Frage:
Ich bin ein IT-Berater. Sollte ich einen Kunden davon abhalten, mir sein Passwort mitzuteilen?
unforgettableidSupportsMonica
2013-06-07 11:29:05 UTC
view on stackexchange narkive permalink

Ich bin ein IT-Berater. Ein Kunde kennt mich seit einigen Jahren. Er möchte, dass ich wieder am Laptop seiner Kinder arbeite. Ich muss mich in das Windows-Benutzerkonto seiner Kinder einloggen. (Ich vermute, dass sich mehrere Kinder ein Konto teilen.)

Dieses Mal möchte er die Maschine bei mir abgeben. Er möchte mir das Passwort der Kinder mitteilen ( "Plan A" ): Er vertraut mir. Aber ich möchte nicht, dass er sich an unsichere Praktiken wie das Teilen von Passwörtern mit IT-Beratern gewöhnt.

Ich könnte einen "Plan B" vorschlagen und vorantreiben:

  • Er ändert das Passwort der Kinder in ein neues, temporäres Passwort.
  • Ich melde mich an, erledige die Arbeit und erzwinge bei der nächsten Anmeldung eine Passwortänderung.

Oder ich könnte ihn dazu drängen, mir ein Konto zu erstellen, damit ich einem "Plan C" folgen kann :

  • Ich habe das Passwort der Kinder zurückgesetzt.
  • Ich melde mich an, erledige die Arbeit und erzwinge dann bei der nächsten Anmeldung eine Kennwortänderung.

Trotzdem möchte ich ihn glücklich machen und ich möchte nicht ihn Zeit oder Geld zu verschwenden. Ich möchte ihn nicht in Richtung Plan B oder Plan C drängen, es sei denn, dies ist absolut notwendig. Ich frage mich:

  1. Ist es wirklich so schlimm für ihn, mir nur das Passwort der Kinder zu sagen? Wenn es schlecht ist, erklären Sie bitte warum und geben Sie eine Quelle an, wenn Sie können.

  2. (Optional :) Ich sage den Kunden immer einen Stundensatz. Aber in letzter Zeit habe ich von Minute zu Minute abgerechnet. Wenn wir uns für Plan C entscheiden, ist es für mich ethisch vertretbar, ihm die zusätzlichen Minuten in Rechnung zu stellen, die ich dafür benötige?

  3. ol>
Etwas verwandt: ["Ist es in Ordnung, einem Administrator Ihr Passwort mitzuteilen oder zu geben?"] (Http://security.stackexchange.com/questions/5539/is-it-ok-to-tell-or-give-your -password-to-an-admin)
Nachdem meine Freundin 5 Jahre lang wollte, dass ich ihre Konten benutze, gab ich es endlich auf und versuchte sie zu zwingen, das Passwort jedes Mal danach zu ändern. Sie können so lange Widerstand leisten ... Nach einer Weile wird es ein bisschen zu viel im Weg, und wenn die Leute ihre Gewohnheiten nicht ändern wollen ... Obwohl ich denke, dass es in Ihrem Fall eine größere Haftung und Klage gibt -Oberflächenproblem ...
Außerdem unterscheiden sich Ihre Pläne B und C nicht wesentlich von Plan A. Sie hätten viele schlechte Dinge tun können, während Sie Zugriff auf Plan B hatten, und Sie würden genügend Rechte benötigen, um auf dem Konto des Kindes das zu tun, was Sie wollen mit Plan C sowieso. Tun Sie einfach, was dem Kerl das Leben leichter macht, wenn Sie keine rechtlichen Probleme befürchten. Tun Sie das aber nicht für einen Firmen-Laptop.
Ich würde einfach mit Plan C gehen - das Passwort für das Administratorkonto erhalten, ihm sagen, dass Sie alle Passwörter zurücksetzen müssen, um die Wartung durchzuführen, und die Passwörter auf zufällige 32-Zeichen-Zeichenfolgen zurücksetzen. Wenn Sie den Laptop zurückgeben, teilen Sie ihm mit, wie Sie die Kennwörter auf etwas Einprägsameres zurücksetzen können, sowie Richtlinien zur Auswahl sicherer Kennwörter. Wenn Sie nicht in Schritten von 5 Minuten abrechnen, kann ich mir nicht vorstellen, dass dies eine abrechnungsfähige Zeit ist.
Wenn Sie physischen Zugriff auf seinen Computer haben, ist das Windows-Kennwort nicht so relevant. Es ist eine triviale Angelegenheit, entweder Cain & Abel oder sogar etwas als Linux-Live-CD zu verwenden, um die Anmeldung zu umgehen und auf alle Dateien jedes Kontos zuzugreifen.
Ruda.almeida, können Sie mir bitte sagen, wie Sie Cain and Able für diese Art der Passwortwiederherstellung verwenden würden? Ich versuche nicht zu sagen, dass Sie kein Kennwort für einen Computer wiederherstellen können, auf den Sie physischen Zugriff haben. Es gibt viele Werkzeuge dafür, ich sehe nur nicht, wie Cain and Able das richtige Werkzeug für diesen bestimmten Job ist. Wohlgemerkt, es ist viele Jahre her, seit ich C & A das letzte Mal verwendet habe, aber als ich das letzte Mal nachgesehen habe, war es ein Netzwerk, ein Man-in-the-Middle-Tool.
Ich bin sehr gut darin geworden, Passwörter zu vergessen.
Acht antworten:
#1
+51
Adi
2013-06-07 11:48:34 UTC
view on stackexchange narkive permalink

Das Problem liegt nicht insbesondere bei dieser Situation. Lassen Sie uns die Situation hier beurteilen:

  • Sie sind eine vertrauenswürdige Person für sie
  • Das Passwort sichert sehr wahrscheinlich triviale Daten

In diesem Fall ist es keine große Sache, Ihnen das Passwort zu geben. Das Problem (wie Sie in Ihrer Frage angegeben haben) ist, dass er sich angewöhnt, Passwörter herauszugeben.

Ich würde definitiv Plan B folgen. Warum?

  • In diesem Fall ist dies der beste Kompromiss zwischen Sicherheit und Komfort.

  • Er wird lernen, wie man kein Passwort teilt, insbesondere wenn die Lektion von einer vertrauenswürdigen Person stammt ihn.

  • Dadurch sehen Sie noch professioneller aus und zeigen Ihr Interesse an der Sicherheit Ihres Kunden.

  • Sie ziehen an Ich weiß nicht, ob er diese Situation bekannt macht und in gewisser Weise zu einem besseren Verständnis der Sicherheit (in solchen Situationen) in seinem Freundes- / Familienkreis beiträgt.

Was Ihre zweite Frage betrifft, denke ich nicht, dass ich die beste Person bin, um dies zu beantworten, aber ich würde nein sagen. Wenn etwas 2-3 Minuten dauert und es im Vergleich zu einer anderen Aufgabe offensichtlich trivial ist (Beheben von Problemen mit dem Computer), werden dem Kunden die zusätzlichen 3 Minuten Arbeit nicht in Rechnung gestellt. Es lässt niemanden gut aussehen.

Vielen Dank für Ihre Antwort. 1. Was ist, wenn er antwortet: "Ich vertraue Ihnen und möchte das Passwort nicht ändern?" 2. Die Rechnung enthält nur eine Werbebuchung: etwa "Computerdienste". Ich habe vor, die Minuten zu messen, die der Job von Anfang bis Ende benötigt. Wenn wir uns für Plan C entscheiden, ist es für mich ethisch vertretbar, die zusätzlichen Minuten, die Plan C für mich benötigt, in meine Minutenberechnung einzubeziehen? Es wäre großartig, wenn Sie Ihre Antwort bearbeiten könnten, um dies widerzuspiegeln.
Beachten Sie auch, dass Sie möglicherweise die erste Person sind, auf die der Finger zeigt, wenn er die Polizei anruft, wenn in Zukunft etwas schief geht und dieses Passwort vom Kunden für andere Zwecke (z. B. E-Mail) verwendet wird. Möglicherweise können Sie Ihren Namen leicht löschen, aber es erspart Ihnen keine Kopfschmerzen.
#2
+22
armb
2013-06-07 16:45:36 UTC
view on stackexchange narkive permalink

Ich würde ihm Plan B vorschlagen, ihn aber nicht weitergeben, wenn er sich nicht darum kümmern möchte.

Sie haben unbeaufsichtigten physischen Zugriff auf den Laptop - es sei denn, Sie haben ein Kennwort für die Festplattenverschlüsselung Nicht erwähnt, das ist mit ziemlicher Sicherheit genug, um ohne Kontokennwörter zu tun, was immer Sie wollen, einschließlich der Installation von Hintertüren für den späteren Fernzugriff und der Kenntnis des Kennworts, erspart Ihnen nur unnötige Arbeit.

Wenn er also Recht hat Um Ihnen zu vertrauen, benötigt er keine zusätzliche Sicherheit. Wenn er sich irrt, Ihnen zu vertrauen, bietet ihm die vorübergehende Kennwortänderung (oder das zusätzliche Konto) keine zusätzliche Sicherheit.

Auf der anderen Seite Wenn es noch kein unprivilegiertes Gastkonto gibt, ermutigen Sie ihn, ein Konto einzurichten. Wenn seine Kinder es ihren Freunden erlauben, können sie das nutzen. (Und wenn Sie die erforderliche Arbeit von einem solchen Konto aus erledigen können, verwenden Sie es selbst, aber das scheint weniger wahrscheinlich.)

+1, um darauf hinzuweisen, was Sie mit physischem Zugriff tun können.
Obwohl ich Ihnen für die nette Antwort eine +1 gegeben habe, bin ich mit einem Punkt immer noch nicht einverstanden. Die Hauptsache hier ist das Offenlegen des Passworts. Denken Sie, der Kompromiss eines Servers; Ja, jemand, der Root- oder physischen Zugriff auf Ihren Server erhält, kann tun, was er will, aber es ist auch eine gute Sache, wenn Sie die Passwörter auf dem Server sicher hashen. Ich kann jemandem meinen Laptop zum Reparieren geben, aber ich möchte immer noch nicht, dass er meine Passwörter kennt. Entweder weil ich das Passwort woanders verwende oder weil mein Passwort "BootyB ** chSmack0 ****" ist.
@Adnan "Sie können tun, was sie wollen" beinhaltet die Installation eines Keyloggers (Software oder Hardware), um ihm das Passwort zu senden, sobald Sie es erneut eingeben. Sie müssen der Person vertrauen, die Ihren Laptop repariert.
Es ist möglicherweise immer noch wertvoll, das Passwort nicht zu kennen. Im schlimmsten Fall, wenn Kinderpornografie auf dem Laptop des Kunden gefunden und heruntergeladen wird, nachdem Sie sie zurückgegeben haben, und die Polizei fragt, wer sie möglicherweise noch dort abgelegt hat, haben Sie möglicherweise noch einen Software-Keylogger und Tools für den Fernzugriff installiert, die angemeldet sind sein Konto, lud den Porno herunter und räumte danach den Keylogger usw. auf, aber es ist wahrscheinlich immer noch besser, sein Passwort nicht gekannt zu haben. Das Vertrauensproblem geht also möglicherweise in beide Richtungen. Das ist jedoch ein ziemlich unwahrscheinliches Szenario.
#3
+16
Nathan Goings
2013-06-08 09:18:37 UTC
view on stackexchange narkive permalink

Wenn ich mich mit Privatkunden oder Kleinunternehmen beschäftige, würde ich mich für "Plan A" entscheiden. Wie Adnan sagte, schützt es triviale Daten. Das Passwort zu umgehen oder sogar abzurufen ist ziemlich einfach.

Um Ihre Fragen zu beantworten:

  1. Ich kann mir keinen einzigen Grund vorstellen, warum es schlecht wäre, sein Passwort zu kennen Anmeldekennwort für Kinder.
  2. Ethisch gesehen sollten Sie nur das Standardprotokoll in Rechnung stellen. Dies ist vereinbart und bezahlt. Wenn Sie einen Standard für die Kennwortbehandlung kommunizieren, kann Ihr Kunde diesen entweder akzeptieren oder ablehnen und woanders Geschäfte finden.
  3. ol>

    Plan B ist am zeitaufwändigsten. Ihr Kunde kann möglicherweise zunächst nicht auf den Computer zugreifen.

    Im Allgemeinen haben wir Kunden gefragt, wie ich mich anmelden kann, den Standardadministrator angemeldet oder das Kennwort zurückgesetzt und bei der Rückgabe geändert . Wenn Sie dies nicht schnell tun können, benachrichtigen Sie Ihren Kunden.

    Seien Sie als IT-Berater konsistent. Wenn Sie jemanden behandeln, den Sie 2-3 Jahre lang anders kennen als einen brandneuen Kunden, gefährden Sie Ihre Richtlinien.


    Wenn Sie mit einem Unternehmen zu tun haben oder Regierungskunden, sollten Sie nie sein Passwort kennen. Sie sollten niemals fragen, und wenn sie versuchen oder erfolgreich sind, Ihnen ihr Passwort mitzuteilen, melden Sie sie sofort.

    Bei dem Regierungsprojekt, an dem ich gearbeitet habe, haben wir Plan C über Active Directory verwendet. Ein Kunde hat sich einmal beschwert, dass ich sein Passwort zurückgesetzt habe (anstelle von Plan A). Unser Cyber-Sicherheitsmanager hat das gesamte obere Management gekaut und meinen Speck gerettet.

Aufgrund meiner besonderen Situation denke ich, dass ich den folgenden Ratschlägen von Armb folgen werde: "Plan B ihm vorschlagen, aber nicht schieben, wenn er sich nicht darum kümmern will." (Ich habe diese Antwort aus drei Gründen akzeptiert. 1. Es ist wichtig, dass die Dinge in einer Unternehmensumgebung völlig anders funktionieren. 2. Es gibt eine gute Antwort auf meine Frage zur Abrechnung. 3. Da es relativ spät war, wurden die darin enthaltenen eindeutigen Informationen unten versteckt die Webseite.)
@unforgettableid Da Sie meine Antwort akzeptiert haben, werde ich etwas näher darauf eingehen: Es ist * nicht unbedingt * Ihre Aufgabe, Ihre Kunden über Cybersicherheit zu informieren. Das Implementieren und Befolgen von Richtlinien, die auf bestimmte Probleme aufmerksam machen, ist in Ordnung (da der Kunde das Unternehmen verlassen kann). Einfach ausgedrückt ist die Abrechnung von Nicht-Richtlinien unethisch (und etwas anmaßend).
#4
+5
Yannovitch
2013-06-07 15:29:05 UTC
view on stackexchange narkive permalink

Ich unterstütze TildalWaves Vorschlag.

Eigentlich denke ich, Sie sollten lieber zu ihm nach Hause gehen und ihm zeigen, wie einfach es ist, ein Passwort zu knacken, zum Beispiel mit Cain & Abel (ohne ihm zu zeigen, wie man diese Software erhält oder welche Software es ist, damit er später nicht versucht wird, dies selbst zu tun). DANN ändern Sie das Passwort mit ihm und geben ihm einige Tipps zu einem sicheren Passwort und Gute Sicherheitsgewohnheiten.

Ich denke, dass Sie ihm diese Dinge zeigen, um Ihr gegenseitiges Vertrauen zu stärken, nicht um es zu verringern.

Aber wenn Sie nicht an seinen Platz kommen können, dann ja, Erlauben Sie ihm einfach, Ihnen das Passwort seiner Söhne mitzuteilen, da es keinen "schockierenden Effekt hat, von dem er lernen kann", ihn zu bitten, zu einem temporären Passwort zu wechseln.

Wie viel Sie berechnen können. Nun, es sieht so aus, als wäre es mehr ein Freund als ein Kunde. Laden Sie ihn also wie einen Freund auf, nicht wie einen Kunden.

Vielen Dank für Ihre Antwort. 1. Zu Ihrem ersten Punkt: Wenn ein Cracker physischen Zugriff auf die Maschine hat, muss er das Passwort nicht knacken. Er kann einfach eine Live-CD verwenden, um das Passwort zurückzusetzen. 2. Zu Ihrem letzten Punkt: Dies ist ein Kunde. Wir sind zwar freundlich, aber ich gebe Kunden keine Rabatte, nur weil wir im Laufe der Zeit freundlich geworden sind.
#5
+4
TildalWave
2013-06-07 13:33:07 UTC
view on stackexchange narkive permalink

Fragen Sie sich, ob es für Sie schwieriger ist, das Vertrauen dieser Person in Sie zu missbrauchen, indem Sie einem der vorgeschlagenen Pläne folgen, und ob Sie es wirklich wollten? Das glaube ich nicht. Jeder der von Ihnen vorgeschlagenen Pläne kann genauso leicht ausgenutzt werden - von jemand anderem als Ihnen. Warum weiß ich, dass Sie sein Vertrauen nicht missbrauchen werden? Weil du hierher gekommen bist, um nach deinem Dilemma zu fragen; Etwas, das selbst eine etwas weniger ehrliche Person niemals in Betracht ziehen würde, und eine völlig unehrliche Person würde lieber auf einer öffentlichen Website nach Verleugnungsbetrug suchen, der es einfacher macht, die Identität dieser Person zu beweisen.

Also, so wie ich es sehe Ihr Dilemma besteht nicht darin, Ihre Vertrauenswürdigkeit zu beweisen oder Zweifel an Ihren ehrlichen Absichten zu vermeiden, indem Sie Pläne vorschlagen, die möglicherweise weniger davon erfordern, sondern Sie sind es nicht gewohnt, dass Geschäftsfreunde Ihnen auch im Privatleben so viel Vertrauen schenken. Sie haben dieses Vertrauen wahrscheinlich schon auf andere Weise erworben, und diese Person ist bereit, diese Freundschaft voranzutreiben. Etwas, das Sie anscheinend etwas überrascht hat, stelle ich mir vor?

Wir haben also diese drei Pläne, von denen keiner in einer nicht vertrauenswürdigen Umgebung perfekt ist und in denen alle nahezu identisch sind eine vertrauenswürdige Einstellung. Deshalb schlage ich vor, dass Sie einfach einem Plan folgen, der für Sie beide am einfachsten ist. So einfach ist das.

Was die Zahlung betrifft, mache ich in solchen Situationen Folgendes: Ich berechne niemals dafür oder bitte um Entschädigung oder Gegenleistung. Es sind meistens Routineaufgaben, die ich sowieso leicht erledigen kann, und wenn sie herausfordernder (seltener) sind, nehme ich das als eine Herausforderung. Noch besser. Wenn jedoch die Person, der ich diesen Gefallen tue, darauf besteht, mich auf irgendeine Weise zurückzuzahlen, akzeptiere ich entweder ein kleines Zeichen der Wertschätzung (Einladung zu einem Bier, ein Stück Kuchen, das seine Frau gebacken hat, ...), oder wenn Geld angeboten wird - geben Sie eine Webadresse meiner bevorzugten Wohltätigkeitsorganisation an und bitten Sie die Person, dieses Geld zu spenden, und fragen Sie nie wieder danach (aber wenn ich einmal weg bin, wenn es für diese Person schwierig ist, sich von der zu trennen angebotenes Geld - einige können zu großzügig sein -, sie können es ohne Reue behalten).

Wenn ich einen IT-Berater bitten würde, an meinem Laptop zu arbeiten, würde ich damit rechnen, dafür zu bezahlen.
Ja, und "diese Person ist bereit, diese Freundschaft voranzutreiben" gilt auch nicht. Dies ist eine Kundenbeziehung, keine Freundschaft.
Sie sind beide richtig. Ich habe die Antwort abgelehnt. Sehr geehrte TildalWave, wenn Sie Ihre Antwort korrigieren, bitten Sie mich, meine Stimme zu ändern.
@unforgettableid - Nein, das ist in Ordnung. Meine Antwort spiegelt meine Ansichten zur Situation wider, wie sie beim Schreiben beschrieben wurde. Sie sind nicht verpflichtet, es zu mögen oder es tatsächlich nützlich zu finden. Ich habe falsch eingeschätzt, was Sie mit "IT-Berater" gemeint haben. Die vorgeschlagenen Pläne sind alle gleichermaßen ausnutzbar, daher habe ich nicht das Bedürfnis, sie besonders zu unterstützen, und ich ging davon aus, dass dies für einen Mann Ihres Berufs selbstverständlich sein sollte. Was ich jedoch nicht verstehe, ist, warum Sie sich die Mühe machen, Ratschläge zu ethischen Aspekten zu verlangen, wenn Sie Ihren Kunden mehr in Rechnung stellen, wenn mehr Arbeit erforderlich ist. Kannst du jetzt sehen, woher meine Antwort kommt?
@TildalWave: Was Ihren ersten Punkt betrifft: Da Sie "IT-Berater" missverstanden haben, können Sie Ihre Antwort [bearbeiten], wenn Sie möchten. Natürlich ist es nicht erforderlich. Zu Ihrer Frage: Wenn Plan B oder Plan C eindeutig unnötig wären, wäre es eindeutig unethisch, Geld für die erforderlichen zusätzlichen Minuten zu verlangen. Sie sind nicht eindeutig unnötig, aber wenn ich sie jemals mache, werde ich meinen Kunden trotzdem im Voraus warnen, dass sie für die erforderlichen zusätzlichen Minuten bezahlen müssen.
@unforgettableid - Warum nicht sekundenweise aufladen?
@TildalWave: Ich rechne gerne minutenweise ab. Wenn ich von einer interessanten Webseite abgelenkt werde, kann ich die Abrechnung beenden, die Webseite genießen und dann die Abrechnung fortsetzen. Die Abrechnung im Sekundentakt wäre zu kompliziert.
#6
+2
Relaxing In Cyprus
2013-06-07 19:58:14 UTC
view on stackexchange narkive permalink

In diesem speziellen Fall würde ich entweder sagen, gehen Sie mit Plan B oder akzeptieren Sie einfach sein Passwort.

Plan B ist am sinnvollsten, vorausgesetzt, Sie erklären auch genau, warum Sie das tun, was Sie tun.

In einigen Fällen, insbesondere wenn es sich um ein gemeinsames Kennwort handelt, das von allen Kindern verwendet wird, kann das Ändern des Kennworts jedoch schmerzhaft sein. Ich denke insbesondere an Apple. Ich brauche meine Apple ID sehr selten und vergesse immer das Passwort und muss die üblichen Sicherheitsfragen usw. durchgehen, bevor ich es zurücksetzen kann. Aber jedes Mal, wenn ich ein neues Passwort wähle und es zu einer obskuren Variation von etwas Denkwürdigem mache, wird mir mitgeteilt, dass ich das Passwort bereits verwendet habe. Dies ist ein Schmerz, und wenn einige Personen dasselbe Passwort verwenden, kann die Wahrscheinlichkeit, dass das Konto gesperrt wird, sehr hoch sein.

Machen Sie also einen Urteilsspruch.

#7
+1
Rod MacPherson
2013-06-24 08:24:02 UTC
view on stackexchange narkive permalink

Plan B ist am sichersten, da Sie nie sehen, wie das Passwort der Person aussieht (fast jeder hat ein Muster, mit dem er Passwörter auswählt). Plan C ist ein guter Rückfall. Selbst wenn er es wieder so ändert, wie es war, haben Sie Ihre Sorgfalt darauf verwendet, ihm die Kennwortänderung vorzuschlagen und ihm zu helfen, und Sie können zu Recht sagen, dass Sie das Kennwort nicht kennen, wenn später etwas passiert. (Sie wissen es nicht, es sei denn, er sagt Ihnen, dass er es auf das zurückgesetzt hat, was es war)

#8
-2
Ikhwanul Fikri
2013-07-09 03:58:26 UTC
view on stackexchange narkive permalink

Ich denke, alle Pläne machen dem Kunden keinen Spaß. Aber notwendigerweise sollte Plan B durchgeführt werden.

Dies ist eine Verschwendung von Zeit und Geld. Sie müssen Ihren Kunden jedoch zuerst anweisen, alle wichtigen Daten auszublenden, bevor Sie den Computer zufällig auswählen. Ich denke, der Browser hat ein Passwort, das wichtiger ist.

-1. Was bedeutet "Computer randomisieren"? Was bedeutet "der Browser in einem Passwort, das wichtiger ist"? Bitte [bearbeiten] Sie Ihre Antwort und machen Sie sie klarer. Wenn Sie Ihre Antwort mit Google Translate ins Englische übersetzt haben: Verwenden Sie Google Translate nicht.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...