Frage:
Ist es in Ordnung, Ihr Passwort dem Systemadministrator Ihres Unternehmens mitzuteilen?
BЈовић
2011-07-22 01:29:49 UTC
view on stackexchange narkive permalink

Ich arbeite in einem kleinen Unternehmen (20 Mitarbeiter) als leitender Softwareentwickler.

Nachdem ich Probleme mit meiner E-Mail hatte, bat mich unser neu eingestellter IT-Administrator, mein Benutzerkennwort an jemanden in zu schreiben unser Hosting-Unternehmen, um ihnen bei der Identifizierung des Problems zu helfen.

Ohne nachzudenken gab ich ihm mein Benutzerpasswort.

Nach 30 Minuten wurde mir klar, dass mich in meinen 10 Jahren in mehreren Unternehmen niemand nach einem Passwort gefragt hatte, und ich fand es ist ziemlich seltsam. Unmittelbar danach habe ich mein Passwort geändert.

Gibt es Fälle, in denen das Passwort wirklich benötigt wird, wenn ich mein Passwort wirklich einem IT-Administrator mitteilen muss?

Ich habe davon gehört Geschichten, in denen Administratoren nach dem Passwort des Benutzers gefragt haben, jedoch nur auf Websites wie The Daily WTF, die diese Frage aufgeworfen haben.

(Siehe auch: "Ein Kunde möchte es mir mitteilen Das Passwort seines Heim-Laptops. Muss ich ihn zu einer komplexeren Alternative drängen? ")

Die [andere Version] (http://security.stackexchange.com/questions/5534/is-it-ok-to-tell-your-password-to-an-admin/5537#5537) dieser Frage wurde geschlossen, weil Die Antworten waren nicht auf Sicherheit ausgerichtet. Meine Antwort konzentrierte sich auf den praktischen Punkt. In der realen Welt gibt es beschissene externe Dienste, die einer lokalen Support-Person keine Möglichkeit bieten, zu helfen. Wenn Sie Hilfe von Ihrem Einheimischen benötigen, haben Sie möglicherweise keine andere Wahl. Sie können das Passwort in Ihrem Konto vorher und / oder nachher ändern oder das Problem selbst lösen.
@Zoredache, Wenn Sie dort jetzt Ihre aktualisierte Antwort lesen, insbesondere den letzten Absatz, ändert sich dies ein wenig - aber siehe meinen Kommentar unten, wie "freigegebene" Konten wirklich keine gute Idee sind. Außerdem hat das OP "mein Passwort" gesagt, also scheint das nicht der Fall zu sein - aber ich bin sicher, VJo könnte das klarstellen.
Leider ist mir das passiert. Aber der Administrator war der Eigentümer der Firma. Was kannst du tun?
@AviD Richtig. Das Konto wird nicht freigegeben.
@LarsTech Der Administrator ist ein Mann, der vor einigen Monaten eingestellt wurde
"Mein Passwort" und "Das Passwort für unser Hosting-Unternehmen" sind zwei völlig verschiedene Dinge. Ersteres hat mit dem Administrator nichts zu tun, letzteres kann durchaus erforderlich sein, damit er seine Arbeit erledigt!
@MichaelKjörling: Hervorragender Punkt; Sie sollten es kopieren und in eine neue Antwort einfügen. Lieber OP: Wenn er das tut, sollten Sie es akzeptieren.
@unforgettableid Ich denke, [@David Houde] (http://security.stackexchange.com/a/37867/2138) hat genau das gerade getan.
@MichaelKjörling: Vorgeschlagene Revision 2 änderte unklugerweise den Satz "Nach einigen E-Mail-Problemen fragte mich unser neu eingestellter IT-Administrator nach einem Passwort, um zu sehen, warum genau" zu "Nach einigen E-Mail-Problemen fragte mich unser neu eingestellter IT-Administrator nach dem Passwort an unser Hosting-Unternehmen, um zu sehen, warum genau ". Das OP hat das Problem nicht erkannt und daher [genehmigt] (http://security.stackexchange.com/review/suggested-edits/258) die vorgeschlagene Bearbeitung. Das OP hat den Fehler nun behoben. Es stellt sich also heraus, dass es schließlich das Benutzerkennwort des OP war, das der Systemadministrator angefordert hat.
@MichaelKjörling: Es sieht so aus, als ob die [Antwort] von DavidHoude (http://security.stackexchange.com/a/37867/2138) jetzt gelöscht wurde.
Neun antworten:
AviD
2011-07-22 01:52:20 UTC
view on stackexchange narkive permalink

Kurze Antwort:

ABSOLUT NICHT!
Ihr Passwort befindet sich zwischen Ihnen und Ihrem Computer allein.
Niemand sonst.

Nicht Ihr Chef, sein Chef, der Systemadministrator, Ihr Bankangestellter, Ihr Versicherungsvertreter, Ihr ISP-Supporttechniker oder Ihre Katze. Nun, deine Katze kannst du sagen, wenn sie verspricht, sie nicht zu teilen.

Es gibt NIE einen guten Grund, ein Passwort zu teilen.
Es gibt viele Gründe, dies NICHT zu tun. Meistens kann ein Passwort Ihre Identität nicht mehr beweisen, da es IHRE Authentifizierung ist und sobald es auch nur eine andere Person kennt.

Jeder Grund, den Ihr Administrator vorbringt, ist falsch, entweder weil er böswillig, faul, falsch informiert oder inkompetent ist.
Das heißt, es ist möglicherweise nicht seine Schuld, sondern die Schuld seiner Organisation . In jedem Fall gibt es eine Fülle von Inkompetenz, Unwissenheit und Faulheit.

Wenn ein Administrator oder ein Support-Techniker nach Ihrem Passwort fragt, lautet die richtige Antwort LACHEN.
Weil es auf keinen Fall ernst ist, oder?

Wenn Ihr Administrator darauf besteht - erklären Sie ihm, dass Sie dokumentieren, dass Sie Ihr Passwort mit ihm teilen ... und dass Sie auf dieser Grundlage böse E-Mails an alle senden - nicht an ihn, aber Sie werden behaupten, dass sie von ihm stammen (unter Verwendung Ihres Kontos, in Ihrem Namen, unter Verwendung Ihres Passworts, das Sie ihm gerade mitgeteilt haben). Natürlich kann er nicht beweisen, dass er Ihr Passwort nicht missbraucht hat ... worum es geht.

Nein, geben Sie ihm beim zweiten Gedanken einfach kein Passwort. Es gehört dir, nur zwischen dir und dem Computer.

Ich werde auch bemerken, dass Sie Ihr Passwort nicht auf seinem Computer eingeben sollten, es sei denn, Sie vertrauen DIESER PERSON ausdrücklich. Und er sollte nicht fragen - es ist eine schlechte Benutzererziehung, die Schulung der Benutzer, ihre Passwörter auf einem beliebigen Computer einzugeben -, die möglicherweise Keylogger, Verkehrsschnüffler usw. enthält.
Jemand benutzt gerne CAPSLOCK, um seinen Punkt zu machen.
Eigentlich Schicht. Selektiv verwendet, ist es ein nützliches Werkzeug zur Hervorhebung.
Das dachte ich mir.
Die Frage bezieht sich auf ein Kennwort für einen externen Dienst, auf das der Administrator möglicherweise Zugriff hat. Wenn der Administrator in der Lage sein soll, das komplexe Problem zu lösen, für das diese spezifischen Anmeldeinformationen erforderlich sind, wie können Sie dies erwarten, ohne ein Kennwort freizugeben? Das Senden böser E-Mails oder das Lachen angesichts eines Technikers, den Sie um Hilfe gebeten haben, kann entweder dazu führen, dass Sie keine Hilfe erhalten, oder der Typ, der sich an Ihnen im BOFH-Stil rächt.
@Zoredache, Wenn der Administrator Zugriff auf diesen Dienst haben soll, sollte er über seine eigenen Anmeldeinformationen verfügen. Wenn er es nicht tut, sollte er es nicht tun. Beachten Sie, dass (besitzende) Anmeldeinformationen einer Identität entsprechen (besitzen) - und dass diese nicht geteilt werden sollten. Die bösen E-Mails sollten nicht gesendet werden, sondern das Problem beim Teilen eines Passworts aufzeigen. Gleiches gilt für das Lachen, denn mit einem ehrlichen, kompetenten Systemadministrator würde man das nur als Scherz bezeichnen. (Und übrigens, meiner Erfahrung nach sind es die Sicherheitsleute mit Zugang zu den * echten * Sachen ...;))
Übrigens, @Zoredache, eine "Ausnahme" von dem obigen Kommentar ist, wenn die Anmeldeinformationen nicht für sein * persönliches * Konto sind, sondern für ein "Unternehmen", gemeinsames Konto. (Ich * denke *, das könnte das sein, worauf Sie hinaus wollten ...?) In diesem Fall sollten sie natürlich nicht gehortet und an diejenigen weitergegeben werden, die für die Verwaltung verantwortlich sind. Sehr schlechte Praxis, verboten durch viele Vorschriften, aber nicht so schlimm wie das Aufgeben der Passwortschlüssel für Ihr eigenes Identitätsreich.
Ja, ich spreche hauptsächlich von Anmeldeinformationen, die ein externer Anbieter als zur Organisation gehörend und nicht zur Person behandelt. Die Frage bezieht sich auf ein kleines Unternehmen. Leider ist es bei kleinen Unternehmen sehr häufig, dass der IT-Support keinen Zugriff hat oder keinen Administratorzugriff auf Dienste, von denen erwartet wird, dass sie ihn unterstützen. Ich bin damit einverstanden, dass Sie Ihr Passwort fast nie weitergeben sollten, aber ich sage nur, dass es in einigen weniger als idealen Umgebungen nicht viel Auswahl gibt.
Teilen Sie Ihrer Katze NICHT Ihr Passwort mit. Katzen sind unter keinen Umständen [nicht vertrauenswürdig] (http://jpetrie.myweb.uga.edu/journal.html). So unschuldig sie auch erscheinen mögen, es ist bekannt, dass sie bösartig sind.
Die Katze kennt das Passwort offensichtlich schon, da es auch sein Name ist.
@KristoferA: Ist das Passwort * sein Name * oder [* Ihr Name für ihn *] (http://www.catquotes.com/thenamingofcats.htm "" The Naming of Cats "von T S Elliot")? Ich frage, weil er sich nicht um Letzteres kümmern sollte und Sie Ersteres nicht kennen sollten. ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… :-)
Der Link "[Katzen sind nicht vertrauenswürdig] (http://jpetrie.myweb.uga.edu/journal.html" Einträge im Tagebuch einer Katze ")" ist fehlerhaft. Etwas andere Versionen des Originalinhalts finden Sie [hier] (http://www.pawsperouspets.com/humor/catdiary.shtml "Secret Cat Diary") und [hier] (http://www.goodeatsfanpage.com/). humor / otherhumor / dog_cat_diary.htm "The Cat's Diary"), mit längeren Versionen [hier] (http://www.papermodelers.com/forum/comedy-stand/12698-excerpts-cats-diary.html) Auszüge aus dem Katzentagebuch ... ") und [hier] (http://gpsinformation.info/main/cat-diary.txt" Das Tagebuch der gefangenen Katze ").
@AviD Ihr Argument klingt vernünftig.Aber gibt es maßgebliche Quellen für diese Grundsätze?Ich denke, es wird nicht überzeugend sein, unserer IT eine zufällige Stapelaustauschantwort als Beweis dafür zu zeigen, dass sie falsch sind.
M'vy
2011-07-22 02:00:47 UTC
view on stackexchange narkive permalink

Versuchen wir eine andere Idee: Würden Sie Ihrem IT-Manager einen Finger geben, damit er Ihren Zugang zu Ihrem Gebäude während der Arbeit reparieren kann?

Ich gehe davon aus, dass die Antwort Nein lautet. Gleiches gilt für Ihr Passwort. Selbst wenn Sie ein einziges Passwort für alle Ihre Dienste haben (was selbst für mich nie passiert, gestehe ich), sollte das Passwort NIEMALS mit jemandem geteilt werden. Es ist das einzige, was sich authentifizieren kann. Das kann Sie stören, Zeit mit Ihrem IT-Support zu verschwenden, aber dies kann Sie auch für eine lange Zeit ins Gefängnis schicken.

Also definitiv: nein

Einen Finger zu geben ist unnötig übertrieben, nicht wahr? Schließlich können Sie das Passwort einfach ändern, nachdem der IT-Mitarbeiter die Arbeit erledigt hat. Ein Fingerwechsel ist nicht möglich.
Nein, es ist nicht übertrieben. Sobald ein Konto im Besitz ist, ist es im Besitz. Je nachdem, um welchen Dienst es sich handelt und welche Funktionen vorhanden sind, kann ein Benutzer möglicherweise ein Ersatzkonto erstellen (z. B. eine Weiterleitungs-E-Mail-Adresse, ein sekundäres Administratorkonto usw.). . Es ist normalerweise nicht möglich, jemand anderem "vorübergehenden" Zugriff auf Ihre Identität zu gewähren.
Ich könnte ihm aber * den * Finger geben;)
@AviD: Das Problem dort ist, dass ein Systemadministrator effektiv Gott ist. Sie können jederzeit Ihr Konto übernehmen. Auf lokaler Ebene können sie "su" nur für Unix-Systeme verwenden, oder für Windows erstellen sie ein Token mit dem Aufruf "zwCreateToken". Sowohl für lokale als auch für Netzwerkanmeldeinformationen können sie Ihr Kennwort fast immer ändern (obwohl viele Systeme es ihnen sehr schwer machen, das Kennwort zurück zu ändern).
Die seltsame Verwendung von Anekdoten, die Sie dort gefunden haben ... aber auch, wenn Sie Ihren Finger als Passwort verwenden, ist es fast dasselbe, wenn Sie Ihr Passwort überall auf Post-its belassen.
@Kevin,, aber das ist nicht dasselbe wie das "Ausleihen" Ihres Passworts ... Wenn der Administrator Ihr Konto zurücksetzt oder übernimmt, * gibt es eine Prüfung *. Vergessen Sie auch nicht Dinge wie z. EFS, bei dem Sie durch Ändern des Kennworts eines Benutzers immer noch keinen Zugriff erhalten. Das Problem ist diese Einstellung, "dass ein Systemadministrator effektiv Gott ist" - dies ist nicht wahr und sollte es auch nicht sein: Gott muss seine Handlungen nicht rechtfertigen, ein Systemadministrator tut dies.
Wir sprechen nicht über das Zurücksetzen, wo die Prüfung stattfindet! Wenn Sie jedoch Ihr Passwort angeben, bedeutet dies keine Prüfung. In der Tat ist der Administrator Gott, aber er tut etwas unter seinem Namen, nicht deins (mit einigen Ausnahmen unter Linux und su).
@M'vy Mein Punkt war teilweise, dass ein Linux-ähnliches `su` unter Windows für lokale Zwecke möglich ist. Ein lokaler Administrator kann keine verwendbaren Domänenanmeldeinformationen fälschen, der Amdinstrator des Domänencontrollers jedoch technisch, obwohl dies ebenfalls nicht dokumentiert ist.
@AvID: Auditing hilft, und es tritt in der Tat nicht mit gemeinsam genutzten Passwörtern auf, es negiert meine Aussage nicht. Die Rechtfertigung der eigenen Handlungen erfolgt nachträglich, und in der Sicherheit kann es nachträglich sehr spät sein. In Ihrem Beispiel für EFS kann der Administrator des Domänencontrollers eine Kopie des privaten Schlüssels erhalten und die Dateien entschlüsseln, es sei denn, Sie haben den Wiederherstellungsagenten deaktiviert oder ein System im Smartcard-Stil verwendet. Da in vielen Unternehmen der Domänenadministrator auch ein lokaler Administrator auf den Computern der Benutzer ist, können sie (zumindest theoretisch) EFS umgehen.
Dies ist eine schreckliche Analogie. Es versucht, den Leser dazu zu bringen, auf den Terror der Entstellung zu reagieren und diesen anstelle eines rationalen Arguments zu verwenden. Nicht zustimmen? Ersetzen Sie dann "Finger" im Argument durch "Fingernagelschnitt". Plötzlich klingt es nicht mehr so ​​schlecht ... aber das Argument bleibt unverändert.
Sie sollten dem Administrator Ihr Passwort nicht geben, er sollte über ausreichende Berechtigungen verfügen, die nicht benötigt werden. Der Systemadministrator kann den Dienst jedoch nur legitimerweise im Handumdrehen verwalten (er verfügt über die erforderlichen Zertifikate + Schlüssel und den Netzwerkzugriff) und auf diese Weise Ihr Klartextkennwort erhalten.
noktec
2011-07-22 03:51:15 UTC
view on stackexchange narkive permalink

Es wurde zuvor erklärt, dass niemand jemals einem Administrator sein Passwort geben sollte (ich bin damit einverstanden), aber Sie sollten sich bei seinem Vorgesetzten erkundigen, was los ist, denn wenn er Sie gefragt hat, ist es möglich, dass er gefragt hat das Passwort der 18 anderen (der 19. ist wahrscheinlich sein Vorgesetzter) und ich bin mir ziemlich sicher, dass einige Ihrer Kollegen überall das gleiche Passwort verwenden.

+1 guter Punkt. Fragen Sie beim Supervisor oder bei den Richtlinien nach, ob der Administrator fragen sollte.
Und wenn ja, lassen Sie diese Richtlinien wahrscheinlich aktualisieren ...
Ormis
2011-07-22 18:31:57 UTC
view on stackexchange narkive permalink

Kurze Antwort: Wenn er ein Administrator ist, sollte er niemals Ihr Passwort benötigen. Das schlimmste Szenario ist, dass er Ihr Passwort zurücksetzen und Ihnen ein neues geben muss (das Sie umgehend ändern würden).

Sofern keine mildernden Umstände vorliegen, sind Passwörter / Codes / Phrasen nur für Sie bestimmt. (zB wenn der Administrator kein privilegiertes Konto auf Ihrem PC hat)

Ich habe einige Jobs eingegeben, bei denen ein langjähriger Mitarbeiter einen einmaligen Computer hat, der kein Administratorkonto hat dass ich es verwenden kann, aber selbst dann ist es eine bessere Lösung, wenn der Benutzer (vorausgesetzt, er hat die Rechte dazu) dem Administrator ein privilegiertes Konto macht, das er verwenden kann. Selbst dann fällt es mir schwer, mir einen tragfähigen Grund vorzustellen, warum der Administrator Ihr Passwort benötigen würde. Es ist immer ein trauriger Tag zu erfahren, dass der Benutzer keine Administratorrechte hat, nicht mit der Domain verbunden ist und der Administrator, der sie eingerichtet hat, dort seit 10 Jahren nicht mehr gearbeitet hat ......

ps Wie in einer anderen Antwort erwähnt, ist es möglich, dass der Administrator es gewohnt ist, von seinen Vorgesetzten die Behandlung "Erledige es" zu erhalten, was dazu führen kann, dass er nur nach Passwörtern fragt.

p.s. Wenn es sich bei dem Kennwort um das Kennwort auf Administratorebene oder um ein Kennwort für einen externen Dienst handelt, auf den der Administrator zugreifen muss, benötigt er das Kennwort (oder ein für ihn für diesen Dienst erstelltes Konto auf Verwaltungsebene). Meine Antwort war aus der Perspektive, dass es Ihr Passwort war. Wenn es sich um einen Unternehmensdienst handelt, d. H. Den Webhost des Unternehmens, ist es nicht "Ihr" Passwort. Selbst dann ist es bevorzugt, dass jede Person separate Anmeldungen hat (aus Gründen der Rechenschaftspflicht / Prüfung).
RobertRay
2011-07-22 12:19:49 UTC
view on stackexchange narkive permalink

Möglicherweise ist es an der Zeit, Ihre IT-Sicherheitsrichtlinien auszuarbeiten. Wenn Sie eine in Ihrer Organisation haben. Wenn nicht, ist es Zeit, das Team dazu zu bringen, sich zu setzen und einen zu schreiben.

Es kann vorkommen, dass dieser Administrator ihn nicht gelesen hat oder nicht geschult wurde.

Eine Kultur des Herausgebens Passwörter erhöhen mit Sicherheit die Wahrscheinlichkeit, dass Konten erstellt werden, wenn keine Überprüfungen vorhanden sind, um jede einzelne Anfrage zu überprüfen.

Die Fragen zur Rechenschaftspflicht geben ebenfalls Anlass zur Sorge.

Es ist sicher keine gute Praxis.

StupidOne
2011-07-22 13:08:27 UTC
view on stackexchange narkive permalink

Es gibt noch ein weiteres Problem bei der Kennwortfreigabe.

Wenn Ihrem Konto oder Ihrem Konto etwas passiert, während eine andere Person angemeldet ist, werden Sie dafür verantwortlich gemacht. Selbst wenn es innerhalb des Unternehmens in Ordnung ist, das Passwort gemäß den Sicherheitsrichtlinien weiterzugeben, sind Sie gesetzlich (gesetzlich; zumindest in meinem Land) derjenige, der beschuldigt wird.

Das ist interessant; Ich bin dort nicht mit den örtlichen Gesetzen vertraut, aber in den meisten Fällen kann der Nachweis, dass jemand anderes Ihr Passwort hatte (entweder gestohlen oder auf "legitime" Weise gegeben), schwerwiegende Ablehnungsprobleme verursachen, dh Sie entbinden (-ish ) der Verantwortung).
Ich weiß, dass ein Mädchen vor einigen Jahren ihrem Freund ihren E-Mail-Account gegeben hat, der dann einige Erpressungs-Mails verschickt hat. Sie wurde für schuldig befunden, obwohl sie keine Mails verschickt hatte. EDIT: Nun, auch wenn Sie beweisen können, dass Sie es nicht waren und Sie gesetzlich nicht für schuldig befunden werden, ist es immer noch eine unangenehme Situation, stimmen Sie nicht zu?
Ich stimme diesem Punkt absolut zu.
Wenn Sie sich eine Servicebedingung für einen Service ansehen, werden Sie bestätigt, dass das Passwort in Ihrer alleinigen Verantwortung liegt.
@Mvy, natürlich. Aber was passiert, wenn Sie beweisen können, dass jemand anderes es hat? Ist es deine Schuld und du trägst die Verantwortung? Oder Ablehnung?
@AviD ♦: Kommt darauf an. Die meisten ToSes, die ich gesehen habe, sagen: "Es ist deine eigene verdammte Schuld, wer auch immer das Passwort hat * bist * du, soweit es uns interessiert" - dies kann eine weitere Hürde sein, außer zu beweisen, dass jemand anderes das Passwort hat. IANAL wie immer.
HumanJHawkins
2018-02-10 00:04:13 UTC
view on stackexchange narkive permalink

Die Kernfrage lautet: "Muss ein Administrator jemals nach einem Passwort fragen?" Natürlich sollte es nicht notwendig sein. Definieren wir jedoch "notwendig" als "erforderlich, um etwas Kritisches zu erreichen".

Bei diesen Parametern kann es in Fällen mit schwerwiegenden / fehlerhaften Fehlern in der Sicherheitsinfrastruktur erforderlich sein, ein Kennwort anzugeben, um das Kritische zu erreichen Aufgaben. Ich habe sowohl in großen Unternehmen als auch in der Regierung verschmutzte Systeme gesehen, die jahrelang so betrieben wurden, bevor ich ihnen begegnete. Und unter dem Gesichtspunkt, den Betrieb am Laufen zu halten, war es notwendig, diese Art der Kennwortoffenlegung fortzusetzen, während Korrekturen vorgenommen wurden.

Der Schlüssel bestand jeweils darin, das Problem zu dokumentieren, zu dokumentieren und das Problem klar zu kommunizieren Wenn Sie das Risiko eingehen, unter dieser fehlerhaften Sicherheitslage zu arbeiten, erhalten Sie von der Führung eine Erklärung, in der angegeben wird, unter welchen Umständen während der Korrekturen eine Kennwortbelichtung erfolgen soll, und dokumentieren Sie dann die Kennwortbelichtung, die erforderlich ist, um den Betrieb fortzusetzen, während das Sicherheitssystem korrigiert wurde.

Kurz gesagt, es sollte niemals notwendig sein. Wenn dies jedoch der Fall ist, schützen Sie sich, indem Sie das Haftungsrisiko von sich selbst auf die Partei übertragen, die für die Entscheidungen / die Infrastruktur verantwortlich ist, die dies unangemessen notwendig gemacht haben. Und wenn es keine Möglichkeit gibt, das Problem zu beheben, sollten Sie in Betracht ziehen, weiterzumachen.

Ancient One
2015-01-30 07:37:30 UTC
view on stackexchange narkive permalink

Vielleicht ... Wie sehr vertraust du ihnen? Verwenden Sie dieses Passwort woanders? Wenn es sich um dasselbe Passwort (oder eine einfache Ableitung davon) handelt, mit dem Sie Zugang zu Orten erhalten, die eine direkte Manipulation Ihrer Finanzen ermöglichen, sollten Sie dem Systemadministrator besser vertrauen, dass er Ihr Passwort nicht verwendet, um Zugang zu diesen Bereichen zu erhalten. Amazon-Kundendienst: "Nun, Sir, unsere Protokolldateien und Prüfpfade zeigen, dass Sie diese 1200 Exemplare von" Sharknado 2 "gekauft haben."

Ist Ihre Bequemlichkeit wichtiger als Ihre Sicherheit? ? "Mann ... Wenn ich dem Systemadministrator mein aktuelles Passwort nicht gebe, wird es geändert und ich muss es im E-Mail-Setup meines Telefons erneut ändern. BOGUS !!!"

Ist das Passwort eines, das Sie in Verlegenheit bringen würde, wenn die Leute es wissen? (Lieblings-Reality-TV-Star, Schimpfwort, sexuelle Position ...)

Die obigen Beispiele legen nahe, dass die Antwort "Nein" wäre. Aber ...

Der Systemadministrator: "Da Sie beschlossen haben, Ihre Festplatte mit Truecrypt zu verschlüsseln, was das Unternehmen nicht unterstützt, kann ich keine Daten von Ihrem Laptop wiederherstellen, es sei denn, ich habe Ihr Entschlüsselungskennwort."

Die Antwort lautet also nicht unter allen Umständen "Ja" oder "Nein". Die Antwort hängt von den Umständen ab, unter denen Sie danach gefragt werden.

Und ... überlegen Sie immer, wer außer Ihnen auf irgendeine Weise verletzt werden könnte, wenn jemand außer Ihnen Ihr Passwort hätte. Geheimdienst: "Herr Präsident! Sie haben die nuklearen Startcodes gegeben. guy ??? "

Die Antwort ist nicht "vielleicht", noch ist es ein qualifiziertes "normalerweise nicht", die Antwort ist streng "nein". Sehen Sie sich die anderen Antworten an, wenn Sie nicht verstehen, warum. Ich bin ehrlich schockiert, dass diese Antwort seit über einem Jahr hier ist, ohne dass jemand darüber abgestimmt oder kommentiert hat. Für alle anderen, die dies lesen, glauben Sie dieser Antwort nicht, lesen Sie die Antworten mit den höheren Stimmen
ddyer
2013-07-10 09:55:13 UTC
view on stackexchange narkive permalink

Wenn der Administrator versucht, ein Problem zu diagnostizieren, das nur Sie haben, gibt es möglicherweise gute Gründe, "wie Sie" auf Ihr Konto zuzugreifen, um Ihr Problem effizient zu identifizieren. Sie haben eine viel höhere Wahrscheinlichkeit, Ihr Problem zu beheben, wenn Sie es ihnen leicht machen.

Bedenken Sie, dass Ihre Daten nicht wirklich vor den Systemadministratoren geheim sind. Das einzige, was Sie tatsächlich schützen, ist das Kennwort selbst. Wenn Sie bereits einer guten Passworthygiene folgen, hat diese keinen Wert, solange Sie sie sofort wieder ändern.

Die Alternative - dass sie eine Hintertür haben, um die Notwendigkeit von Passwörtern zu umgehen, ist auch nicht wirklich attraktiv.

Aber die Daten können durch Verschlüsselung geheim gehalten werden, oder? Ich bin mir nicht sicher, was du mit "Hintertür" meinst. Offiziell gibt es unter Linux keine Hintertüren;)
Hier geht es um ein Dienstkonto und eingehende E-Mails. Es gibt keine separate Verschlüsselung (oder wenn dies der Fall wäre, wäre das Benutzerkennwort irrelevant.) Als Root unter Unix kann ich Ihr Kennwort ändern und mich als Sie anmelden. Wie ist das für eine Hintertür?
@ddyer: Was ist ein Dienstkonto?
-1. AviD hat [darauf hingewiesen] (http://security.stackexchange.com/questions/5539/is-it-ok-to-tell-your-password-to-your-companys-sysadmin#comment9163_5543), dass, wenn der Systemadministrator zurückgesetzt wird Mit Ihrem Kennwort wird ein Prüfpfad erstellt. Wenn Sie es für den Systemadministrator ändern, gibt es keinen Prüfpfad. Teilen Sie Ihr Passwort nicht mit. Bitten Sie stattdessen Ihren Systemadministrator, es zurückzusetzen und das Problem zu diagnostizieren.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...