dare la tua password ad altre persone.
Ci sono molti scenari in cui il vantaggio di fornire la tua password a qualcuno è maggiore del costo dello scenario peggiore di fornire loro la tua password, e dove l'accesso per loro è reso impossibile nei tempi richiesti.
Per fare un esempio banale (anche se ci sono molte cose che potrebbero applicarsi al lavoro), un amico che sta a casa tua che vuole guardare il tuo netflix mentre sei al lavoro.
Leggi altre domande sui tag password-management password-policy