Obwohl es keinen Zweifel gibt, dass schwache Passwörter ein Problem für Ihr Unternehmen sind, würde ich dringend davon abraten, Ihrem Chef von den Dingen zu erzählen, die Sie getan haben.

Ihr Unternehmen hat entschieden, Zeitarbeitern keinen Zugang zu gewähren Websites und Ressourcen aus einem bestimmten Grund. Sie haben nicht nur unbefugten Zugriff auf das WLAN erhalten, indem Sie das Kennwort für den Router erraten haben, sondern diesen Zugriff auch erweitert, indem Sie die Anmeldeinformationen mit anderen Ressourcen verglichen haben - Ressourcen, für die Sie eigentlich kein Kennwort haben sollten. Sie haben dann im Grunde genommen Ihren Chef auf der Schulter gesurft.

Obwohl die Richtlinien Ihres Arbeitgebers hinsichtlich des Zugriffs auf Unternehmensressourcen und deren Kennwortrichtlinien Mängel aufweisen, können all diese Dinge von Ihrem Arbeitgeber als "Hacking" angesehen werden und waren definitiv außerhalb Ihrer Berechtigung.

Wenn ich Sie wäre, würde ich mich vom WLAN abmelden und Ihren Arbeitgeber nach dem Passwort fragen, wenn Sie Zugriff darauf haben möchten. Abgesehen davon sollten Sie aufhören, zu versuchen, Passwörter anderer Personen für alle Zugriffspunkte zu verwenden, nur um zu sehen, ob dasselbe Muster verwendet wurde. Abhängig vom Rechtssystem der beteiligten Länder können bei solchen Handlungen sehr gut rechtliche Probleme auftreten.

Was sollten Sie also mit den Informationen tun, die Sie haben?
Wenn Ihr Arbeitgeber Ihnen ein Passwort für eine Dienstleistung oder eine Ressource gibt, können Sie darauf hinweisen, dass z Dieses Passwort wäre für andere leicht zu erraten. Ich würde das andere Passwort hier jedoch nicht direkt erwähnen.
Wenn Ihr Chef interessiert zu sein scheint, können Sie sich freiwillig melden, um nach Best Practices für Passwörter für das Unternehmen zu suchen. Wenn sie es ernst meinen, würde dies Ihre Bedenken beseitigen.
Wenn sich eine IT-Person im Unternehmen befindet, können Sie diese Bedenken an sie weiterleiten, da sie wahrscheinlich die Notwendigkeit einer sicheren Kennwortrichtlinie besser verstehen wird.

Sofern Sie kein explizites oder implizites (*) Mandat dafür erhalten haben, ist der Versuch, Kennwörter für den Zugriff auf Ressourcen zu erraten, die Ihnen nicht gewährt wurden, eine feindliche Aktion, selbst wenn die Kennwörter trivial sind oder an einem Ort geschrieben, den Sie nicht gelesen haben sollten. Wenn Sie auf dem Deckblatt eine Broschüre mit dem Titel "Vertraulich - für zugelassene Personen reserviert" finden und diese dennoch lesen, handelt es sich ebenfalls um eine feindliche Handlung.

Das Beste, was Sie tun können, ist im Fall der Broschüre say "Ich habe dort ein vertrauliches Dokument gesehen, das jemand lesen konnte, ohne dass es jemand anderes bemerkte. Enthält es wirklich vertrauliche Informationen und wenn ja, sollte es nicht an einem sichereren Ort aufbewahrt werden?" -> Das heißt, ich habe ein mögliches Sicherheitsproblem gesehen und Sie gewarnt, aber ich habe die vertrauliche Markierung respektiert.

Oder wenn Sie das Passwort entdeckt haben eines Kollegen (und wenn die folgende Geschichte möglich ist): "Hey, ich musste mich an einem Computer anmelden, ich habe über etwas anderes nachgedacht und ein Passwort eingegeben, das ich zu Hause verwende. Dann wurde mir klar, dass ich angemeldet war Ich habe mich sofort abgemeldet, aber Sie sollten dieses Passwort für ein professionelles Konto wirklich ändern. "

* Das Mandat kann implizit sein, wenn Sie für die Bewertung der Gesamtsicherheit verantwortlich sind. In diesem Fall sollten Sie sich jedoch fragen, ob Sie fortfahren können, sobald Sie ein triviales Kennwort gefunden haben.

Ich sage fast dasselbe wie andere, aber dies könnte wirklich ein rechtliches Problem für Sie sein (ich bin kein Anwalt). In Großbritannien (*) ist ein relevantes Gesetz das Computer Misuse Act 1990, das gleich zu Beginn besagt:

1 Nicht autorisierter Zugriff auf Computermaterial.

(1) Eine Person ist einer Straftat schuldig, wenn -

(a) sie einen Computer veranlasst, eine Funktion auszuführen, um den Zugriff auf Programme oder Daten zu sichern, die auf einem Computer gespeichert sind

(b) der Zugriff, den er sichern möchte [F2 oder um die Sicherung zu ermöglichen], ist nicht autorisiert; und

(c) er weiß zu dem Zeitpunkt, zu dem er den Computer veranlasst, die Funktion auszuführen, die der Fall ist.

d.h. Wenn Sie versuchen , auf etwas zuzugreifen, von dem Sie wissen, dass Sie es nicht sollten.

Unterabschnitt 2 besagt, dass es keine Rolle spielt, welcher Computer, welche Daten oder welche Art von Daten , nichts macht es OK.

Unterabschnitt 3 lautet:

(3) Eine Person, die sich einer Straftat nach diesem Abschnitt schuldig gemacht hat, haftet -

(a) bei einer summarischen Verurteilung in England und Wales zu einer Freiheitsstrafe von höchstens 12 Monaten oder zu einer Geldstrafe von höchstens dem gesetzlichen Höchstbetrag oder zu beidem;

Und dann Abschnitt 2 des Laut act ist nicht autorisierter Zugriff mit der Absicht, die Begehung weiterer Straftaten zu begehen oder zu erleichtern. - Sie haben einen nicht autorisierten Zugriff begangen (Routerzugriff erhalten), damit Sie einen weiteren nicht autorisierten Zugriff ausführen können (WLAN-Zugriff).

In einem Ihrer Kommentare sagen Sie

, dass kein Schaden angerichtet werden soll

Aber Abschnitt 3 des Gesetzes lautet Nicht autorisierte Handlungen mit der Absicht, den Betrieb des Computers usw. zu beeinträchtigen oder rücksichtslos zu beeinträchtigen - - selbst wenn Sie keinen Schaden beabsichtigen, wenn Sie rücksichtslos handeln, ist das genug. Wenn Sie ein ungesichertes, unbekanntes, nicht autorisiertes persönliches Gerät (Telefon) mit dem Unternehmensnetzwerk verbinden, können sie einem Risiko für alle Arten von Kryptolockern ausgesetzt sein.

Ich kann stark bezweifeln, dass dies für jemanden in einem kleinen Unternehmen gilt, der auf einen Router zugreift. Wenn er jedoch darüber streiten möchte, haben Sie einen befristeten Job angenommen, der in sein Netzwerk, seine E-Mail-Adresse, seine Domain / Das Hosting von Websites gefährdet nachlässig das Netzwerk und damit den Betrieb des Unternehmens und wer weiß, welchen Diebstahl, welche Erpressung, Erpressung oder welchen Schaden Sie vorhatten.

Und was noch schlimmer ist, sie verstehen die IT nicht. Sie interessieren sich nicht dafür, wie viel Spaß es macht oder wie neugierig es ist oder wie ernst oder trivial Ihre Handlungen waren. Wenn sie das falsche Ende des Stocks bekommen, sieht es für Sie nicht gut aus.

Soll ich meinem Chef mitteilen, dass seine Passwörter zu schlecht sind?

Ja, Sie sollten . Aber nicht, es sei denn, Sie haben Grund zu der Annahme, dass sie es gut aufnehmen werden. Und sie sollten sich darum kümmern. Aber sie tun es nicht. Und es ist nicht Ihre Firma und nicht Ihr Problem. Wenn sie Interesse zeigen, schlagen Sie vor, warum (im Prinzip) gespeicherte Browserkennwörter riskant sind oder freigegebene Konten riskant sind oder einfache Passwörter riskant sind.

Wenn keine Sicherung vorhanden ist, ermutigen Sie sie, Sicherungen durchzuführen. "Hallo, ich habe diese Nachricht gelesen, dass GitLab fast 300 GB Daten verloren hat und ich dachte, wir haben hier keine guten Backups - wir könnten eines für $ xyz einrichten, was rechnen Sie damit? "

(*) Andere Gerichtsbarkeiten sind verfügbar.

Als ich jung war, habe ich mich so ziemlich genau in Ihre Situation gebracht. Ich langweilte mich bei einem Zeitarbeitsplatz und fing an, nach Sicherheitslücken zu suchen. Ich habe versucht, es zu beenden, indem ich eine anonyme E-Mail an den Systemadministrator gesendet habe, die auf folgende Weise fehlgeschlagen ist:

• Sie sind ausgeflippt und haben gedacht, dass die Bedrohung zuerst von außerhalb des Unternehmens kam.
• Sie durchsuchten die Systemprotokolle und verhörten und entließen fast einen meiner Kollegen, mit dem ich befreundet war und der nichts mit irgendetwas zu tun hatte.
• Sie verfolgten es schließlich zu mir zurück und entließen mich.
• Ich hatte sehr Glück, dass es ihnen nicht schlechter ging.

Der Teil, in dem mein Freund fast gefeuert wurde, warf mich auf eine Schleife. In meiner Hybris war mir völlig nicht bewusst, welchen Kollateralschaden ich verursachen könnte. Was mich auch überraschte, war, als ich in diesen Raum gerufen wurde, um gefeuert zu werden, wie ängstlich die Leute vor mir waren. Lehnen Sie alle Gedanken ab, die Sie an Personen haben, die rational reagieren.

Mein Vorschlag lautet, sofort aufhören , nicht autorisierten Zugriff zu verwenden. Wenn Sie Ihre Arbeit ohne Passwort wirklich nicht erledigen können, weisen Sie darauf hin, und wenn sie Ihnen dieses Passwort geben, weisen Sie darauf hin, wie schwach es ist. Ansonsten lass es in Ruhe. Ich weiß, dass es schwierig ist. Eines Tages werden Sie in einer besseren Position sein, um diese Art von Richtlinien zu beeinflussen. Sie müssen nur geduldig sein.

Sprechen Sie zunächst nicht über die unsicheren Passwörter. Beginnen Sie stattdessen damit, darauf hinzuweisen, dass es für Sie keine sichere Praxis ist, den Computer eines anderen Mitarbeiters für den Zugriff auf Systeme zu verwenden, da dies die Daten des anderen Benutzers gefährdet (eines Unfalls, selbst wenn Sie nicht böswillig oder so neugierig sind wie Sie). Versuchen Sie, sie davon zu überzeugen, dass es sicherer wäre, Ihnen die Passwörter zu geben, die Sie für Ihre Arbeit benötigen. Es wäre auch effizienter, da Sie den anderen Benutzer nicht am Arbeiten hindern müssten. Wenn sie möchten, dass Sie Zugriff haben, sollten sie Ihnen diesen Zugriff gewähren. Wenn das funktioniert, können Sie die unsicheren Passwörter kommentieren, die sie Ihnen offenbaren. Wenn sie besorgt sind, dass Sie die Passwörter nach Ihrer Abreise kennen, können sie diese zu diesem Zeitpunkt ändern.

Die meisten Unternehmen jeder Größe verfügen über einen Mechanismus, mit dem Sie anonyme Meldungen über Fehlverhalten von Mitarbeitern erstellen können. Dies kann als Integrität eines Compliance-Berichtssystems bezeichnet werden.

Diese Art der Meldung von Missständen wird empfohlen, um das Unternehmen vor schädlicheren Enthüllungen zu schützen.

Ich würde prüfen, ob Ihr Arbeitgeber über ein solches System verfügt, und es in diesem Fall verwenden. Geben Sie die Namen der beteiligten Personen und, falls Sie dies für angemessen halten, sogar das von ihnen verwendete Passwort an.

Wo ich arbeite, werden solche Berichte empfohlen. Sie würden dem Unternehmen helfen, seine Daten ohne Risiko für sich selbst zu sichern.

Soll ich meinem Chef mitteilen, dass seine Passwörter zu schlecht sind?

Wenn ich an einem Projekt arbeite und das Passwort an einen Server / Router usw. weitergebe, und Es ist ein schlechtes Passwort. Ich werde immer etwas sagen und empfehlen, stärkere Passwörter / einen Passwort-Manager usw. zu verwenden.

Ich denke, dass dies eine vernünftige Sache ist.

Mit Vor diesem Hintergrund wollte ich nur sehen, ob das gleiche Muster für andere Arten von Ressourcen wie E-Mail-Adresse, Hosting-Konten usw. verwendet wurde, und ja, das waren sie.

Ja, Mach das definitiv nicht. Es ist gesetzeswidrig und Sie könnten vorbestraft werden, wenn Ihr Arbeitgeber es herausfindet.

Wenn Sie ihnen mitteilen, dass Sie die Maßnahmen enthüllen, die Sie ergriffen haben, um diese Informationen zu erhalten, und die Sie möglicherweise in Schwierigkeiten bringen.

Wenn Sie sie über die Bedeutung sicherer Kennwörter informieren möchten, sind Sie Möglicherweise können Sie dies tun, ohne das preiszugeben, was Sie wissen.

Obwohl ich den anderen zustimme, dass Sie bei der Prüfung der Sicherheit zu weit gegangen sind und Ihren Arbeitgeber nicht über die von Ihnen kompromittierten Passwörter / Systeme informieren sollten, sind Sie meiner Meinung nach dafür verantwortlich, ihnen ihre Sicherheitspraktiken mitzuteilen scheinen arm zu sein und bitten um ihre Erlaubnis, weitere Nachforschungen anzustellen.

(aber stellen Sie sicher, dass Sie eine schriftliche Genehmigung außerhalb des Standorts haben, bevor Sie fortfahren)

Ehrlich gesagt hängt alles von der Persönlichkeit Ihres Chefs ab und davon, wie viel Sie sich kennen / vertrauen. Es gibt viele Arbeitgeber, die sich nicht weniger um ihre Mitarbeiter kümmern könnten und diese Situation ausnutzen würden, indem sie Sie verklagen, aber gleichzeitig gibt es viele, die für solche Ratschläge sehr dankbar wären und sich mit Ihnen für zusätzliche Arbeit anfreunden würden. P. >

Sie könnten etwas in der Art von "Ich habe Tutorials zur Netzwerksicherheit angesehen und mich gefragt, ob das System hier solche Mängel aufweist" sagen, oder wenn nicht, könnten Sie einen vertrauenswürdigen Mitarbeiter finden, der das sagt, was wahrscheinlich der Fall wäre mehr von Ihrem Chef akzeptiert.

Und schließlich gibt es immer den Ansatz, nichts zu sagen und einfach Ihren Job zu machen, sich um Ihre eigenen Angelegenheiten zu kümmern und ihn zu vergessen. Scheint falsch, aber heutzutage gibt es zu viele schlechte Leute, die wirklich gute Taten ausnutzen wollen (wie das Aufzeigen von Sicherheitslücken in einem Unternehmen), dass es das Risiko nicht wert ist, ins Gefängnis zu gehen und Geldstrafen zu zahlen, wenn man versucht, nett zu sein Person.

Die einzige Person, die einen Schritt machen kann, sind Sie, und das hängt alles davon ab, wie gut Sie die Persönlichkeit der Menschen beurteilen.

Und schließlich gibt es immer den Ansatz, nichts zu sagen und einfach Ihren Job zu erledigen, sich um Ihre eigenen Angelegenheiten zu kümmern und ihn zu vergessen. Scheint falsch, aber heutzutage gibt es zu viele schlechte Leute, die wirklich gute Taten ausnutzen wollen (wie das Aufzeigen von Sicherheitslücken in einem Unternehmen), dass es das Risiko nicht wert ist, ins Gefängnis zu gehen und Geldstrafen zu zahlen, wenn man versucht, nett zu sein Person.

Und genau das sollten Sie tun. Wenn Sie jemandem ein Wort oder sogar einen Hinweis sagen - irgendjemandem! Nicht nur dem Chef oder anderen in dieser Firma -, geben Sie Ihre Sicherheit und Freiheit in seine Hände. Halten Sie den Mund, erledigen Sie Ihre Arbeit und gehen Sie nach Abschluss Ihres Vertrags woanders hin, um zu arbeiten. Ihre Situation ist gefährlich . Staatsanwälte werden für die Anzahl der Verurteilungen belohnt, nicht für das Böse des Täters.

Hängt von der Persönlichkeit Ihres Chefs ab. Ist er intelligent, klug und verständnisvoll? Wenn ja, dann kannst du es ihm sagen. Das wird nicht der Grund sein, dich zu feuern oder dich zufällig herabzustufen. Stattdessen werden Sie möglicherweise für Ihr Talent belohnt, und wer weiß, kann auch eine Beförderung sein.

Aber wenn die Persönlichkeit Ihres Chefs eher gewöhnlich ist, vergessen Sie dies einfach.

Fragen Sie sie nach dem Passwort, weil bla bla bla. Wenn sie wissen, dass Sie das Passwort kennen, können Sie ihnen sagen, dass es unsicher ist, und sie werden höchstwahrscheinlich einer Änderung zustimmen! Und da Sie das Passwort auf "gute" Weise erhalten haben, sind Sie in Ordnung.

Hinweis: Nehmen Sie alles, was dort gesagt wird, mit einem Körnchen Salz. Ich versuche zu verdeutlichen, warum Sie möglicherweise keine hohe Sicherheit benötigen, aber das bedeutet nicht, dass Sie keine Sicherheit haben sollten.

Ich könnte hier den Anwalt des Teufels spielen, aber Sicherheit ist Risiko gegen Belohnung.

Wenn er also ein schwaches Passwort hat, bedeutet dies möglicherweise nicht viel. Im schlimmsten Fall ist es ein paar Stunden Verlangsamung, wenn jemand erhält Zugriff auf das IT-System.

Aber er vergisst sein Passwort "h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% µ454" und / oder verschwendet 5-10 Minuten pro Tag, indem er es eingibt und Wenn er frustriert ist, weil er es ein paar Mal falsch macht, wäre das auf lange Sicht wahrscheinlich schlimmer.

Ich meine, manchmal geraten wir in eine Sicherheitsparanoia und vergessen, dass das Risiko besteht, dass jemand bereit ist, anzugreifen Das Unternehmen ist nicht wirklich hoch, und selbst ein vollständiger IT-Fehler kann nur bedeuten, dass Sie einige Tage lang auf Papier zurückkehren müssen.

Ich empfehle, beiläufig mit ihm zu sprechen Ihr Chef über IT-Sicherheit, und wenn er dünn ist ks es ist wichtig oder nicht. Sie können argumentieren, ob Ihre Punkte halten.

Wenn Ihr Chef zustimmt, dass IT-Sicherheit wichtig ist, möchten Sie ihn möglicherweise fragen, ob Sie nachsehen können, ob es Probleme mit der Sicherheit gibt. Tun Sie gewissenhaft, was Sie getan haben, und melden Sie ihn per E-Mail mit jedem Problem, das Sie finden, welches Risiko dies bedeutet und wie / wie viel es zu beheben ist.

Meistens treten Probleme mit der IT-Sicherheit auf Nicht von externen Quellen, sondern von (Ex-) Mitarbeitern mit Groll. Deshalb möchte er wahrscheinlich nicht, dass Sie die Passwörter erhalten.