it-swarm-vi.com

Tôi có nên nói với sếp rằng tôi đã phát hiện ra mật khẩu của họ và họ quá yếu?

Tôi đang làm một công việc tạm thời nên họ không cho tôi bất kỳ mật khẩu nào để truy cập các trang web và tài nguyên tôi cần. Thay vào đó, họ bảo tôi chuyển sang một máy tính khác có nhân viên bình thường và nơi mọi mật khẩu đã được đặt và lưu trên trình duyệt.

Tôi phải thành thật, tôi đã vào bộ định tuyến (vì họ đang sử dụng thông tin đăng nhập mặc định) để lấy mật khẩu WiFi để tôi có thể sử dụng nó trên điện thoại của mình và thấy rằng nó có liên quan nhiều đến hoạt động của công ty (- ví dụ: nếu họ là nhà hàng, mật khẩu của họ sẽ là coffe12). Với ý nghĩ đó, tôi chỉ muốn xem liệu mô hình tương tự có được sử dụng cho các loại tài nguyên khác như địa chỉ email, tài khoản lưu trữ, v.v. và vâng, chúng là như vậy.

Khi đăng ký một tên miền khác với một tài khoản mới, tôi đoán mật khẩu bằng cách thấy ông chủ của tôi chậm rãi gõ trên bàn phím và, một lần nữa, yếu như f *.

Tôi có nên nói với họ không? Tôi sợ rằng tôi có thể gặp rắc rối vì ẩn giấu quá nhiều.

Nói một cách rõ ràng: đó không phải là một công ty lớn, chúng tôi chỉ là một vài nhân viên và không ai trong số họ ngoài tôi biết về máy tính và bảo mật, vì vậy không có cách nào báo cáo một cách bất thường về vấn đề hoặc liên hệ với một sysadmin hoặc anh chàng liên quan đến CNTT .

96
sysfiend

Mặc dù không có nghi ngờ rằng mật khẩu yếu là một vấn đề cho công ty của bạn, tôi sẽ khuyên bạn không nên nói với sếp của bạn về những điều bạn đã làm.

Công ty của bạn đã quyết định không cho người lao động tạm thời truy cập vào các trang web và tài nguyên vì một lý do. Bạn không chỉ có được quyền truy cập trái phép vào mạng LAN không dây bằng cách đoán mật khẩu cho bộ định tuyến, bạn còn mở rộng quyền truy cập đó bằng cách kiểm tra thông tin đăng nhập dựa trên các tài nguyên khác - Tài nguyên mà bạn không cần phải có mật khẩu. Sau đó, bạn về cơ bản lướt vai ông chủ của bạn.

Mặc dù dường như có những sai sót trong chính sách sử dụng lao động của bạn liên quan đến quyền truy cập vào tài nguyên của công ty và chính sách mật khẩu của họ, tất cả những điều này có thể được coi là 'hack' bởi chủ nhân của bạn và chắc chắn nằm ngoài sự cho phép của bạn.

Nếu tôi là bạn, tôi sẽ đăng xuất khỏi mạng WLAN và hỏi nhà tuyển dụng của bạn mật khẩu nếu bạn muốn có quyền truy cập vào nó. Ngoài ra, bạn nên ngừng cố gắng sử dụng mật khẩu của những người khác trên bất kỳ điểm truy cập nào chỉ để 'xem mẫu tương tự có được sử dụng không'. Tùy thuộc vào hệ thống pháp lý của các quốc gia liên quan, bạn rất có thể phải đối mặt với các vấn đề pháp lý cho các loại hành vi này.

Vậy bạn nên làm gì với thông tin bạn có?
[.__.] Nếu chủ lao động của bạn cung cấp cho bạn mật khẩu cho một dịch vụ hoặc tài nguyên mà bạn có thể chỉ ra, ví dụ: mật khẩu đó sẽ dễ dàng được đoán cho người khác. Tôi sẽ không đề cập đến mật khẩu khác ở đây trực tiếp mặc dù.
[.__.] Nếu sếp của bạn có vẻ quan tâm, bạn có thể tình nguyện nghiên cứu mật khẩu thực hành tốt nhất cho công ty. Nếu họ nghiêm túc về điều đó, điều này sẽ loại bỏ mối quan tâm của bạn.
[.___.] Nếu có một nhân viên IT trong công ty, bạn có thể mang những mối quan tâm này đến anh ta vì anh ta có thể sẽ hiểu sự cần thiết của một chính sách mật khẩu an toàn tốt hơn.

162
Denis

Trừ khi bạn đã nhận được một ủy quyền rõ ràng hoặc ẩn (*) để làm như vậy, hãy cố gắng đoán mật khẩu để truy cập các tài nguyên không được cấp cho bạn is một hành động thù địch, ngay cả khi mật khẩu là tầm thường hoặc được viết bằng một nơi mà bạn không nên đọc. Nếu bạn tìm thấy một tờ rơi với "Bí mật - dành riêng cho những người được phép" trên trang bìa và dù sao bạn cũng đọc nó, đó cũng là một hành động thù địch.

Điều bạn có thể làm nhất là trong trường hợp tờ rơi nói rằng "Tôi đã thấy ở đó một tài liệu bí mật ở đó, rằng ai đó có thể đọc mà không ai khác nhận ra. Nó có thực sự chứa thông tin nhạy cảm không và nếu không thì nó nên được lưu trữ trong một nơi an toàn hơn? " -> có nghĩa là tôi đã thấy một vấn đề bảo mật có thể xảy ra và tôi đã cảnh báo bạn nhưng I đã tôn trọng bí mật đánh dấu.

Hoặc nếu bạn đã phát hiện ra mật khẩu của đồng nghiệp (và nếu câu chuyện sau đây có thể xảy ra): "Này, tôi phải đăng nhập vào máy tính, tôi đã suy nghĩ về một cái gì đó khác và tôi đã nhập mật khẩu tôi sử dụng ở nhà. Tôi nhận ra rằng tôi đã đăng nhập vào tài khoản của bạn. Tôi đã đăng xuất ngay lập tức, nhưng bạn thực sự nên thay đổi mật khẩu đó cho một tài khoản chuyên nghiệp "


* Nhiệm vụ có thể được ẩn nếu bạn chịu trách nhiệm đánh giá bảo mật tổng thể. Nhưng trong trường hợp đó, bạn nên hỏi liệu bạn có thể tiếp tục ngay khi bạn phát hiện ra một mật khẩu tầm thường hay không.

40
Serge Ballesta

Tôi đang nói nhiều điều tương tự như những người khác, nhưng điều này thực sự có thể là một mối quan tâm pháp lý cho bạn (Tôi không phải là một luật sư). Ở Anh (*), một hành động có liên quan là Đạo luật lạm dụng máy tính 199 nói ngay khi bắt đầu:

1 Truy cập trái phép vào tài liệu máy tính.

(1) Một người phạm tội nếu phạm tội

(a) anh ta khiến máy tính thực hiện bất kỳ chức năng nào với mục đích bảo mật truy cập vào bất kỳ chương trình hoặc dữ liệu nào được giữ trong bất kỳ máy tính nào

(b) quyền truy cập mà anh ta dự định bảo mật [F2 hoặc để cho phép được bảo mật,] là trái phép; và

(c) anh ta biết tại thời điểm anh ta làm cho máy tính thực hiện chức năng đó là trường hợp.

tức là nếu bạn rất nhiều hãy thử để truy cập bất cứ điều gì bạn biết bạn không nên.

Tiểu mục 2 cho biết không quan trọng máy tính nào, dữ liệu nào hoặc loại dữ liệu nào, không có gì làm cho nó ổn.

Tiểu mục 3 nói:

(3) Một người phạm tội theo phần này sẽ phải chịu trách nhiệm

(a) về bản án kết án ở Anh và xứ Wales, phạt tù với thời hạn không quá 12 tháng hoặc phạt tiền không vượt quá mức tối đa theo luật định hoặc cả hai;

Và sau đó, phần 2 của hành vi nói Truy cập trái phép với ý định cam kết hoặc tạo điều kiện cho hành vi phạm tội tiếp theo. - bạn đã thực hiện hành vi truy cập trái phép (lấy bộ định tuyến truy cập) để bạn có thể thực hiện một hành vi truy cập trái phép khác (truy cập wifi).

Trong một trong những bình luận của bạn, bạn nói

không có hại gì được thực hiện

Nhưng Phần 3 của hành vi là Hành động trái phép với ý định làm suy yếu hoặc thiếu thận trọng như làm suy yếu, vận hành máy tính, v.v - ngay cả khi bạn không ' t có ý định , nếu bạn hành động liều lĩnh, thế là đủ. Tham gia một thiết bị cá nhân (điện thoại) không bảo mật, không xác định, vào mạng công ty 'có thể khiến họ gặp rủi ro với tất cả các loại kiểu tiền điện tử blah blah.

Tôi hoàn toàn có thể nghi ngờ rằng điều này sẽ có hiệu lực đối với ai đó trong một doanh nghiệp nhỏ truy cập vào bộ định tuyến, nhưng nếu họ muốn tranh luận, bạn đã làm một công việc tạm thời, xâm nhập vào mạng của họ, email của họ, lưu trữ tên miền/trang web của họ, Bất cẩn đặt mạng của họ và do đó công ty của họ gặp rủi ro và ai biết được hành vi trộm cắp, tống tiền, tống tiền hoặc thiệt hại mà bạn dự định thực hiện.

Và điều tồi tệ hơn là họ không hiểu về CNTT, họ không quan tâm đến việc nó thú vị như thế nào hoặc nó gây tò mò như thế nào, hoặc hành động của bạn nghiêm trọng hoặc tầm thường như thế nào, nếu họ hiểu sai về nó. nhìn tốt cho bạn.

Tôi có nên nói với sếp rằng mật khẩu của họ quá tệ?

Có, bạn nên . Nhưng đừng trừ khi bạn có lý do để nghĩ rằng họ sẽ làm tốt. Và họ nên quan tâm. Nhưng họ không. Và đó không phải là công ty của bạn và không phải là vấn đề của bạn. Nếu chúng thể hiện sự quan tâm, hãy đề xuất tại sao (về nguyên tắc) mật khẩu trình duyệt được lưu trữ có rủi ro hoặc tài khoản dùng chung có rủi ro hoặc mật khẩu đơn giản có rủi ro.

Nếu không có bản sao lưu, khuyến khích họ có bản sao lưu. "Xin chào, tôi đã đọc mục tin tức này về GitLab gần như mất 300Gb dữ liệ và nó khiến tôi nghĩ rằng chúng tôi không có bản sao lưu tốt ở đây - chúng tôi có thể đặt một với giá $ xyz, bạn nghĩ gì? "

(*) Các khu vực pháp lý khác có sẵn.

29
TessellatingHeckler

Tôi đã đặt mình vào tình huống chính xác của bạn một lần khi tôi còn trẻ. Tôi đã chán nản với một công việc tạm thời và bắt đầu thăm dò những điểm yếu về bảo mật. Tôi đã cố gắng kết thúc nó bằng cách gửi một email nặc danh đến sysadmin, nó phản tác dụng theo những cách sau:

  • Lúc đầu họ hoảng hốt, nghĩ rằng mối đe dọa đến từ bên ngoài công ty.
  • Họ lướt qua nhật ký hệ thống và thẩm vấn và suýt sa thải một trong những đồng nghiệp của tôi, người mà tôi là bạn và không liên quan gì.
  • Cuối cùng họ đã theo dõi nó trở lại với tôi và sa thải tôi.
  • Tôi đã rất may mắn là họ đã không làm điều tồi tệ hơn.

Phần về người bạn của tôi gần như bị sa thải đã ném tôi cho một vòng lặp. Trong sự kiêu ngạo của tôi, tôi đã hoàn toàn không biết về bất kỳ thiệt hại tài sản thế chấp nào tôi có thể gây ra. Ngoài ra, điều làm tôi ngạc nhiên là khi tôi bị gọi vào căn phòng đó để bị sa thải, làm thế nào sợ hãi mọi người là của tôi. Loại bỏ bất kỳ suy nghĩ bạn có của mọi người phản ứng hợp lý.

Đề xuất của tôi là dừng ngay lập tức sử dụng mọi truy cập trái phép. Nếu bạn thực sự không thể thực hiện công việc của mình mà không có mật khẩu, hãy chỉ ra điều đó và nếu họ cung cấp cho bạn mật khẩu đó, hãy chỉ ra mức độ yếu của nó. Ngoài ra, để nó yên. Tôi biết điều đó thật khó khăn. Một ngày nào đó bạn sẽ ở một vị trí tốt hơn để tác động đến các loại chính sách này. Bạn chỉ cần kiên nhẫn.

22
One big regret

Đừng bắt đầu bằng cách nói về những mật khẩu không an toàn. Thay vào đó hãy bắt đầu bằng cách chỉ ra rằng bạn không nên sử dụng máy tính của nhân viên khác để truy cập hệ thống vì nó khiến dữ liệu của người dùng khác gặp rủi ro (tai nạn ngay cả khi bạn không độc hại hoặc khó chịu như bạn). Cố gắng thuyết phục họ rằng sẽ an toàn hơn khi cung cấp cho bạn mật khẩu mà bạn cần để thực hiện công việc của mình. Nó cũng sẽ hiệu quả hơn vì bạn sẽ không phải chặn người dùng khác làm việc. Nếu họ muốn bạn có quyền truy cập, họ sẽ cung cấp cho bạn quyền truy cập đó. Nếu điều đó hoạt động, sau đó bạn có thể nhận xét về mật khẩu không an toàn mà họ tiết lộ cho bạn. Nếu họ lo lắng về việc bạn biết mật khẩu sau khi bạn rời đi, họ có thể thay đổi chúng vào thời điểm đó.

15
Sinc

Hầu hết các công ty thuộc mọi quy mô đều có cơ chế để bạn có thể lập báo cáo nặc danh về hành vi sai trái của các thành viên trong đội ngũ nhân viên. Nó có thể được gọi là tính toàn vẹn của một hệ thống báo cáo tuân thủ.

Kiểu thổi còi này được khuyến khích để bảo vệ công ty khỏi những tiết lộ gây thiệt hại nhiều hơn.

Tôi sẽ kiểm tra xem chủ nhân của bạn có hệ thống như vậy không và nếu có thì hãy sử dụng nó. Báo cáo tên của những người liên quan và, nếu bạn cảm thấy nó phù hợp, ngay cả mật khẩu họ đang sử dụng.

Nơi tôi làm việc, những báo cáo như vậy được khuyến khích. Bạn sẽ giúp công ty bảo mật dữ liệu của mình mà không gặp rủi ro cho chính mình.

10
Chenmunka

Tôi có nên nói với sếp rằng mật khẩu của họ quá tệ?

Khi tôi đang làm việc trên một dự án và tôi được cung cấp mật khẩu cho máy chủ/bộ định tuyến, v.v. và đó là mật khẩu xấu, tôi sẽ luôn nói điều gì đó và khuyên bạn nên sử dụng mật khẩu mạnh hơn/trình quản lý mật khẩu, v.v.

Tôi nghĩ rằng đây là một điều hợp lý để làm.

Với ý nghĩ đó, tôi chỉ muốn xem liệu mẫu tương tự có được sử dụng cho các loại tài nguyên khác như địa chỉ email, tài khoản lưu trữ, v.v. và vâng, chúng là như vậy.

Vâng, chắc chắn không làm điều này. Điều đó là trái luật, và bạn có thể kết thúc bằng một hồ sơ tội phạm nếu chủ nhân của bạn phát hiện ra.

5
JMK

Bằng cách nói với họ, bạn sẽ tiết lộ những hành động bạn đã thực hiện để có được thông tin đó và điều đó có thể khiến bạn gặp rắc rối.

Nếu bạn muốn giáo dục họ về tầm quan trọng của mật khẩu mạnh, bạn có thể làm như vậy mà không cần tiết lộ những gì bạn biết.

4
eV-

Mặc dù tôi đồng ý với những người khác rằng bạn đã đi quá xa trong việc kiểm tra bảo mật và rằng bạn không nên nói với chủ nhân về mật khẩu/hệ thống mà bạn đã xâm phạm, tôi nghĩ bạn có trách nhiệm phải nói với họ rằng các biện pháp bảo mật của họ dường như là nghèo và xin phép họ để điều tra thêm.

(nhưng hãy chắc chắn rằng bạn đã đi trước bằng văn bản, ngoài trang web trước khi bạn tiến xa hơn)

4
symcbean

Thành thật mà nói, tất cả phụ thuộc vào tính cách của sếp và mức độ bạn biết/tin tưởng lẫn nhau. Có nhiều nhà tuyển dụng không quan tâm đến nhân viên của họ và sẽ lợi dụng tình huống đó bằng cách kiện bạn, nhưng đồng thời cũng có nhiều người sẽ rất biết ơn về lời khuyên đó và kết bạn với bạn để làm thêm.

Bạn có thể nói điều gì đó dọc theo dòng chữ "Tôi đã xem hướng dẫn về bảo mật mạng và tôi tự hỏi liệu hệ thống ở đây có lỗi như vậy không" hoặc nếu không, bạn có thể tìm một nhân viên đáng tin cậy để nói rằng, điều đó có thể được chấp nhận bởi bạn Ông chủ.

Và cuối cùng, luôn có cách tiếp cận không nói bất cứ điều gì và chỉ làm công việc của bạn, quan tâm đến việc kinh doanh của riêng bạn và quên nó đi. Có vẻ sai, nhưng ngày nay có quá nhiều người xấu muốn tận dụng những hành động tốt thực sự (như chỉ ra sai sót trong bảo mật của một doanh nghiệp) rằng nó không thực sự đáng để mạo hiểm để ngồi tù và trả tiền phạt vì cố gắng trở thành một Nice người.

Người duy nhất có thể thực hiện một động thái là bạn, và tất cả phụ thuộc vào mức độ đánh giá của bạn về tính cách của mọi người.

3
Bwinzey

Và cuối cùng, luôn có cách tiếp cận không nói bất cứ điều gì và chỉ làm công việc của bạn, quan tâm đến việc kinh doanh của riêng bạn và quên nó đi. Có vẻ sai, nhưng ngày nay có quá nhiều người xấu muốn tận dụng những hành động tốt thực sự (như chỉ ra sai sót trong bảo mật của một doanh nghiệp) rằng nó không thực sự đáng để mạo hiểm để ngồi tù và trả tiền phạt vì cố gắng trở thành một Nice người.

Và đó chính xác là những gì bạn nên làm. Nếu bạn nói một từ, thậm chí là một gợi ý, cho bất kỳ ai - bất kỳ ai!, Không chỉ là ông chủ, hoặc những người khác ở công ty đó - bạn đang đặt sự an toàn và tự do của mình vào tay anh ta. Giữ im lặng, làm công việc của bạn và đi nơi khác để làm việc sau khi hợp đồng của bạn được thực hiện. Tình huống của bạn là nguy hiểm. Các công tố viên được khen thưởng vì số tiền án, không phải tội ác của hung thủ.

2
wam

Phụ thuộc vào tính cách của sếp. Là anh ấy thông minh, thông minh và hiểu biết? Nếu có thì bạn có thể nói với anh ta. Điều đó sẽ không phải là nguyên nhân sa thải bạn hoặc hạ bệ bạn bằng bất kỳ cơ hội nào. Thay vào đó, bạn có thể được khen thưởng vì tài năng của bạn và ai biết được, cũng có thể là một sự thăng tiến.

Nhưng nếu tính cách của ông chủ của bạn khá bình thường, thì hãy quên điều này đi.

2
Ron Zepplin

Hãy thử hỏi họ mật khẩu, vì blah blah blah. Nếu họ biết rằng bạn biết mật khẩu, bạn có thể nói với họ rằng nó không an toàn và rất có thể họ sẽ đồng ý thay đổi mật khẩu! Và vì bạn đã nhận được mật khẩu theo cách "tốt", bạn sẽ THỰC SỰ.

1
Kryštof Píštěk