it-swarm-id.com

Apakah boleh mengatakan password Anda ke sysadmin perusahaan Anda?

Saya bekerja di sebuah perusahaan kecil (20 karyawan) sebagai insinyur perangkat lunak senior.

Setelah mengalami masalah dengan email saya, administrator TI kami yang baru dipekerjakan meminta saya untuk menulis kata sandi pengguna saya kepada seseorang di perusahaan hosting kami untuk membantu mereka mengidentifikasi masalah.

Tanpa pikir panjang saya memberinya kata sandi pengguna saya.

Setelah 30 menit, saya menyadari bahwa dalam 10 tahun bekerja di beberapa perusahaan tidak ada yang meminta kata sandi, dan saya merasa agak aneh. Segera setelah itu, saya mengubah kata sandi saya.

Apakah ada kasus di mana kata sandi sangat dibutuhkan, ketika saya benar-benar harus memberi tahu kata sandi saya kepada administrator TI?

Saya telah mendengar cerita di mana admin meminta kata sandi pengguna, tetapi hanya di situs-situs seperti The Daily WTF , yang memicu pertanyaan ini.

(Terkait: "Seorang klien ingin memberi tahu saya kata sandi laptop rumahnya. Apakah saya harus mendorongnya ke alternatif yang lebih kompleks?" )

79
BЈовић

Jawaban singkat:

TIDAK BENAR-BENAR!
Kata sandi Anda ada di antara Anda, dan komputer Anda saja.
Tidak ada yang lain.

Bukan bos Anda, bosnya, administrator sistem, pejabat bank Anda, agen asuransi Anda, teknisi dukungan ISP Anda, atau kucing Anda. Nah, kucing Anda, Anda bisa tahu, jika dia berjanji untuk tidak membagikannya.

TIDAK PERNAH ada alasan bagus untuk berbagi kata sandi.
Ada banyak alasan untuk TIDAK. Sebagian besar, karena kata sandi adalah otentikasi ANDA, dan segera setelah SATU orang lain mengetahuinya, kata sandi tersebut tidak dapat lagi membuktikan identitas Anda.

Alasan apa pun yang diajukan admin Anda, adalah palsu, baik karena dia jahat, malas, salah informasi, atau tidak kompeten.
Yang mengatakan, itu mungkin bukan kesalahannya, tetapi kesalahan organisasinya. Bagaimanapun, ada ketidakmampuan, ketidaktahuan dan kemalasan berlimpah.

Jika seorang admin, atau teknisi pendukung APA PUN meminta kata sandi Anda, respons yang benar adalah TERTAWA.
Karena tidak mungkin mereka serius, bukan?

Jika admin Anda bersikeras - jelaskan kepadanya bahwa Anda akan mendokumentasikan membagikan kata sandi Anda dengannya ... dan bahwa, berdasarkan ini, Anda akan mengirim email jahat ke sekeliling - bukan about dia, tetapi Anda akan mengklaim bahwa mereka datang dari dia (menggunakan akun Anda, atas nama Anda, menggunakan kata sandi Anda yang Anda baru saja berbagi dengannya). Tentu saja dia tidak akan dapat membuktikan bahwa dia tidak menyalahgunakan kata sandi Anda ... yang merupakan intinya.

Tidak, setelah dipikir-pikir, jangan berikan dia kata sandi Anda. Itu milik Anda, antara Anda dan komputer saja.

88
AviD

Mari kita coba ide lain: apakah Anda akan memberikan salah satu jari Anda kepada manajer TI Anda sehingga ia dapat memperbaiki akses Anda ke gedung Anda saat Anda sedang bekerja?

Saya akan menganggap jawabannya tidak. Hal yang sama berlaku untuk kata sandi Anda. Bahkan jika Anda memiliki satu kata sandi untuk semua layanan Anda (Yang tidak pernah terjadi, bahkan bagi saya saya akui) kata sandi harus PERNAH dibagikan kepada siapa pun. Ini adalah satu-satunya hal yang dapat mengotentikasi diri Anda. Itu dapat mengganggu Anda karena harus membuang waktu dengan dukungan IT Anda, tetapi ini juga dapat mengirim Anda ke penjara untuk waktu yang lama.

Jadi, pasti: tidak

20
M'vy

Telah dijelaskan sebelumnya bahwa tidak seorang pun boleh memberikan kata sandi kepada administrator (saya setuju dengan semua itu), tetapi Anda harus memeriksa dengan atasannya apa yang terjadi, karena jika ia bertanya kepada Anda, mungkin ia meminta kata sandi dari 18 lainnya (ke-19 mungkin adalah atasannya) dan saya cukup yakin bahwa beberapa rekan kerja Anda menggunakan kata sandi yang sama di mana-mana.

15
noktec

Jawaban singkatnya, jika dia seorang admin, dia seharusnya tidak memerlukan kata sandi Anda. Skenario terburuknya adalah ia perlu mengatur ulang kata sandi Anda dan memberi Anda yang baru (yang akan segera Anda ubah).

Kecuali jika ada beberapa keadaan yang meringankan, kata sandi/kode/frasa hanya untuk Anda. (mis. jika admin tidak memiliki akun istimewa di PC Anda)

Saya telah memasuki beberapa pekerjaan di mana seorang karyawan lama akan memiliki mesin satu kali yang tidak memiliki akun admin yang dapat saya gunakan, tetapi meskipun demikian itu adalah solusi yang lebih baik untuk memiliki pengguna (dengan asumsi mereka memiliki hak untuk) menjadikan admin akun istimewa yang dapat mereka gunakan. Jadi meskipun begitu saya sulit sekali memikirkan alasan yang masuk akal mengapa admin membutuhkan kata sandi Anda. Selalu merupakan hari yang menyedihkan untuk mengetahui bahwa pengguna tidak memiliki hak administratif, tidak terhubung ke domain, dan admin yang mengaturnya tidak berfungsi di sana selama 10 tahun ......

hal. seperti yang dikatakan dalam jawaban lain, ada kemungkinan bahwa admin terbiasa untuk mendapatkan perawatan "menyelesaikannya" dari atasan mereka, yang dapat mengakibatkan mereka hanya meminta kata sandi.

11
Ormis

Mungkin ini saatnya untuk menggali kebijakan keamanan TI Anda. Jika Anda memilikinya di organisasi Anda. Jika tidak, saatnya meminta tim duduk dan menulis satu.

Mungkin admin ini belum membacanya atau dilatih.

Budaya memberikan kata sandi tentu akan meningkatkan peluang akun terdiri jika tidak ada cek untuk memverifikasi setiap dan setiap permintaan.

Isu yang diangkat tentang akuntabilitas juga sedikit menjadi perhatian.

Tentu saja ini bukan praktik yang baik.

6
RobertRay

Ada juga satu masalah lain dengan berbagi kata sandi.

Jika terjadi sesuatu pada akun Anda atau akun Anda ketika orang lain login, Anda yang akan disalahkan. Sekalipun di dalam perusahaan boleh berbagi kata sandi dengan kebijakan keamanan, legal (secara hukum; setidaknya di negara saya) Anda adalah orang yang akan dituduh.

6
StupidOne

Pertanyaan inti yang ditanyakan adalah, "Apakah perlu bagi admin untuk meminta kata sandi?" Jelas, itu seharusnya tidak diperlukan. Tapi mari kita mendefinisikan "perlu" sebagai "diperlukan untuk mencapai sesuatu yang kritis".

Dengan parameter ini, dalam kasus dengan cacat parah/putus di infrastruktur keamanan mungkin perlu untuk mengekspos kata sandi untuk menyelesaikan tugas-tugas penting. Saya telah melihat sistem yang rusak baik di perusahaan besar dan pemerintah yang dijalankan seperti ini selama bertahun-tahun sebelum saya bertemu mereka. Dan dari sudut pandang menjaga operasi berjalan, ya itu perlu untuk terus memiliki semacam paparan kata sandi sementara perbaikan dilakukan.

Kuncinya dalam setiap kasus adalah untuk mendokumentasikan masalah, mendokumentasikan dan dengan jelas mengomunikasikan risiko operasi dalam situasi keamanan yang cacat ini, mendapatkan pernyataan kebijakan dari kepemimpinan yang mengarahkan dalam keadaan apa eksposur kata sandi harus terjadi saat perbaikan dilakukan, kemudian untuk mendokumentasikan kata sandi apa pun paparan yang diperlukan untuk terus beroperasi saat sistem keamanan sedang diperbaiki.

Singkatnya, seharusnya tidak perlu. Tetapi jika ya, lindungi diri Anda dengan memindahkan risiko tanggung jawab dari diri Anda sendiri dan ke pihak yang bertanggung jawab atas keputusan/infrastruktur yang membuatnya perlu secara tidak tepat. Dan tentu saja jika tidak ada langkah untuk memperbaiki masalah, Anda mungkin ingin mempertimbangkan untuk melanjutkan.

0
HumanJHawkins