Question:
Comment puis-je me protéger des fausses accusations lorsque notre entreprise pratique le séquestre de mots de passe?
malloc
2016-01-31 23:28:07 UTC
view on stackexchange narkive permalink

Lors d'un stage dans une petite entreprise, mon patron m'a créé un compte, j'ai donc généré un mot de passe et je l'ai utilisé. Le lendemain, mon patron m'a dit d'écrire le mot de passe de mon compte sur un morceau de papier, de le mettre dans une lettre et de signer l'enveloppe. Puis il a pris la lettre et m'a dit que s'il a besoin d'accéder à mon compte et que je suis injoignable, il est autorisé à ouvrir l'enveloppe et à lire le mot de passe pour l'utiliser.

Il m'a aussi dit qu'il s'agit d'une pratique courante dans toutes les entreprises . Maintenant, je ne sais pas si toutes les entreprises font cela (je ne pense pas) mais, pour moi, ce n'est pas légal.

Disons que mon patron est une mauvaise personne ( il n'est pas ) et il veut m'encadrer pour quelque chose qu'il a fait. Il n'a qu'à ouvrir la lettre et lire mon mot de passe (disons que je suis injoignable) et faire son activité néfaste avec mon compte.

Maintenant, disons que je ne peux pas prouver mon innocence . Comment puis-je éviter tout cela? J'ai pensé écrire un mauvais mot de passe, mais s'il a vraiment besoin de mon compte et que je suis inaccessible, je le mettrai dans une mauvaise situation.

Alors, existe-t-il un moyen de me protéger (sans refuser d'écrire le mot de passe)?

Peut-être que cette question appartient à law.SE ou au lieu de travail.SE?
http://www.nostalgicimpressions.com/Wax_Seals_Stamps_s/2.htm
Pour info, ce n'est ** pas ** pratique courante
`... pratique courante ...` Huh ?? BTW, au moins signe à travers / le long du sceau. Mais sérieusement ... Hein ??
Je dirais certainement obtenir un reçu ou quelque chose pour l'enveloppe ... mais il est peut-être trop tard maintenant car il serait peut-être trop gênant de lui demander sans lui dire implicitement que vous ne lui faites pas confiance. Une autre possibilité est d'envoyer à quelqu'un (si vous n'avez personne, vous-même) un e-mail ou quelque chose avec la date / heure précise à laquelle vous lui avez donné l'enveloppe et les détails de ce que vous avez fait ... au moins plus tard s'il s'agit de ayant à prouver votre cas, vous pouvez faire une (petite) affaire que vous ne faites pas l'histoire de l'enveloppe sur place.
En outre, il y a la question de savoir pourquoi votre patron devrait-il avoir besoin d'accéder à votre compte en premier lieu. Cela équivaut à dire qu'il doit pouvoir se faire passer pour vous, ce qui n'a aucun sens. S'il a besoin de lire vos fichiers, il peut utiliser un compte administrateur pour les lire; il n'a pas besoin de se faire passer pour vous pour ce faire, à moins que les fichiers ne soient cryptés avec votre mot de passe, ce que je ne soupçonne pas (ce serait un peu inutile étant donné le contexte).
Pourquoi se donner tout ce mal? Il peut demander à l'administrateur de le laisser entrer à tout moment.
Que cela soit souhaitable ou non, ce n'est certainement pas illégal.
@Casey ce n'est pas nécessairement vrai - l'entrée dans un système informatique sous de faux prétextes peut être un crime lourd dans un certain nombre de juridictions, y compris aux États-Unis.
@corsiKa Il est peut-être illégal d'abuser du mot de passe. Exiger que vous le leur donniez n'est pas.
Parlez-en à votre CTO ou à un responsable de la sécurité / informatique compétent de votre organisation pour vous assurer qu'il s'agit de la politique de l'entreprise. Il est possible / plausible que votre patron fasse cela parce qu'un autre directeur lui a dit que c'était une bonne idée. J'ai travaillé dans des endroits où le fait de donner votre mot de passe à quelqu'un d'autre était une infraction très grave, et pourtant des gens gérant des bureaux entiers pratiquaient le partage de mot de passe avec leurs subordonnés.
J'ai travaillé sur des systèmes où exactement un administrateur était autorisé (techniquement, il y avait une alternative: pas de traitement électronique des données). Nous avons suivi exactement ce processus. La personne détenant les mots de passe sous séquestre (dans un coffre-fort, dans un coffre-fort) était la seule personne dans l'établissement avec une autorité de sécurité maximale. L'alternative, bien sûr, était d'avoir un seul accident de bus rendant toutes ces machines inutilisables. Compte tenu des exigences fréquentes en matière d'audit du système, cela nous aurait rapidement remis à l'alternative: pas de traitement. Ce n'est pas * si * rare, surtout dans les petits magasins.
Votre patron est propriétaire du système sur lequel vous avez votre compte. Il peut en faire tout ce qu'il veut. Comme cela a été mentionné, votre enveloppe devrait être complètement inutile, car l'administrateur système pourrait avoir accès à chaque fois que nécessaire à votre compte.
Mettez une faute de frappe dans le mot de passe sur la lettre dans l'enveloppe scellée. S'il n'en fait pas un mauvais usage, il le remarquera assez tard. Et puis excusez-vous. :) s'il en a réellement besoin, l'administrateur devra le changer et cela laisse une piste d'audit.
L'enveloppe est presque une perte de temps totale puisqu'il existe des méthodes pour [ouvrir et refermer] (http://www.wikihow.com/Open-a-Sealed-Envelope) une enveloppe. (Pas toujours possible bien sûr, mais dans quelle mesure vous fiez-vous à l'un d'eux étant inviolable?)
feuille de papier vierge dans l'enveloppe
Devoir signer une nouvelle enveloppe tous les 45 à 60 jours sonne comme une douleur royale
Je doute que cela existe même. OP a inventé l'histoire.
C'est votre entreprise. Ils ont de toute façon accès à votre compte. Enveloppe ou non: les utilisateurs avec plus de privilèges (votre administrateur système) peuvent toujours accéder à votre compte
Pourquoi votre patron ferait-il quelque chose de mal avec votre compte? Il nuirait à votre entreprise et s'il avait de la rancune contre vous, il pourrait vous renvoyer même sans altérer le compte
Quatorze réponses:
#1
+122
Philipp
2016-02-01 00:20:34 UTC
view on stackexchange narkive permalink

C'est à cela que sert (ou devrait être) l'enveloppe: pour utiliser votre mot de passe, il faut casser le sceau de l'enveloppe que vous avez signée. Lorsque vous pensez que votre mot de passe a été abusé, vous pouvez demander à voir l'enveloppe avec votre signature et vérifier si elle n'est toujours pas ouverte.

Tout ce que vous avez à faire est que devrait votre direction jamais exiger votre mot de passe, changer le mot de passe et remettre une nouvelle enveloppe. Vous voudrez peut-être changer votre mot de passe à intervalles réguliers de toute façon: c'est une bonne pratique courante.

Au fait: dans les entreprises avec une bonne gestion informatique, cette méthode est inutile, car les administrateurs système peuvent recevoir toutes les informations nécessaires de l'utilisateur comptes sans avoir à connaître les mots de passe de l'utilisateur. Si un administrateur a vraiment besoin de se connecter à un compte utilisateur, il réinitialisera le mot de passe (ce qui créerait une piste d'audit vérifiable). Et il y a généralement plus d'un administrateur système, donc les comptes administrateurs ne nécessitent pas non plus cette méthode.

Le dernier paragraphe n'est pas correct à 100%, cf http://superuser.com/questions/767239/encrypted-files-after-resetting-windows-password
@HagenvonEitzen: Dans quelle mesure estimez-vous qu'ils ne sauvegardent pas les données, et n'ont pas le domaine comme opérateur de sauvegarde et donc propriétaire d'une deuxième clé?
Eh bien, ils auront peut-être encore besoin de clés pour les comptes non gérés par l'entreprise ni par leur solution d'authentification unique - le cas échéant - pour être séquestrés de cette façon ...
"ils réinitialiseraient le mot de passe" ... ou utiliseraient simplement quelque chose comme `sudo` & co.
Une chose que j'ajouterais est que l'entreprise doit connaître (et idéalement surveiller) ce processus de mot de passe séquestre. Si le patron peut simplement répondre par "Que voulez-vous dire par enveloppe signée? Nous ne le faisons pas ici." Ou "je lui ai demandé son mot de passe mais il n'a jamais fourni l'enveloppe" alors les autres préparatifs n'offrent pas beaucoup de protection contre une utilisation abusive de votre compte par le patron.
Je changerais _C'est une ** meilleure ** pratique_ commune à _C'est une pratique courante_. Alors que de nombreuses organisations encouragent fréquemment le changement de mot de passe, je n'ai jamais vu d'argument convaincant pour le faire et de nombreux arguments contre.
@PwdRsch: Alors, demandez au patron de vous donner un reçu pour l'enveloppe du mot de passe.
@HagenvonEitzen EFS a le concept d'agents de récupération (c'est-à-dire les clés de dépôt), donc l'accès aux fichiers sans avoir le mot de passe d'origine est couvert si vous avez prévu ce cas.
@CJDennis Le seul argument pour le changement fréquent de mot de passe que j'ai vu est le suivant: supposons que les hachages de mot de passe ont été volés et qu'ils n'ont pas été détectés. Quelqu'un exécute une force brute pour obtenir le mot de passe, mais cela devrait prendre un temps x (compte tenu des exigences de complexité du mot de passe et de l'estimation de la puissance de traitement attendue de l'attaquant au moment du calcul). Vous devez donc changer le mot de passe avec des intervalles ne dépassant pas x, donc lorsque l'attaquant a terminé et essaie d'utiliser le mot de passe, il a déjà été modifié. Edit: oui, vous devriez utiliser un sel fort, et la loi de Moore de toute façon.
@Theraot: un autre argument pour les changements fréquents de mot de passe est que l'attaquant parvient à obtenir le texte en clair du mot de passe (par exemple, keylogger, épaule surfing) mais ne l'a pas réellement utilisé pendant un certain temps pour masquer l'incident où il a réussi à obtenir le mot de passe. Des changements fréquents limitent la fenêtre de telles attaques au seul moment vulnérable.
Les raisons des politiques de changement de mot de passe sont hors sujet pour cette question.
@Philipp: Quels fournisseurs de messagerie ne [permettent pas aux utilisateurs d'empêcher les preuves des e-mails reçus d'être visibles sur leur compte] avant qu'un laps de temps suffisant ne se soit écoulé? (Sinon, comment une "bonne gestion informatique" rendrait-elle inutile la procédure décrite dans le PO "pour les comptes non gérés par l'entreprise ou par leur solution d'authentification unique - le cas échéant"?)
+100 si possible pour `Au fait: Dans les entreprises avec une bonne gestion informatique ...`
-1 pour laisser entendre qu'il est difficile d'extraire des informations d'une enveloppe scellée. Vous pouvez utiliser une lampe de poche, déchirer l'enveloppe et la mettre dans une nouvelle enveloppe, ou éventuellement utiliser une fine aiguille pour retirer le mot de passe du coin de l'enveloppe, ou vous pouvez éventuellement prétendre que l'enveloppe a été perdue. Vous n'avez pas vraiment proposé de conseils juridiques pour savoir si tout cela est viable.
* "Pour utiliser votre mot de passe, il faut briser le sceau de l'enveloppe que vous avez signée." * - c'est-à-dire simplement faux. Si l'enveloppe n'a pas d'impression obscurcissante à l'intérieur, une forte lumière, certains liquides organiques ou des techniques similaires peuvent être utilisés. Si c'est le cas, la colle peut être dissoute sans vraiment endommager le papier, et l'enveloppe peut être recollée. Des dizaines de façons, j'en suis sûr, même si je n'en connais que quatre ou cinq.
L'ouverture des enveloppes (scellées ou non) est assez facile. Cela ne vaut pas la peine parfois
#2
+26
Nick Gammon
2016-02-01 12:11:55 UTC
view on stackexchange narkive permalink

Je ne pense pas que vous soyez dans une situation particulièrement pire que de ne pas divulguer votre mot de passe. Votre patron pourrait:

  • Demander à l'administrateur système de faire une copie de votre mot de passe actuel (haché)
  • Changer pour quelque chose de nouveau
  • Faire quelque chose mal dans votre nom
  • Remettez l'ancien mot de passe (remplacez le hachage par ce qu'il était)

Ce que fait vous protège, c'est que là sont vraisemblablement des pistes de vérification des choses qui sont faites. Par exemple, suivre les e-mails par adresses IP.

Si quoi que ce soit, vous êtes dans une meilleure situation qu'avant. Maintenant, vous pouvez raisonnablement argumenter, si quelque chose de mal est fait en votre nom: "Mais mon patron a insisté pour avoir mon mot de passe, peut-être qu'il l'a fait".

Si les pistes d'audit peuvent être utilisées pour prouver l'innocence de votre patron dans ce genre de situation, il peut également être utilisé pour prouver la vôtre. Et s'il n'y a pas de piste d'audit, il y aura un doute quant à savoir qui l'a vraiment fait - quel que soit «cela».

#3
+13
Keeta - reinstate Monica
2016-02-01 19:57:41 UTC
view on stackexchange narkive permalink

Changez votre mot de passe immédiatement après lui avoir remis l'enveloppe.

Vous avez rempli son obligation de lui remettre une enveloppe avec votre mot de passe et vous avez satisfait à la nécessité de la garder en sécurité. Dans le cas peu probable où il essaierait d'utiliser le mot de passe de l'enveloppe, vous pouvez expliquer que vous aviez besoin de le changer et qu'il n'avait pas encore reçu la nouvelle enveloppe.

En aucun cas, je ne ferais confiance à quelqu'un avec un mot de passe de le mien, même dans une enveloppe scellée. Une enveloppe est trop facile à enfreindre, même sans casser le sceau. Même en utilisant des «enveloppes de sécurité», placer une lumière vive (super lampe de poche, projecteur de bureau, phare de voiture) à l'arrière de celle-ci permettra de voir le contenu à travers. Étant donné que les informations à obtenir sont probablement un gros mot imprimé, elles ne sont pas sécurisées. Je n'ai jamais travaillé pour une entreprise qui m'a demandé de leur donner un mot de passe dans une enveloppe.

C'est un abus de confiance. Bien que l'entreprise de l'OP ne semble pas disposer d'une infrastructure informatique correctement gérée, cela ne signifie pas que vous devriez faire tout votre possible pour foutre en l'air votre employeur qui attend ces informations. En outre, vous devez toujours supposer que votre employeur a accès à tout ce que vous faites en ligne. N'utilisez pas le même mot de passe au travail que celui que vous utilisez ailleurs ... problème résolu.
En pratique, je ne suis pas sûr que tout cela compte. Il s'agit d'un mot de passe pour un compte utilisateur appartenant à l'entreprise sur un équipement appartenant à l'entreprise. Comme d'autres l'ont dit, je ne suis pas sûr de ce que le fait d'avoir un mot de passe pour un tel compte donne à l'entreprise qu'elle ne possède pas déjà.
@MarkBuffalo Ma confiance en lui a déjà été violée lorsqu'il a fait la fausse déclaration «c'est une pratique courante dans toutes les entreprises».
@Keeta Bon point. Je n'ai * jamais * vu cela utilisé auparavant. L'employeur pourrait facilement hardware keylog son employé et même pas lui demander l'enveloppe. Cependant, son employeur a le droit de lui demander de telles choses.
il n'est pas rare de voir un partage de mot de passe pour des fournisseurs tiers sans contrôles d'accès de type entreprise. C'est exactement à cela que servent des produits comme Lastpass for Enterprise.
@MarkBuffalo: Peut-être, peut-être pas. Le contrat de travail et / ou le manuel de l'employé peuvent bien contenir quelque chose sur le fait de ne pas partager les mots de passe avec qui que ce soit. Celui de mon dernier travail l'a fait et n'a pas fait d'exceptions pour les demandes de la direction.
ce que vous suggérez s'appelle «sociopathie» - le patron veut clairement accéder à son mot de passe à tout moment - il aura des raisons à cela et changer le pass après lui avoir remis l'ancien garantira deux choses en même temps (si le patron le découvre): 1) le stage se terminera, aucun emploi ne sera proposé. Déjà. 2) il ne sera pas grogné.
"abus de confiance" LOL. On pourrait aussi soutenir que l'employeur qui demande le mot de passe sous de faux prétextes constitue en soi un abus de confiance. De plus, si «vous devez toujours supposer que votre employeur a accès à tout ce que vous faites en ligne», l'employeur ne devrait pas avoir besoin de demander le mot de passe.
si l'entreprise n'a pas 1) de règles écrites explicites contre la modification de votre mot de passe "lorsque vous pensez que cela pourrait être nécessaire", et 2) des règles écrites explicites indiquant quelque chose comme "chaque fois que vous changez votre mot de passe, vous devrez donner le mot de passe à votre manager "alors il ne devrait y avoir aucun problème juridique pour changer le mot de passe.
À mon humble avis, la seule approche raisonnable et honnête à 100% est de démissionner de l'entreprise, plutôt que de jouer des tours à l'employeur.
#4
+13
Booga Roo
2016-02-02 01:10:52 UTC
view on stackexchange narkive permalink

Le dépôt de mot de passe tel que décrit dans votre situation est très inhabituel et chargé de risques. La configuration que vous décrivez repose sur le fait de faire confiance à votre patron non seulement pour être honnête avec ses intentions et ses motivations, mais aussi pour supposer que votre patron stocke ces mots de passe de manière sécurisée. Les enveloppes sont-elles conservées dans un coffre-fort? Un classeur verrouillé? Son tiroir de bureau? Un dossier sur son bureau?

La situation idéale:

Escrow: Un système où un tiers désintéressé détient de l'argent / des informations / des biens en fiducie à la condition que certaines exigences sont réunies avant de transférer lesdits avoirs aux parties destinataires.

Dans votre scénario, la personne détenant le mot de passe n'est pas un tiers désintéressé. C'est loin d'être parfait, mais la direction leur fait confiance pour leur honnêteté et leur sécurité dans le traitement des mots de passe.

Les alternatives dans d'autres réponses sont de bonnes suggestions. Une alternative supplémentaire au scénario actuel serait de diviser le mot de passe en plusieurs parties. Par exemple, la moitié du mot de passe donné à votre responsable et l'autre moitié au responsable de votre responsable (ou des ressources humaines, ou du chef de service, ou du PDG, selon ce qui a le plus de sens). Comment diviser le mot de passe et combien de personnes ont accès à quelles parties du mot de passe varient en fonction de la structure de gestion de l'entreprise.

Tout comme ils essaient d'atténuer les risques en ayant le séquestre du mot de passe en premier lieu , ils doivent éviter d'avoir un point de défaillance unique dans le processus. Éviter les conflits d'intérêts et exiger l'implication de plusieurs parties contribuerait grandement à rendre le séquestre des mots de passe plus sûr. Ce n'est toujours pas une bonne pratique de gestion, mais cela ne doit pas être aussi dangereux et risqué que de simplement remettre le mot de passe au patron dans une enveloppe simple. Même quelque chose d'aussi simple et bon marché que l'ajout de ruban de sécurité inviolable améliorerait le scénario actuel.

#5
+8
Mark Buffalo
2016-02-01 20:17:51 UTC
view on stackexchange narkive permalink

Philipp a raison ici. Permettez-moi de répéter ce qu'il a dit:

Pour utiliser votre mot de passe, il faut briser le sceau de l'enveloppe que vous avez signée. Lorsque vous pensez que votre mot de passe a été abusé, vous pouvez demander à voir l'enveloppe avec votre signature et vérifier si elle n'est toujours pas ouverte.

Pour ajouter à ce qu'il dit, votre entreprise semble avoir pratiques de gestion informatique incorrectes. Ce que vous devez faire à ce stade, c'est vous assurer que votre mot de passe n'est pas le même que celui que vous utilisez ailleurs.

Supposez toujours que votre employeur a accès à tout ce que vous faites en ligne. Même s'ils ne le font pas. Ne vous connectez pas à vos comptes de réseaux sociaux au travail. Ne vous connectez pas à vos comptes bancaires. Utilisez votre ordinateur de travail pour les tâches liées au travail. Si vous avez un téléphone portable, c'est encore plus facile.

Votre employeur doit pouvoir faire ce qu'il veut, dans les limites de la loi, sur votre ordinateur de travail. Vous ne devriez avoir aucune attente en matière de confidentialité.

Le signer n'est pas infaillible. Et si le boss l'ouvre à la vapeur puis le referme? Et s'il prenait une photo haute résolution de la signature et s'entraînait à la forger lui-même des centaines de fois jusqu'à ce qu'il puisse le faire parfaitement?
@ButtleButkus Alors vous * pourriez * avoir un problème avec la chapellerie de papier d'aluminium. Je n'écarte pas vos préoccupations, mais vous devez prioriser les risques.
ce que je veux dire, c'est que ce système de sécurité n'est pas du tout infaillible. Si le PO a vraiment peur d'être accusé de malversation, le tour de l'enveloppe scellée ne devrait certainement pas apaiser ses craintes.
* Rien * n'est infaillible. ;-) Vous ne pouvez gérer que les risques.
Certes, mais utiliser les méthodes de sécurité par obscurité du XIXe siècle en 2016 est assez amusant.
C'est vraiment amusant. Cependant, quelle est la possibilité que son patron «perfectionne» son écriture et la forge? C'est très bas et de nombreux signes révélateurs donnent tout. : b
#6
+4
Trust None
2016-02-02 10:33:59 UTC
view on stackexchange narkive permalink

Cela devrait être complètement inutile dans un système correctement configuré, en supposant que vous vous connectez à un domaine d'entreprise. Dans un système correctement configuré, en vous connectant à un domaine d'entreprise, toutes les données que vous modifiez, créez ou auxquelles vous avez accès sur le réseau ou sur votre système local, seront stockées dans un emplacement accessible par d'autres qui ont chacun leurs propres identifiants de connexion. disposer des autorisations nécessaires pour accéder à ces données. En utilisant leurs propres informations de connexion, ils ont non seulement accès aux données du réseau, mais également aux données locales et les journaux d'audit montreront qui a fait quoi et quand. ÊTRE OBLIGATOIRE de donner votre nom d'utilisateur et votre mot de passe à TOUT LE MONDE n'est pas seulement une mauvaise pratique, mais est très irrégulier, risqué et / ou indique une administration système / réseau incompétente.

Si j'étais à votre place, j'interrogerais ses supérieurs sur cette politique, changerais mon mot de passe et refuserais. Si votre emploi est menacé, alors je dirais leur bluff et je me préparerais à intenter une action pour licenciement abusif si vous êtes renvoyé. Personnellement, je ne donnerais jamais cette information et je ne ferais pas confiance à une enveloppe scellée comme mesure de sécurité pour garder les gens honnêtes (les enveloppes scellées peuvent être ouvertes et refermées, si vous savez comment ou une nouvelle enveloppe scellée avec une signature falsifiée.) Même le apparemment le plus gentil des patrons pourrait simplement jouer un rôle jusqu'à ce qu'ils se retournent contre vous et vous encadrent pour quelque chose. J'ai été témoin de quelque chose de similaire, sauf qu'au lieu d'une enveloppe scellée contenant un mot de passe, c'était un disque contenant une copie de sauvegarde des clés de chiffrement. Les retombées n'étaient pas belles et le responsable a été renvoyé après le vol des disques et des données. Sans surprise, le manager licencié n'a jamais eu d'autre emploi, n'a jamais eu de problèmes d'argent et un concurrent est arrivé en premier sur le marché avec le projet même sur lequel nous travaillions. Avant le vol, notre concurrent n'avait même pas de produit similaire. Soyez prudent et pensez à mes conseils. Cela me semble très suspect et si souvent en ces temps, les personnes les plus amicales / les plus gentilles se révèlent être les serpents les plus venimeux.

#7
+3
Matthias Š
2016-02-02 16:43:25 UTC
view on stackexchange narkive permalink

Ceci est malheureusement courant dans les petites entreprises utilisant des services cloud, sans avoir de relation commerciale avec le fournisseur de cloud.

Marquez l'enveloppe pour la rendre un peu plus inviolable, c'est tout. Une ancienne société à moi utilise toujours mon adresse e-mail personnelle dans son domaine, elle n'a jamais réussi à changer l'enregistrement de son domaine après mon départ.

Changez fréquemment le mot de passe et remettez de nouvelles enveloppes à chaque fois. Ils auraient également besoin de produire toutes les anciennes enveloppes, afin de pouvoir prouver qu'ils n'en ont pas ouvert. Étant donné que la plupart des services en ligne ne fournissent pas de piste d'audit. Ainsi, vous pouvez toujours vous tenir debout innocent.

#8
+3
tne
2016-02-03 16:44:31 UTC
view on stackexchange narkive permalink

Appelons cela ce que c'est: une solution de contournement faute de contrôle d'accès adéquat. La vraie solution est de corriger / améliorer le contrôle d'accès.

Plus précisément, ici: Pourquoi votre patron ne peut-il pas accéder aux choses auxquelles vous pouvez accéder avec son propre compte?

Le seul but de les informations d'identification consistent à authentifier une identité. Si nous brisons cela, ils deviennent inutiles. Vous pouvez aussi bien supprimer le concept de "compte" et utiliser des secrets partagés pour tout.

Donc, au lieu de refuser catégoriquement, essayez de le convaincre de s'attaquer au problème racine (qui est probablement malentendu) pourrait valoir la peine. Si elle est bien argumentée, cela ne devrait pas créer de friction: le résultat ultime est un système plus sûr pour tout le monde.

#9
+2
gilhad
2016-02-03 22:26:11 UTC
view on stackexchange narkive permalink

Je ne l'ai jamais eu dans aucune entreprise dans laquelle je me trouvais.

Dans ce cas, je mettrais dans l'enveloppe un message disant "En cas d'urgence, appelez-moi sur le mobile numéro de portable ".

En cas d'urgence, je peux épeler le mot de passe par téléphone et être informé qu'il a été utilisé - et mon patron peut faire tout ce qui est nécessaire. C'est donc tout ce dont il a besoin.

Si l'enveloppe est mal utilisée / volée / scannée / cassée, personne ne me fera passer pour.

Et si l'urgence était la mort? Comment répondez-vous à l'appel alors?
Ensuite, le mot de passe se trouverait dans une enveloppe avec le nom de mon patron / entreprise dans la boîte avec d'autres documents comme certificat de mariage, prêt-maison et autres (comme je ne veux pas l'oublier, je dois le faire écrire quelque part ). (généralement, toutes les factures de gaz, d'électricité, etc. sont dans une autre boîte) - la mort est un cas si spécial, qu'il n'est pas difficile de demander à ma femme d'ouvrir l'enveloppe
#10
+1
james turner
2016-02-04 03:08:17 UTC
view on stackexchange narkive permalink

L'existence même de l'enveloppe vous protège de toute action néfaste de votre chef. En général, vous n'avez pas besoin de prouver votre innocence. Quelqu'un d'autre doit prouver votre culpabilité. Et ce sera assez difficile s'il est bien connu que quelqu'un d'autre a accès au compte incriminant. Si cela vous inquiète vraiment, signez simplement l'enveloppe bancale. Ensuite, si votre patron parvient à lire le mot de passe à travers l'enveloppe pour faire quelque chose de néfaste, vous pouvez réfuter la validité de l'enveloppe elle-même.

Notes complémentaires:

  1. Ceci Ce n'est pas une pratique courante dans une grande entreprise, mais je peux voir comment cela aurait du sens pour quelqu'un qui essaie de diriger une petite entreprise. En fait, j'ai entendu parler de plusieurs petites entreprises qui ont rencontré des problèmes lorsqu'une ressource clé est partie sans divulguer les mots de passe à divers logiciels.
  2. Si vous voulez commettre un crime en utilisant votre compte, assurez-vous que d'autres personnes ont d'abord accès à votre mot de passe.
#11
+1
Alexey Vesnin
2016-02-04 05:05:35 UTC
view on stackexchange narkive permalink

C'est un gros mensonge - personne n'a besoin de votre pass pour accéder à votre compte, il existe des comptes administratifs juste pour répondre à cet objectif. Encore plus - ce n'est pas une pratique courante, sauf pour les tricheurs qui souhaitent vous blâmer et réduire / supprimer votre masse salariale . Ni votre pass, ni votre (vos) certificat (s) ne sont nécessaires pour qu'un administrateur puisse consulter l'intégralité de votre compte.

#12
  0
Buttle Butkus
2016-02-02 15:44:52 UTC
view on stackexchange narkive permalink

Si vous craignez que votre patron ouvre l'enveloppe, utilise votre mot de passe pour des actes de malveillance, puis referme votre mot de passe dans une nouvelle enveloppe et falsifie votre signature, éclaboussez simplement un peu de peinture, à la Jackson Pollock, sur l'enveloppe après avoir signé à travers la zone collée, puis prenez quelques photos à très haute résolution de l'enveloppe pour identifier facilement toute tentative de contrefaçon Pollock. Assurez-vous simplement de protéger également le mot de passe de tout rayonnement visible, infrarouge, rayons X, gamma ou de toute autre forme de rayonnement qui pourrait permettre à votre patron de lire votre mot de passe sans ouvrir l'enveloppe, en enfermant votre mot de passe dans un fil épais. cas avant de le mettre dans l'enveloppe.

Bien sûr, vous devrez aussi vous inquiéter que la caméra vous enregistre lorsque vous avez écrit le mot de passe en premier lieu. Dans ce cas, assurez-vous que vous avez fait tout cela à la maison et qu'il n'a jamais eu accès à votre maison.

Je pense que cela couvre tout.

EDIT:

Sauf bien sûr si votre patron déchire l'enveloppe, exécute les actes néfastes, puis déclenche un grave incendie de grille-pain dans la salle à manger voisine le même jour que les caméras de sécurité sont en cours de réparation et sont hors ligne, de ce fait brûler toutes les enveloppes de mots de passe et se dispenser de tout soupçon. Je vous suggère donc de vaporiser une mousse ignifuge dans toute la pièce et les pièces voisines. Cela devrait résoudre votre problème.

#13
  0
Night Monkey
2016-02-04 05:10:50 UTC
view on stackexchange narkive permalink

Cela dépend en fait des lois du pays et / ou de l'état dans lequel vous vivez. C'est plus une question de droit du travail qu'une question de cybersécurité.

La raison pour laquelle il s'agit d'une question de droit du travail est que cela dépend de la taille de l'organisation, des données et du système en question, du contrat de travail général et des politiques de l'entreprise.

Les entreprises peuvent inscrire cela dans les contrats de travail et le font. En général, votre manuel de l'employé expliquera quelles données ou quels systèmes d'information leur appartiennent, ou contiendra des clauses dans leur politique générale d'entreprise qui décrivent quels systèmes d'information leur appartiennent. S'ils sont propriétaires du système en question en fonction de l'utilisation du système, ils ont non seulement le droit à votre mot de passe, mais ils sont légalement autorisés à faire ce qu'ils veulent avec votre mot de passe, les données impliquées dans le système et tout ce qui se trouve dans entre tous conformément aux lois fédérales, étatiques et locales de votre juridiction.

C'est pourquoi les entreprises peuvent imposer l'utilisation de procurations afin d'enregistrer des informations. Cependant, si le système en question n'appartient pas à leur organisation et que vous utilisez leur réseau, il devient alors une zone grise en raison des lois sur la confidentialité.

Le seul moyen d'éviter cela est le suivant :

1) En bref, en tant qu'employé, vous ne pouvez pas empêcher cela, s'ils possèdent les informations / données et le système auquel vous avez accès.

2) Lisez votre manuel de l'employé, votre contrat de travail, et demandez spécifiquement quelles informations et données sont spécifiquement détenues par l'entreprise. Cela comprend tout, de vos idées, votre contrat de cession d'invention et toute information personnelle que vous considérez comme privée.

3) Séparer l'usage personnel de l'usage professionnel. Si l'entreprise vous fournit un ordinateur portable ou un système d'information que vous pouvez utiliser, ne l'utilisez pas à des fins personnelles. C'est la zone qui devient grise. Par exemple, si vous publiez des secrets d'entreprise sur Facebook, que ce soit sur votre ordinateur personnel ou le leur, ils peuvent toujours posséder les données.

La sécurité de l'information ne se limite pas à des sujets liés à l'ordinateur. Je pense que la question répond aux quatre puces répertoriées dans le centre d'aide de la section [Quel arrière-plan dois-je donner dans ma question?] (Http://security.stackexchange.com/help/on-topic) de ce qui est sur le sujet.
#14
-1
Petah
2016-02-04 06:55:39 UTC
view on stackexchange narkive permalink

Je dirais que c'est typique et utilisé assez couramment dans l'industrie. Mais pas exactement de la même manière.

De nombreuses entreprises utilisent des gestionnaires de mots de passe où elles peuvent accéder aux mots de passe des employés, et les mots de passe peuvent être partagés entre les employés. Il s'agit principalement de se connecter à des services tiers qui ne prennent pas en charge les comptes d'utilisateurs individuels.

Cela ne concerne que les connexions liées à l'entreprise. Aucune connexion personnelle ne devrait avoir cela.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...