it-swarm-vi.com

Bạn có thể nói mật khẩu của mình với sysadmin của công ty không?

Tôi đang làm việc trong một công ty nhỏ (20 nhân viên) với tư cách là kỹ sư phần mềm cao cấp.

Sau khi gặp vấn đề với email của tôi, quản trị viên CNTT mới được tuyển dụng của chúng tôi đã yêu cầu tôi viết mật khẩu người dùng của mình cho ai đó trong công ty lưu trữ của chúng tôi để giúp họ xác định vấn đề.

Không có bất kỳ suy nghĩ, tôi đã cho anh ta mật khẩu người dùng của tôi.

Sau 30 phút, tôi nhận ra rằng trong 10 năm làm việc ở một số công ty, không ai hỏi tôi mật khẩu và tôi thấy nó khá lạ. Ngay sau đó, tôi đổi mật khẩu.

Có trường hợp mật khẩu thực sự cần thiết, khi tôi thực sự phải nói mật khẩu của mình với quản trị viên CNTT?

Tôi đã nghe nói về những câu chuyện mà quản trị viên yêu cầu mật khẩu của người dùng, nhưng chỉ trên các trang web như The Daily WTF , đã đặt ra câu hỏi này.

(Liên quan: "Một khách hàng muốn cho tôi biết mật khẩu máy tính xách tay tại nhà của anh ta. Tôi có phải đẩy anh ta tới một giải pháp thay thế phức tạp hơn không?" )

79
BЈовић

Câu trả lời ngắn:

TUYỆT ĐỐI KHÔNG!
[.___.] Mật khẩu của bạn nằm giữa bạn và máy tính của bạn.
Không còn ai.

Không phải ông chủ của bạn, ông chủ của ông ta, quản trị viên hệ thống, nhân viên ngân hàng, đại lý bảo hiểm, kỹ thuật viên hỗ trợ ISP hoặc con mèo của bạn. Chà, con mèo của bạn bạn có thể nói, nếu cô ấy hứa sẽ không chia sẻ nó.

KHÔNG BAO GIỜ có một lý do tốt để chia sẻ mật khẩu.
[.__.] Có nhiều lý do KHÔNG. Hầu hết, bởi vì mật khẩu là xác thực CỦA BẠN và ngay khi MỘT người khác biết nó, nó không còn có thể chứng minh danh tính của bạn nữa.

Bất kỳ lý do nào quản trị viên của bạn đưa ra, là không có thật, vì anh ta độc hại, lười biếng, thông tin sai hoặc không đủ năng lực.
[.__.] Điều đó nói rằng, đó có thể không phải là lỗi của anh ấy, mà là lỗi của tổ chức của anh ấy. Dù bằng cách nào, có sự bất tài, thiếu hiểu biết và lười biếng rất nhiều.

Nếu quản trị viên hoặc BẤT K techn kỹ thuật viên hỗ trợ nào hỏi mật khẩu của bạn, câu trả lời đúng là LAUGH.
[.__.] Bởi vì không có cách nào họ nghiêm túc, phải không?

Nếu quản trị viên của bạn khăng khăng - giải thích cho anh ta rằng bạn sẽ tài liệu chia sẻ mật khẩu của mình với anh ta ... và rằng, dựa trên điều này, bạn sẽ gửi email khó chịu cho tất cả mọi người xung quanh - chứ không phải về anh ấy, nhưng bạn sẽ cho rằng họ đến từ anh ấy (sử dụng tài khoản của bạn, trong tên của bạn, sử dụng mật khẩu của bạn bạn vừa chia sẻ với anh ấy). Tất nhiên anh ta sẽ không thể chứng minh rằng anh ta đã không sử dụng sai mật khẩu của bạn ... đó là điểm chính.

Không, trong suy nghĩ thứ hai, đừng cho anh ta mật khẩu của bạn. Là của bạn, giữa bạn và máy tính một mình.

88
AviD

Hãy thử một ý tưởng khác: bạn có đưa một ngón tay của mình cho người quản lý CNTT để anh ấy có thể sửa chữa quyền truy cập vào tòa nhà của bạn trong khi bạn đang làm việc không?

Tôi sẽ cho rằng câu trả lời là không. Điều tương tự áp dụng cho mật khẩu của bạn. Ngay cả khi bạn có một mật khẩu duy nhất cho tất cả các dịch vụ của mình (Điều này không bao giờ xảy ra, ngay cả đối với tôi, tôi thú nhận) mật khẩu KHÔNG BAO GIỜ được chia sẻ với bất kỳ ai. Đó là điều duy nhất có thể xác thực chính bạn. Điều đó có thể làm phiền bạn phải lãng phí thời gian với hỗ trợ CNTT của bạn, nhưng điều này cũng có thể khiến bạn phải ngồi tù trong một thời gian dài.

Vì vậy, chắc chắn: không

20
M'vy

Điều này đã được giải thích trước đó rằng không ai nên đưa mật khẩu của mình cho quản trị viên (tôi đồng ý với tất cả), nhưng bạn nên kiểm tra với cấp trên của mình những gì đang diễn ra, bởi vì nếu anh ta hỏi bạn, có thể anh ta đã hỏi mật khẩu của 18 người khác (thứ 19 có lẽ là cấp trên của anh ta) và tôi khá chắc chắn rằng một số đồng nghiệp của bạn sử dụng cùng một mật khẩu ở mọi nơi.

15
noktec

Câu trả lời ngắn gọn, nếu anh ta là quản trị viên, anh ta sẽ không bao giờ cần mật khẩu của bạn. Trường hợp xấu nhất là anh ta cần đặt lại mật khẩu của bạn và cung cấp cho bạn một mật khẩu mới (mà bạn sẽ kịp thời thay đổi).

Trừ khi có một số trường hợp giảm nhẹ, mật khẩu/mã/cụm từ chỉ dành cho bạn. (ví dụ: nếu quản trị viên không có tài khoản đặc quyền trên PC của bạn)

Tôi đã tham gia một vài công việc trong đó một nhân viên lâu năm sẽ có một máy không có tài khoản quản trị mà tôi có thể sử dụng trên đó, nhưng ngay cả khi đó, đó là một giải pháp tốt hơn để có người dùng (giả sử họ có quyền đối với) làm cho quản trị viên một tài khoản đặc quyền mà họ có thể sử dụng. Vì vậy, ngay cả sau đó tôi rất khó để nghĩ ra bất kỳ lý do khả thi nào tại sao quản trị viên cần mật khẩu của bạn. Luôn luôn là một ngày buồn khi biết rằng người dùng không có quyền quản trị, nó không được kết nối với tên miền và quản trị viên đã thiết lập nó đã không hoạt động ở đó trong 10 năm ......

p.s. như đã nói trong một câu trả lời khác, có thể quản trị viên đã quen với việc xử lý "hoàn thành công việc" từ cấp trên của họ, điều này có thể dẫn đến việc họ chỉ yêu cầu mật khẩu.

11
Ormis

Có lẽ đã đến lúc khai thác chính sách bảo mật CNTT của bạn. Nếu bạn có một trong tổ chức của bạn. Nếu không, thời gian để làm cho nhóm ngồi xuống và viết một.

Nó có thể là trường hợp quản trị viên này đã không đọc nó hoặc được đào tạo.

Văn hóa đưa ra mật khẩu chắc chắn sẽ làm tăng cơ hội của các tài khoản được tạo ra nếu không có kiểm tra tại chỗ để xác minh từng yêu cầu.

Các vấn đề được nêu lên về trách nhiệm cũng là một mối quan tâm.

Đó là thực tế không tốt cho chắc chắn.

6
RobertRay

Ngoài ra còn có một vấn đề khác với việc chia sẻ mật khẩu.

Nếu bất cứ điều gì xảy ra với tài khoản của bạn hoặc bởi tài khoản của bạn trong khi người khác đăng nhập, bạn là người sẽ bị đổ lỗi. Ngay cả khi bên trong công ty vẫn ổn để chia sẻ mật khẩu theo chính sách bảo mật, luật pháp (ít nhất là ở nước tôi), bạn là người sẽ bị buộc tội.

6
StupidOne

Câu hỏi cốt lõi đang được đặt ra là "Có bao giờ cần thiết cho quản trị viên yêu cầu mật khẩu không?" Rõ ràng, nó không nên cần thiết. Nhưng hãy xác định "cần thiết" là "bắt buộc để hoàn thành một việc quan trọng".

Với các tham số này, trong trường hợp có lỗi nghiêm trọng/phá vỡ trong cơ sở hạ tầng bảo mật, có thể cần phải tiết lộ mật khẩu để thực hiện các tác vụ quan trọng. Tôi đã thấy các hệ thống bị tắc nghẽn trong cả các tập đoàn lớn và chính phủ đã hoạt động như thế này trong nhiều năm trước khi tôi gặp phải chúng. Và từ quan điểm duy trì hoạt động, có, cần phải tiếp tục có loại tiếp xúc mật khẩu đó trong khi sửa lỗi được thực hiện.

Chìa khóa trong mỗi trường hợp là ghi lại sự cố, tài liệu và thông báo rõ ràng các rủi ro khi vận hành trong tình huống bảo mật thiếu sót này, nhận được tuyên bố chính sách từ lãnh đạo chỉ đạo trong trường hợp nào phải tiếp xúc với mật khẩu trong khi sửa lỗi, sau đó ghi lại bất kỳ mật khẩu nào tiếp xúc cần thiết để tiếp tục hoạt động trong khi hệ thống an ninh đã được sửa chữa.

Nói tóm lại, không bao giờ cần thiết. Nhưng nếu có, hãy tự bảo vệ mình bằng cách loại bỏ rủi ro trách nhiệm khỏi bản thân và cho bên chịu trách nhiệm về các quyết định/cơ sở hạ tầng khiến nó không cần thiết. Và tất nhiên nếu không có động thái nào để khắc phục vấn đề, bạn có thể muốn xem xét tiếp tục.

0
HumanJHawkins