Question:
Je suis consultant informatique. Dois-je décourager un client de me dire son mot de passe?
unforgettableidSupportsMonica
2013-06-07 11:29:05 UTC
view on stackexchange narkive permalink

Je suis consultant en informatique. Un client me connaît depuis quelques années. Il veut que je travaille à nouveau sur l'ordinateur portable de ses enfants. Je devrai me connecter au compte utilisateur Windows de ses enfants. (Je suppose que plusieurs enfants partagent un même compte.)

Cette fois, il veut déposer la machine avec moi. Il voudra me dire le mot de passe des enfants ( "plan A" ): il me fait confiance. Mais je ne veux pas qu'il prenne l'habitude de pratiques non sécurisées comme le partage de mots de passe avec des consultants informatiques.

Je pourrais proposer et pousser un "plan B" :

  • Il change le mot de passe des enfants en un nouveau mot de passe temporaire.
  • Je me connecte, fais le travail, puis force un changement de mot de passe à la prochaine connexion.

Ou je pourrais le pousser à me créer un compte pour que je puisse suivre un "plan C" :

  • Je réinitialise le mot de passe des enfants.
  • Je me connecte, je fais le travail, puis je force un changement de mot de passe à la prochaine connexion.

Pourtant, je veux le garder heureux, et je ne veux pas lui de perdre du temps ou de l'argent. Je ne veux pas le pousser vers le plan B ou le plan C à moins que cela ne soit absolument nécessaire. Je me demande:

  1. Est-ce vraiment si mauvais pour lui de simplement me dire le mot de passe des enfants? Si c'est mauvais, veuillez expliquer pourquoi, et veuillez citer une source si vous le pouvez.

  2. (facultatif :) Je dis toujours aux clients un taux horaire. Mais dernièrement, j'ai facturé à la minute. Si nous choisissons le plan C, est-ce éthique pour moi de lui facturer les minutes supplémentaires que cela me prendra?

Un peu lié: ["Est-il possible de dire ou de donner votre mot de passe à un administrateur?"] (Http://security.stackexchange.com/questions/5539/is-it-ok-to-tell-or-give-your -password-to-an-admin)
Après 5 ans de ma copine voulant que j'utilise ses comptes, j'ai finalement abandonné et essayé de la forcer à changer le mot de passe à chaque fois par la suite. Vous pouvez résister pendant si longtemps ... Après un certain temps, cela devient un peu trop gênant, et si les gens ne veulent pas changer leurs habitudes ... Bien que je suppose que dans votre cas, il y a une responsabilité et un procès plus importants -problème de surface ...
De plus, vos plans B et C ne sont pas si différents du plan A. Vous auriez pu faire beaucoup de mauvaises choses pendant que vous avez accès au plan B, et vous auriez besoin de suffisamment de droits pour faire ce que vous voulez sur le compte de l'enfant avec Plan C de toute façon. Faites simplement ce qui facilite la vie du gars, si vous ne craignez pas les problèmes juridiques. Mais ne faites pas cela pour un ordinateur portable d'entreprise.
J'irais simplement avec le plan C - obtenez le mot de passe du compte Admin, dites-lui que vous deviez réinitialiser tous les mots de passe pour faire la maintenance et réinitialiser les mots de passe sur des chaînes de 32 caractères aléatoires. Ensuite, lorsque vous rendez l'ordinateur portable, dites-lui comment réinitialiser les mots de passe à quelque chose de plus mémorable, ainsi que des instructions sur la façon de choisir des mots de passe plus sécurisés. À moins que vous ne facturiez par incréments de 5 minutes, je ne peux pas imaginer que ce serait du temps facturable.
Si vous avez un accès physique à sa machine, le mot de passe Windows n'est pas si pertinent. C'est une question triviale d'utiliser Cain & Abel ou même quelque chose comme un live CD Linux pour contourner la connexion et accéder à tous les fichiers de chaque compte.
Ruda.almeida, pouvez-vous s'il vous plaît me dire comment vous utiliseriez Cain et Able pour ce type de récupération de mot de passe? Je n'essaie pas de dire que vous ne pouvez pas récupérer un mot de passe pour une machine à laquelle vous avez un accès physique. Il existe de nombreux outils pour cela, je ne vois pas en quoi Cain et Able sont le bon outil pour ce travail particulier. Rappelez-vous que cela fait de nombreuses années que j'ai utilisé C&A pour la dernière fois, mais la dernière fois que j'ai regardé, c'était un outil de réseau, l'homme du milieu.
Je suis devenu très doué pour oublier les mots de passe.
Huit réponses:
Adi
2013-06-07 11:48:34 UTC
view on stackexchange narkive permalink

Le problème n'est pas cette situation en particulier. Voyons la situation ici:

  • Vous êtes une personne de confiance pour eux
  • Le mot de passe sécurise très probablement des données triviales

Vous donner le mot de passe n'est pas si grave dans ce cas. Le problème (comme vous l'avez dit dans votre question) est de lui donner l'habitude de donner des mots de passe.

J'irais certainement avec le plan B. Pourquoi?

  • C'est le meilleur compromis entre sécurité et commodité dans ce cas.

  • Cela lui apprendra à ne pas partager le mot de passe, surtout si la leçon vient d'une personne de confiance à lui.

  • Cela vous rendra encore plus professionnel et montrera votre intérêt pour la sécurité de votre client.

  • Vous ne Je ne sais pas, il pourrait faire passer le mot sur cette situation et d'une manière vous contribueriez à une meilleure compréhension de la sécurité (dans ce genre de situation) dans son cercle d'amis / famille.

Quant à votre deuxième question, je ne pense pas être la meilleure personne pour y répondre, mais je dirais non. Si quelque chose vous prend 2-3 minutes et que c'est évidemment trivial par rapport à une autre tâche (réparer ce qui ne va pas avec l'ordinateur), ne facturez pas au client les 3 minutes supplémentaires de travail. Cela ne donne à personne une belle apparence.

Merci pour votre réponse. 1. Que se passe-t-il s'il répond: "Je vous fais confiance et je ne veux pas prendre la peine de changer le mot de passe?" 2. La facture ne contiendra qu'un seul élément de ligne: quelque chose comme "Services informatiques". J'ai l'intention de mesurer les minutes que le travail me prend du début à la fin. Si nous choisissons le plan C, est-ce éthique pour moi d'inclure les minutes supplémentaires que le plan C me prend dans mon calcul de minutes? Ce serait formidable si vous pouviez modifier votre réponse pour refléter cela.
Il faut également noter que si quelque chose ne va pas dans le futur et que ce mot de passe est un mot de passe utilisé par le client pour d'autres choses (comme le courrier électronique), vous pouvez être la première personne à qui il pointe du doigt lorsqu'il appelle la police. Vous pourrez peut-être effacer votre nom facilement, mais cela ne vous évitera pas le mal de tête.
armb
2013-06-07 16:45:36 UTC
view on stackexchange narkive permalink

Je lui suggère le plan B, mais ne le pousse pas s'il ne veut pas s'en soucier.

Vous aurez un accès physique non supervisé à l'ordinateur portable - à moins que vous n'ayez un mot de passe de chiffrement de disque 'pas mentionné, c'est presque certainement suffisant pour que vous fassiez ce que vous voulez sans aucun mot de passe de compte de toute façon, y compris l'installation de portes dérobées pour un accès à distance ultérieur, et la connaissance du mot de passe vous évite un travail inutile.

Donc, s'il a raison pour vous faire confiance, il n'a pas besoin de sécurité supplémentaire, et s'il a tort de vous faire confiance, le changement de mot de passe temporaire (ou un compte supplémentaire) ne lui donne pas vraiment de sécurité supplémentaire.

De l'autre s'il n'a pas encore de compte invité non privilégié, encouragez-le à en créer un, donc si ses enfants laissent leurs amis l'utiliser, ils peuvent l'utiliser. (Et si vous pouvez effectuer le travail nécessaire à partir d'un tel compte, utilisez-le vous-même, mais cela semble moins probable.)

+1 pour avoir indiqué ce que vous pouvez faire avec l'accès physique.
Bien que je vous donne un +1 pour la bonne réponse, je ne suis toujours pas d'accord avec un point. La chose principale ici est d'exposer le mot de passe. Pensez, le compromis d'un serveur; oui, quelqu'un qui obtient un accès root ou physique à votre serveur peut faire ce qu'il veut, mais c'est aussi une bonne chose si vous hachez en toute sécurité les mots de passe sur le serveur. Je _peux_ donner à quelqu'un mon ordinateur portable à réparer, mais je ne veux toujours pas qu'il connaisse mes mots de passe. Soit parce que j'utilise le mot de passe ailleurs, soit parce que mon mot de passe est «BootyB ** chSmack0 ****».
@Adnan "Ils peuvent faire ce qu'ils veulent" inclut l'installation d'un keylogger (logiciel ou matériel) pour lui envoyer le mot de passe une fois que vous le saisissez à nouveau. Vous devez faire confiance à la personne qui répare votre ordinateur portable.
Il y a encore potentiellement une valeur à ne pas connaître le mot de passe. Dans le pire des cas, si de la pornographie juvénile est trouvée sur l'ordinateur portable du client, téléchargée après que vous l'avez rendue, et que la police demande qui d'autre pourrait l'avoir mise là, oui, vous _pourriez_ avoir encore installé un keylogger logiciel et des outils d'accès à distance, connecté à son compte, téléchargé le porno, et nettoyé le keylogger etc. par la suite, mais il est probablement encore mieux de ne pas avoir connu son mot de passe. Le problème de la confiance va donc potentiellement dans les deux sens. C'est un scénario assez improbable cependant.
Nathan Goings
2013-06-08 09:18:37 UTC
view on stackexchange narkive permalink

Lorsque je traite avec des clients de maison ou de petite entreprise , j'opterais pour le "Plan A." Comme l'a dit Adnan, il protège des données triviales. Contourner le mot de passe, ou même le récupérer, est assez simple.

Pour répondre à vos questions:

  1. Je ne vois pas une seule raison pour laquelle il serait mauvais de connaître son mot de passe de connexion des enfants.
  2. Sur le plan éthique, vous ne devez facturer que le protocole standard. C'est ce qui est convenu et payé. Si vous communiquez une norme de gestion des mots de passe, votre client peut soit l'accepter, soit la rejeter et trouver une entreprise ailleurs.

Le plan B prend le plus de temps. Votre client pourrait ne pas être en mesure d'accéder à l'ordinateur pour commencer.

En général, nous avons demandé aux clients «comment puis-je me connecter?», Nous nous sommes connectés à l'administrateur par défaut ou nous avons réinitialisé le mot de passe et nous l'avons fait modifier lors du retour . Si vous ne pouvez pas le faire rapidement, informez votre client.

En tant que consultant informatique, soyez cohérent. Si vous traitez une personne que vous connaissez depuis 2 ou 3 ans différemment d'un tout nouveau client, vous compromettez vos règles.

Lorsque vous traitez avec une entreprise ou client du gouvernement, vous ne devriez jamais connaître leur mot de passe. Vous ne devriez jamais demander, et s'ils essaient ou réussissent à vous dire leur mot de passe, signalez-les immédiatement.

Le projet gouvernemental sur lequel j'ai travaillé, nous avons utilisé Plan C via Active Directory. Un client s'est plaint une fois que je réinitialise son mot de passe (au lieu du plan A). Notre responsable de la cybersécurité a mâché toute la haute direction et a sauvé mon bacon.

En raison de ma situation particulière, je pense que je vais suivre les conseils de armb, ci-dessous: "lui suggérer le plan B, mais ne pas le pousser s'il ne veut pas s'en soucier" (j'ai accepté cette réponse pour trois raisons. 1. Il souligne le fait que les choses devraient fonctionner complètement différemment dans un environnement d'entreprise. 2. Il fournit une bonne réponse à ma question sur la facturation. 3. Comme il était relativement tard, les informations uniques qu'il contient ont été cachées au bas de la page Web.)
@unforgettableid Parce que vous avez accepté ma réponse, je vais développer un peu: ce n'est * pas nécessairement * votre travail d'éduquer vos clients sur la cybersécurité. Mettre en œuvre et suivre des politiques qui sensibilisent à certains problèmes est très bien (car le client peut partir). En termes simples, la facturation pour non-politique est contraire à l'éthique (et un peu prétentieuse).
Yannovitch
2013-06-07 15:29:05 UTC
view on stackexchange narkive permalink

Je soutiens la suggestion de TildalWave.

En fait, je pense que vous devriez plutôt aller chez lui et lui montrer à quel point il est facile de déchiffrer un mot de passe, par exemple avec Cain & Abel (sans lui montrer comment obtenir ce logiciel, ni de quel logiciel il s'agit, il ne sera donc pas tenté de le faire par lui-même plus tard), PUIS vous changez le mot de passe avec lui, et lui donnez quelques conseils sur un mot de passe fort et bonnes habitudes de sécurité.

Je pense que le fait de lui montrer ces choses renforcera votre confiance mutuelle, pas la réduira.

Mais si vous ne pouvez pas venir chez lui, alors oui, permettez-lui simplement de vous dire le mot de passe de ses fils, car il n'aura aucun «effet choquant dont il pourra apprendre» de lui demander de changer de mot de passe temporaire.

À propos du montant que vous pouvez facturer. .. eh bien, on dirait que c'est un ami plus qu'un client, alors chargez-le comme un ami, pas un client.

Merci pour votre réponse. 1. À propos de votre premier point: si un pirate a un accès physique à la machine, il n'a pas besoin de déchiffrer le mot de passe. Il peut simplement utiliser un live CD pour réinitialiser le mot de passe. 2. À propos de votre dernier point: Ceci est un client. Certes, nous sommes amicaux, mais je ne donne pas de rabais aux clients simplement parce que nous sommes devenus amicaux au fil du temps.
TildalWave
2013-06-07 13:33:07 UTC
view on stackexchange narkive permalink

Demandez-vous, serait-il plus difficile pour vous d'abuser de la confiance de cette personne en vous en suivant l'un des plans proposés, et si vous le vouliez vraiment? Je ne pense pas. Chacun des plans que vous proposez est tout aussi facilement exploitable - par quelqu'un d'autre que vous. Pourquoi est-ce que je sais que vous n'abuserez pas de sa confiance? Parce que vous êtes venu ici pour poser des questions sur votre dilemme; Quelque chose que même une personne un peu moins honnête ne considérerait jamais, et une personne complètement malhonnête préférerait chercher un simulacre de déni sur un site Web public qui facilite la preuve de l'identité de cette personne.

Donc, la façon dont je la vois , votre dilemme n'est pas de prouver votre fiabilité, ou d'éviter tout doute sur vos intentions honnêtes en proposant des plans qui pourraient en exiger moins, mais plutôt de ne pas être habitué à des relations d'affaires qui vous font tant confiance également dans la vie privée. Vous avez probablement gagné cette confiance par d'autres moyens auparavant, et cette personne est prête à faire avancer cette amitié. Quelque chose qui, semble-t-il, vous a surpris un peu, j'imagine?

Nous avons donc ces trois plans, ni l'un ni l'autre parfait dans un cadre non fiable, et tous presque identiques dans un paramètre de confiance. Je vous propose donc simplement de suivre un plan qui sera le plus simple pour vous deux. C'est aussi simple que ça.

En ce qui concerne le paiement, voici ce que je fais dans de telles situations: je ne le facture jamais, je ne demande aucune compensation ou je retourne des faveurs. Ce sont surtout des tâches de routine que je peux facilement accomplir de toute façon, et si elles sont plus difficiles (rares), je prends ça comme ça - un défi. Encore mieux. Si cependant, la personne à qui je fais cette faveur insiste pour me rembourser d'une manière ou d'une autre, soit j'accepterai un petit gage d'appréciation (invitation à une bière, un morceau de tarte cuit par sa femme, ...), ou si de l'argent est offert - donnez l'adresse Web de mon organisme de bienfaisance préféré et demandez à la personne de lui donner cet argent et de ne plus jamais le demander (mais une fois que je suis absent, donc s'il est difficile pour cette personne de se séparer du argent offert - certains peuvent être trop généreux -, ils peuvent le garder sans remords).

Si je demandais à un consultant informatique de faire du travail sur mon ordinateur portable, je m'attendrais à le payer.
Oui, et «cette personne est prête à faire avancer cette amitié» ne s'applique pas non plus. Il s'agit d'une relation client, pas d'une amitié.
Vous avez tous les deux raison. J'ai critiqué la réponse. Cher TildalWave, si vous corrigez votre réponse, veuillez me demander de modifier mon vote.
@unforgettableid - Non, ça va. Ma réponse reflète mon point de vue sur la situation, telle qu'elle a été décrite lors de sa rédaction. Vous n'êtes pas obligé de l'aimer, ni même de la trouver utile. J'ai mal jugé ce que vous vouliez dire par «consultant informatique». Les plans proposés sont tous également exploitables, donc je ne ressens pas le besoin d'en soutenir un en particulier, et j'ai supposé que cela devrait être évident pour un homme de votre profession. Ce que je ne comprends pas, cependant, c'est pourquoi vous demander des conseils sur les aspects éthiques de votre facturation plus élevée à votre client alors qu'il y a plus de travail à faire? Pouvez-vous voir maintenant d'où vient ma réponse?
@TildalWave: Quant à votre premier point: Puisque vous avez mal compris "consultant informatique", vous êtes libre de [modifier] votre réponse si vous le souhaitez. Bien sûr, ce n'est pas obligatoire. Quant à votre question: si le plan B ou le plan C étaient manifestement inutiles, alors il serait clairement contraire à l'éthique de facturer de l'argent pour les minutes supplémentaires requises. Ils ne sont pas clairement inutiles, mais si jamais je les fais, je pense que je vais quand même avertir mon client à l'avance qu'il devra payer les minutes supplémentaires requises.
@unforgettableid - Pourquoi ne pas charger à la seconde?
@TildalWave: J'aime la facturation à la minute. Si je suis distrait par une page Web intéressante, je peux arrêter la facturation, profiter de la page Web, puis reprendre la facturation. La facturation à la seconde serait trop compliquée.
Relaxing In Cyprus
2013-06-07 19:58:14 UTC
view on stackexchange narkive permalink

Dans ce cas particulier, je dirais soit d'aller avec le plan B, soit d'accepter simplement son mot de passe.

Le plan B a plus de sens, à condition que vous expliquiez également exactement pourquoi vous faites ce que vous faites.

Cependant, dans certains cas, surtout si c'est un mot de passe partagé utilisé par tous les enfants, changer le mot de passe peut être pénible. Je pense en particulier à Apple. J'ai très rarement besoin de mon identifiant Apple, j'oublie invariablement le mot de passe et je dois passer par les questions de sécurité habituelles, etc. avant de pouvoir le réinitialiser. Mais chaque fois que je choisis un nouveau mot de passe, et en fait une variation obscure de quelque chose de mémorable, on me dit que j'ai déjà utilisé le mot de passe. C'est pénible, et si quelques personnes partagent le même mot de passe, les chances de verrouillage du compte peuvent être assez élevées.

Alors, faites un jugement.

Rod MacPherson
2013-06-24 08:24:02 UTC
view on stackexchange narkive permalink

Le plan B est le plus sûr, car vous ne voyez jamais quel est le modèle de mot de passe de la personne (presque tout le monde utilise un modèle pour choisir les mots de passe) Le plan C est une bonne solution de rechange. Même s'il le remet à ce qu'il était, vous avez fait preuve de diligence raisonnable en suggérant et en l'aidant à changer de mot de passe et vous pouvez légitimement dire que vous ne connaissez pas le mot de passe si quelque chose se passe plus tard. (vous ne savez pas à moins qu'il ne vous dise qu'il l'a réinitialisé à ce qu'il était)

Ikhwanul Fikri
2013-07-09 03:58:26 UTC
view on stackexchange narkive permalink

Je pense que tous les plans ne sont pas amusants pour le client. mais par nécessité, le plan B devrait être fait.

C'est une perte de temps et d'argent. mais vous devez dire à votre client de masquer d'abord toutes ses données importantes, avant de randomiser l'ordinateur. Je pense que le navigateur dans un mot de passe qui est plus important.

-1. Que signifie «randomiser l'ordinateur»? Que signifie «le navigateur dans un mot de passe le plus important»? Veuillez [modifier] votre réponse et la clarifier. De plus, si vous avez utilisé Google Translate pour traduire votre réponse en anglais: veuillez ne pas utiliser Google Translate.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...