Domanda:
Convinci le persone a non condividere la loro password con altre persone fidate
Auzias
2016-09-26 13:35:12 UTC
view on stackexchange narkive permalink

Di solito i dipendenti IT si fidano dei loro familiari che condividono prontamente le password (Facebook, e-mail, Twitter, tu-nominalo !) In modo che possano ottenere un facile aiuto per impostare cosa- parametro sempre non trovano o spiegano una situazione difficile.

Cerco sempre di convincere e spiegare perché questa è una cattiva pratica e che non voglio conoscere la loro password. Tuttavia, di solito non riesco a discutere quando ricevo una risposta " Ma so di potermi fidare " o " So che non lo userai per atti malvagi " per a cui non posso rispondere " Non lo sai " in quanto implicherebbe che non possono fidarsi di me (ricorda, sono membri della famiglia).

Quale elenco di argomenti (più lungo, meglio è) usi per spiegare i rischi di avere una pratica così cattiva?


Ecco il mio piccolo elenco:

  • Questo è un cattiva pratica e non dovresti fidarti di nessuno.
  • Non è rispettoso per le persone che condividono intimità con te (mi hai dato la tua password di Facebook, ora ho accesso a tutti i dettagli molto personali delle persone che si fidano tu e non io ).
  • È una responsabilità che non voglio che tu mi imponga .
  • Se utilizzo questa password con noncuranza (cioè senza controllarmi alle spalle) qualcuno può leggere questa password e io sarei quello che è trapelato t.

La maggior parte di loro di solito non capisce, diventa sospettosa o semplicemente presume che siamo solo paranoici.


Per favore, evita i casi in cui il danno è fatto usando le password. Anche se questo è per lo più divertente o creativo, ciò non risponde alla mia risposta in cui le persone si fidano di te e questo deve essere mantenuto così com'è. Nota, tuttavia, che i commenti che affermano non ti sei reso conto che avrebbero trovato il problema che hai fatto o che cambiano la password con una sicura e inviano il link per la reimpostazione della password sono in qualche modo validi in un certo senso;)

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/46306/discussion-on-question-by-auzias-convince-people-not-to-share-their-password-wit).
26 risposte:
#1
+174
Anders
2016-09-26 14:10:44 UTC
view on stackexchange narkive permalink

Il modo carino ed educativo

Questo è un po 'simile al tuo terzo punto elenco.

Nessun altro dovrebbe conoscere la tua password, nemmeno le persone di cui ti fidi. Questo è l'unico modo per essere sicuro che solo tu hai accesso al tuo account. Diciamo che mi dai la tua password di Facebook e una settimana dopo iniziano a diffondersi voci su quello che hai fatto a Las Vegas l'anno scorso.

Solo poche persone di cui ti fidi lo sanno, e beh, potenzialmente io dato che ho il tuo Password di Facebook. Se ciò accade, non voglio essere un sospetto. Non voglio trovarmi nella posizione in cui ogni incidente relativo alla privacy che ti accade potrebbe essere stato causato da me.

Fornire informazioni che non dovrebbero avere a persone di cui ti fidi può finire per distruggere invece quella fiducia di rafforzarlo.

Se contrastato con "ma mi fido davvero di te completamente", evidenzia che la persona si fida completamente anche di Eve e Mark, le uniche due persone al mondo che conoscono Incidente a Las Vegas, e se la parola viene fuori chiaramente, qualcuno di cui si fidava deve aver infranto la fiducia. Un messaggio chiave è questo:

Non voglio far parte di tutti i tuoi segreti.

Se necessario, inventare una bugia bianca su un un tuo amico che si è messo nei guai in uno scenario simile per renderlo più concreto.

Il modo meno carino ed educativo

Insegnare alle persone a non condividere la propria password, Pubblico tutte le password che le persone mi danno su Twitter. Nessuna eccezione. Se mi dai la tua password di Facebook, entro cinque minuti sarà su Twitter insieme al tuo nome utente. [Apri Twitter e preparati a digitare.]

Se vuoi ancora darmelo, va bene, ma sei stato avvertito.

Questa probabilmente non è una buona idea poiché non dovresti fare minacce che non sei pronto a consegnare e non dovresti mantenere questa minaccia. Ma a volte sono tentato ...

Invertire i ruoli

A volte è più facile capire la posizione di qualcun altro se si invertono i ruoli. Dai alla persona una busta sigillata e dì questo:

Questa busta contiene un'informazione che rovinerebbe completamente la mia carriera, il mio matrimonio, la mia vita se mai venisse fuori. Devi tenere questa busta per sempre e assicurarti che nessuno, te compreso, veda mai cosa c'è dentro.

Ma non preoccuparti, mi fido completamente di te.

Quando si rifiutano di prendere la busta, spiega che non vuoi nemmeno la loro password di Facebook.

Haha!Mi piace il modo non così carino.Per quanto riguarda quello educativo a volte vado in questo modo, ma l'argomento "So di potermi fidare di te" o "So che non lo userai per atti malvagi" lo rende nullo.
Non capisco lo scopo del "modo non così carino".Li scoraggia dal condividere la password con me, certo, ma perché dovrei farlo in questo modo?Il suo sentimento non è molto diverso dal dire "Se mi dai la tua password, ti colpirò con un martello".O stai dicendo che sei aggressivamente terribile nel mantenere i segreti?Il punto è semplicemente evitare che condividano?Non credo che capiranno * perché * non vuoi conoscere la loro password.
Immagino di essere serio solo a metà qui.Immagino che il messaggio previsto sia "non fidarti di nessuno", ma potresti aver ragione che non è quello che viene fuori ...
@mafu: Penso che l'essenza del "modo non così carino" sia rispondere alla loro argomentazione "ma mi fido completamente di te" con una dichiarazione "Non sono degno di fiducia, il tuo giudizio di fidarti completamente di me è sbagliato".Ma ovviamente, come fa notare Anders, cade quando si rendono conto che non lo farai davvero, quindi potrebbero continuare a fidarsi completamente di te e non imparare la lezione.È difficile trasmettere che, sebbene tu sia fondamentalmente affidabile, * ancora * non dovrebbero darti la loro password.
Amo la terza variazione dell'inversione dei ruoli.L'ho letto due volte per memorizzarlo e spero di poterlo utilizzare almeno una volta nella vita.
@Anders Non * voglio * essere o sembrare inaffidabile.Sono affidabile e sincero, ma * ancora * non voglio conoscere la tua password.- Questo è il problema che vedo nel modo in cui viene presentato al momento.Ovviamente il tuo suggerimento è una soluzione al problema, ma non vorrei prenderlo personalmente.Naturalmente, se qualcuno sta bene con le sue implicazioni, potrebbe usarlo con molto successo.
+1, principalmente per l'ultima parte, sulla busta.
Presumi che queste persone abbiano segreti che vale la pena nascondere, suppongo
-1
@PlasmaHH: Le mamme non si adattano al modello standard ^^ questo trucco della busta è utilizzabile con quasi tutti gli altri
@PlasmaHH In realtà, questo illustra perfettamente il punto dell'inversione di ruolo: hai chiesto loro di non aprirlo, eppure * non hanno potuto resistere ad aprirlo comunque *!Hanno dimostrato che anche qualcuno di cui ti fidi può essere tentato!
@OlivierDulac Penso che sbagli la natura umana;[il proibito è sempre il più allettante] (https://en.wikiquote.org/wiki/Beauty_and_the_Beast_ (1991_film))
@PlasmaHH lol, perché hai fatto una busta reale?Presentalo invece come un esperimento mentale.
Penso che molte persone non capiranno neanche il secondo metodo.O diranno "perché l'hai fatto? TI ODIO! HAI ROVINATO LA MIA VITA!"ecc, o non faranno nulla e una settimana dopo si chiederanno perché non possono accedere a Facebook.In ogni caso, non penseranno ancora alla sicurezza.
@dbanet: perché no?Non è come se fosse costoso o giù di lì.E spesso le persone reagiscono in modo molto diverso in un esperimento mentale rispetto a quando si confrontano con la situazione reale
@immibis Non suggerisco di pubblicare effettivamente qualcosa su Twitter, quindi la vita di nessuno sarà rovinata.
Se fai la cosa della busta, meglio avere una pagina che dice in lettere giganti QUESTO È PERCHÉ NON DEVI DARE LE TUE PASSWORD A NESSUNO, NEMMENO A ME.
@Robin Penso che saranno ancora confusi.
[Non versare nulla su quella busta!] (Https://bitcoinpaperwallet.com/images/water-damage.jpg)
#2
+160
AnoE
2016-09-26 20:39:58 UTC
view on stackexchange narkive permalink

Questo post riguarda la comunicazione con persone che non hanno alcuna conoscenza tecnica o interesse; soprattutto le persone che hanno paura della tecnologia.

Non spiegare, non lamentarti

È incredibilmente difficile cambiare le altre persone, specialmente se sono laici IT e tu sono l'esperto.

Questo è lo stesso problema delle comunicazioni generali. Evita tutte le frasi che in qualche modo contengono "tu" e attieniti a "io". Non possono discutere contro "Io".

Esempio:

  • Loro: "Ecco la mia password, per favore configura il mio account Facebook per me."
  • Tu: "No, non prendo mai password da altre persone. Ma se effettui l'accesso, te le mostro."
  • Mentre la digitano, distogli lo sguardo.

È così semplice. È come essere un genitore / insegnante, non devi sempre spiegare tutto in grande dettaglio. Fallo con l'esempio.

Corollario

I laici IT spesso non sono interessati a ragioni tecniche o tecniche di sicurezza affatto . Li confonde (perché non hanno un background tecnico) e sono già stati raccontati loro molte cose confuse e allarmanti sulla sicurezza IT dalla loro TV o dai giornali. Quindi, cercare di forzare qualche spiegazione su di loro non fa nulla per la tua causa. Non li aiuterà e non ti aiuterà. Certo puoi provare a spiegare le cose se sono veramente interessate (con parole molto semplici), ma negli anni ho scoperto che anche provare a spiegare qualcosa in questo caso può fare più male che no. Di solito spiegherò cose in similitudini molto semplici (ad es. Email < => snailmail) e non entrerò nello specifico affatto .

Avendo visto la mia parte di occhi che inizia a velarsi quando parlo di dettagli tecnici, penso che questa sia la risposta migliore.Lascia che CHIEDANO il motivo se lo vogliono, altrimenti basta dare l'esempio.Ovviamente si fidano della tua conoscenza tecnica, quindi ora quando chiedono aiuto a qualcun altro dovrebbero aspettarsi lo stesso trattamento.
"Se effettui il login te lo mostro" funziona solo con i parenti con cui vivi, non con tua nonna che ti chiama da Dodgeville.Scriverle tutti i menu e i pulsanti su cui deve fare clic sarà una tortura per entrambi.
@DmitryGrigoryev: Utilizzare uno strumento di condivisione dello schermo remoto se possibile in quella situazione.Non copre tutto, ma aiuta a rimuovere una barriera e ti prepara ad allenarti, non solo a riparare.
@NeilSlater Questo è davvero un ottimo consiglio!Dire "Posso aiutarti, ma devi installare uno strumento di condivisione dello schermo" sembra un modo socialmente accettabile per rifiutarti di aiutare.
@DmitryGrigoryev: Skype, Google Hangouts e altre app di chat non richiedono installazioni aggiuntive per mostrare lo schermo e sono esattamente i tipi di app a cui tua nonna ha accesso.Non puoi controllare a distanza con queste app, ma puoi discutere e allenarti mentre sei in grado di vedere cosa sta succedendo e, soprattutto, non hai bisogno della password.
Uso una risposta simile quando le persone cercano di darmi una copia di materiale protetto da copyright, come una canzone.Chiedo loro di farmi ascoltare sul loro dispositivo e dico loro che se mi piace, comprerò la mia copia.
VSee * non * ha il telecomando.
Il problema con l'utilizzo di uno strumento di condivisione dello schermo che consente il controllo remoto (o anche QUALSIASI strumento che non fosse già installato) è che stai insegnando l'abitudine di dare il controllo remoto e l'esecuzione di codice arbitrario a persone a cui non darebbero la loro password di Facebook.Nella mia esperienza è meglio attenersi a ciò che è già installato o essere creativi.È stato più di una volta che ho letto da remoto i registri dei crash tramite FaceTime o più messaggi immagine.Soprattutto se il tuo familiare digita gli URL nella barra di ricerca e ottiene diversi link di download non affidabili che non possono dire sono inaffidabili ...
Interessante.Sarei corretto se riassumessi il tuo punto di vista dicendo "Evita qualsiasi argomento derivante dalla spiegazione delle tue ragioni e addestrali semplicemente, stile pavloviano, che questo è ciò che i buoni professionisti IT (/ parenti non pagati) fanno in questa situazione finché non smettono di fornire password? "
No, non sarebbe corretto, @Lilienthal (supponendo che tu intenda la mia risposta e non uno dei commenti).
@AnoE Forse ci ho letto troppo.Diresti che non dovresti preoccuparti di spiegare perché non è proprio il tuo posto?
@Lilienthal, no, non intendo implicare alcun tipo di rapporto inferio / superiore tra le persone coinvolte.Cioè, io come esperto non sono in alcun modo "migliore" di loro, né sono "inferiore".Le persone non tecniche sono spesso non tecniche perché l'argomento non le interessa;non li ha mai interessati e non lo saranno in futuro.Nelle situazioni in cui li sto aiutando (gratuitamente), le spiegazioni semplicemente non funzionano.Rifiutare semplicemente la password e fare ciò che sappiamo è giusto, dovrebbe essere sufficiente in una situazione del genere e * molto * meglio di atti meschini o qualsiasi altra cosa sia stata suggerita.
Non dimentichiamo che se qualcuno ti fornisce la propria password di Facebook, Google, Twitter ecc., Puoi utilizzare gli accessi Oauth su vari siti e servizi.Se si volesse fare un insegnamento un po 'innocuo (?), È possibile registrarli per una serie di servizi, giochi, ecc. Stupidi che inviano loro notifiche.
#3
+75
Peter - Reinstate Monica
2016-09-27 14:23:26 UTC
view on stackexchange narkive permalink

Abbastanza divertente, in realtà non accetto la tua premessa. In qualità di professionista IT puoi leggere le e-mail e altre comunicazioni di altre persone, eliminare le loro directory ecc. Fa parte del codice di condotta professionale non abusare della tua posizione. Le persone hanno fiducia nella tua integrità, allo stesso modo confida che i dipendenti della loro banca non rubino i loro soldi, anche se potrebbero.

La divulgazione di password ai professionisti IT rientra nella stessa categoria della divulgazione dei tuoi guadagni al tuo consulente fiscale o dei tuoi problemi di salute al tuo medico. Siamo professionisti a cui le persone si rivolgono per risolvere i problemi; ciò spesso non può essere fatto senza trasmettere informazioni sensibili.

Modifica: i membri della famiglia a cui hai accesso devono in ogni caso avere piena fiducia in te a causa della vecchia regola che un sistema a cui un avversario ha accesso fisico non può essere protetto in modo affidabile. Sarebbe relativamente facile per te installare un keylogger o monitorare il loro traffico WLAN. In effetti, si fidano già di te con le loro password, che ti piaccia o no.

Se non vuoi gestire i problemi IT dei tuoi familiari (allo stesso modo poiché non vorresti pagare le tasse se fossi un commercialista, o consigliarli sui loro problemi di salute se fossi un medico); se questo è il problema, fatti avanti e dillo. È un problema che tutti dobbiamo affrontare.

Su una nota più amichevole il tuo postare questa domanda mi fa fidare di te, paradossalmente :-).

Le "persone fidate" possono rivolgersi a persone che non sono l'OP e non professionisti IT.Cosa poi?
@topher La domanda inizia con "** i lavoratori IT ** di solito si fidano dei loro familiari ..." e termina chiedendo "Quale elenco di argomenti ... ** usi ** ...".Cosa fare nel * caso generale * è un campo ampio in cui parti della mia argomentazione possono o non possono essere applicate ... Le password, generalmente pronunciate, non sono diverse da altri dati sensibili di cui si può abusare e dovrebbero essere trattate con analoga cura.Non di più e non di meno.Ad esempio, dai ai membri della famiglia le chiavi di casa tua?La tua auto?La tua carta di credito?Accetteresti * qualcuno di questi?
Ho fatto +1 su questo messaggio, ma sono d'accordo con la premessa dell'OP che non dovrebbero fornire password alle persone IT.Il motivo è che avere l'abitudine di condividere le password fornisce un nuovo vettore di minacce: l'utente ora deve distinguere tra professionisti IT legittimi e professionisti illegittimi.Mettendo in chiaro che * i professionisti IT non hanno bisogno della tua password *, addestrano l'utente a essere allarmato se qualcuno lo richiede.Questa è una * buona * cosa e penso che non sia professionalmente etico sottrarsi alla responsabilità di addestrare le persone alle buone abitudini.
@jpmc26 Dovresti rispondere a questa domanda, è il motivo migliore per non condividere le password che ho visto su questa pagina finora.
@jpmc26 Capisco il tuo punto e in parte sono d'accordo.Ma penso che un po 'di assistenza IT sia più facile quando la persona IT può semplicemente accedere all'account dell'utente e fare cose (configurazione della posta Web, configurazione del server, persino servizi bancari online ...).Molti esempi in altre risposte riguardano l'accesso dell'utente e il personale IT che utilizza quella sessione, ma è difficile o impossibile da remoto.E la mia idea generale vale anche qui: se hai un cattivo giudizio su chi fidarti, sei comunque nei guai.
@PeterA.Schneider Dovrebbe esserci ancora un modo per farlo senza dover utilizzare la password personale dell'utente.Il nostro sistema lo chiama masquerading.
@Izkata Sì, dovrebbe, ma di solito non c'è.
Sono assolutamente in disaccordo con questo, ma suppongo che dipenda dall'azienda.Per la maggior parte delle aziende per cui ho lavorato, se qualcuno dell'IT avesse richiesto la password di un altro dipendente, sarebbe stato segnalato.Se lavorassi per un'azienda in cui l'IT aveva accesso alle mie e-mail, ai miei file o alla mia password, smetterei il primo giorno e non riesco a immaginare che molte aziende consentano l'accesso illimitato all'IT come sembri descrivere.O hanno accesso ma tutto è esplicitamente registrato in dettaglio o non hanno accesso e chiedono al dipendente di accedere e di supervisionarlo di persona.
@michael Re "If I work ...": "Snowden" suona un campanello?Non sei mai stato root su un server di posta o web?O solo su uno in cui i dischi e tutto il traffico erano crittografati?Anche se - l'amministratore di solito può reimpostare le password delle persone (anche se non può recuperarle) e quindi reimpostarle temporaneamente, quindi reimpostarle.Qualunque cosa.È difficile impedire a root di spiare.(È vero però che l'IT aziendale di solito non ha bisogno di una password, ma è perché * stanno facendo funzionare i dannati server! *) E inoltre, ** la domanda riguardava i membri della famiglia, ** non le installazioni aziendali sicure.
@michael Quindi, no, Mark Zuckerberg non ha bisogno della tua password per modificare le impostazioni del tuo account Facebook e Joel non ha bisogno della tua password SO per modificare o eliminare il tuo account o leggere i tuoi post cancellati qui.Se non ti piace, non usare Facebook o SO.Io, d'altra parte, ho bisogno della tua password per questo perché non gestisco quei server.
@michael Concludo dal tuo commento che non lavori in ambito IT o hai una buona conoscenza del funzionamento dei server di posta o dei database
Non sono assolutamente d'accordo.Avere accesso alle stesse risorse non dovrebbe essere equiparato alla violazione della promessa di identità fornita dalle password.È * la tua * password che identifica * te *, se qualcun altro cambia qualcosa, * il suo * nome dovrebbe apparire nel registro.
@DarrenH Ho lavorato nell'IT, nei server di posta elettronica e nei database, quindi se qualcuno non ha idea di come funzionano;chiaramente non hai idea di come impostarne uno in modo sicuro.E hai ragione, la domanda riguardava i membri della famiglia, ma io stavo rispondendo in modo specifico a "La divulgazione di password ai professionisti IT rientra nella stessa categoria della divulgazione dei tuoi guadagni al tuo consulente fiscale o dei tuoi problemi di salute al tuo medico".Se un familiare o un amico viene da te, verrà da te come una famiglia o un amico esperto di tecnologia, non un "professionista IT".
A meno che tu non stia lavorando in una piccola startup, nessuna azienda di dimensioni adeguate garantisce l'accesso illimitato e senza registrazione a un dipendente.Non sto discutendo se avere root su un server o un database potrebbe aggirare la necessità della password di qualcuno, il mio punto è se lavori per un'azienda in cui chiunque nell'IT può falsificarti senza lasciare traccia, wow.Ci sono raramente, se non mai, momenti in cui è necessario chiedere all'utente di dirti la propria password.Se pensi che sia necessario, ti chiedo vivamente di essere un "professionista IT".
@michael La NSA "di dimensioni adeguate" è sufficiente?(E abbastanza paranoico riguardo alla sicurezza e abbastanza intraprendente?)
#4
+38
Dmitry Grigoryev
2016-09-26 16:55:18 UTC
view on stackexchange narkive permalink

Basta cambiare la password dopo aver finito di aiutarli e inviare loro un link per la reimpostazione della password. Impareranno presto che è più facile tenere al sicuro le proprie password che ripristinarle.

In alternativa (ad es. Per un account di posta elettronica principale), è sufficiente cambiare la password con una forte e comunicargliela. Spiegare che si consiglia di modificare le password e utilizzare password generate dal computer. O impareranno a tenere la password per sé, o almeno insegnerai loro alcune buone pratiche.

La modifica della password combinata con una reimpostazione della password è innocua (IMO) ed educativa.Mi piace !
Penso che sia scortese e possibilmente illegale cambiare la password di qualcun altro su un sistema di terze parti senza il loro permesso, e in ogni caso potrebbero ripristinarla come prima, o qualcosa di molto simile.
@bdsl bene indovina un po ': è illegale accedere con la password di qualcun altro per cominciare.Se l'OP ha il tipo di parenti che potrebbero fargli causa, dovrebbe stare a un miglio di distanza da loro.
Per l'amor di dio, se lo fai ti preghiamo di conservare la password che hai impostato fino a quando non verificheranno di essere in grado di accedere all'email con cui hanno configurato il loro account, potresti eventualmente bloccarli permanentemente da qualcosa se non lo fannoNon conosco la loro password e-mail - Di solito questo non sarebbe un rischio, ma se sono il tipo che dà a tutti le password non sono esperti di tecnologia, e se non sono esperti di tecnologia non presumo nient'altro che il peggio.
@CaptainMan Oppure no.Un ballo con l'assistenza clienti di Facebook per recuperare un account perso sarebbe davvero molto istruttivo.
@WillihamTotland il problema è che quella classe di persone probabilmente creerebbe solo un altro account.Non si preoccupano dei TOS
@CaptainMan Aspetta, vuoi dire che se dai a qualcuno la tua password, * potrebbe * accadere qualcosa di brutto al tuo account?
@CaptainMan: Se stai trattenendo la nuova password, cosa è stato ottenuto con una reimpostazione della password?
@dotancohen La reimpostazione della password offre l'opportunità di cambiarla, in modo che la password nota all'OP non sia più valida.
@dotancohen In alternativa potresti semplicemente generare una password casuale (che è difficile da ricordare) e scriverla, darla al proprietario dell'account e, una volta che hanno confermato di averla, puoi distruggere la tua copia scritta (e non ricorderà la password perché è casuale).
@WillihamTotland più probabilmente, il tuo parente farebbe * tu * eseguire tale danza per loro.
#5
+13
mafu
2016-09-26 16:45:52 UTC
view on stackexchange narkive permalink

La conoscenza porta alla responsabilità. Immagina di avermi dato la tua password ...

Devo mantenere la tua password (che sembra essere beerbar2 ) segreta. La prossima volta che sono al bar della birra, devo evitare attivamente di pensarci, perché potrei rovesciarlo accidentalmente. Questo è mentalmente faticoso per me. Anche il fatto che io possa bere una birra in quella situazione non aiuta.

Devo anche fare attenzione a non confonderla con la password dell'altro mio amico, che ha scelto barbear3 e la dimentica regolarmente, quindi devo inviargli di nuovo la sua password.

Infine, se il mio computer viene infettato da qualche brutto estrattore di informazioni, la tua password finisce per essere collaterale. Probabilmente sono più attento di te a queste cose, ma è ovvio che la superficie aumenta.

Quindi, sì, ci fidiamo l'uno dell'altro a un certo livello, ma a meno che il nostro legame non sia così stretto che usiamo regolarmente l'account dell'altro, non voglio assumermi questa responsabilità aggiuntiva e non vuoi che la password sia meno sicura per definizione una volta condivisa.

Il punto è che spiegare a qualcuno che la condivisione della password è una cattiva idea non richiede di erodere la fiducia, il che sembra essere implicito in un'altra risposta.

#6
+8
Pete Danes
2016-09-28 13:09:01 UTC
view on stackexchange narkive permalink

Una cosa che potresti considerare di provare è: "Se ti fidi di me, allora fidati di me quando dico che non dovresti dare la tua password a NESSUNO".

Sì, ma non capiranno il motivo sottostante.
#7
+7
dotancohen
2016-09-26 20:17:56 UTC
view on stackexchange narkive permalink

Non dare loro l'opportunità di darti le loro password.

Per prima cosa, non fornire mai assistenza tecnica "gratuita per la famiglia" al telefono. È un modo rapido per rovinare una buona relazione. Fornire supporto tecnico solo di persona. Quindi, quando viene visualizzata la schermata di accesso, passa loro la tastiera. Lascia che inseriscano la password.

Rifiutare il supporto tecnico per telefono è un modo ancora più rapido.
Rifiutare del tutto il supporto tecnico è il modo più rapido.
@Cunningham'sLawyer Non intendevo consigliare come rovinare rapidamente le relazioni (nel qual caso andrei semplicemente dicendo "ti odio").Volevo dire che rifiutare il supporto tecnico per telefono non è sempre auspicabile.
Aspetta cosa?Se ti danno la password, smette di essere effettivamente supporto telefonico (che è un processo fastidioso suppongo) e puoi diagnosticare / riparare da remoto con molto meno sforzo.
#8
+7
David Yaw
2016-09-27 00:01:54 UTC
view on stackexchange narkive permalink

A che altro ti danno accesso?

Qualcuno che è disposto a condividere password probabilmente ha le stesse password per tutto. Fornendo la password di Facebook, danno anche accesso a tutte le email inviate, servizi bancari online , conti per pensionati online , ecc.

Si spera che la menzione della loro sicurezza finanziaria sia sufficiente a dissuaderli.

Certo, tutte le password saranno basate sulla data di nascita, ma spesso sono diverse.Dovrai indovinare quale separatore hanno usato per le operazioni bancarie e se hanno scritto il mese o meno;)
#9
+6
Stuart Woodward
2016-09-28 07:39:42 UTC
view on stackexchange narkive permalink

Una volta mi è stata data la chiave principale di un edificio come parte del mio lavoro e l'ho mostrata con orgoglio al mio manager. Ha detto che si rifiutava di averne uno. Quando ho chiesto perché, ha detto che, sebbene fosse utile, se qualcosa, come un furto con scasso, fosse accaduto in uno degli uffici chiusi a chiave, le persone che avevano la chiave principale sarebbero state sospette e lui non voleva quella responsabilità.

Penso che lo stesso valga per i membri della famiglia che condividono una password, chiunque abbia la password ora è corresponsabile di tutto ciò che accade con quell'account. Quindi dipende davvero da cosa puoi fare con l'account. Pubblicare su Facebook, Twitter ecc. Potrebbe distruggere la reputazione di una persona. I siti di acquisto e qualsiasi cosa a che fare con il denaro potrebbero essere utilizzati in modo fraudolento. Quindi, non la password in realtà diminuisce il tuo rischio di essere coinvolto in qualcosa relativo a quell'account da qualcun altro che è anche il proprietario della password.

Sono totalmente d'accordo con te, tuttavia i miei familiari "_fidati_ di me e so che, se qualcosa va storto, non sarò sospettato": /
Vero, ma questa è una situazione piuttosto diversa dall'aiutare lo zio Harry.
#10
+6
Konerak
2016-09-27 11:29:32 UTC
view on stackexchange narkive permalink

Offri loro un'alternativa.

Le persone ti stanno fornendo la loro password per un motivo. Vogliono che tu faccia qualcosa con esso. Scopri di cosa si tratta e trova un altro modo per farlo.

  1. Vogliono che tu esegua l'accesso e "faccia" qualcosa per loro ? Correggere, pubblicare, spiegare?

Invitali invece ad accedere e aiutali in seguito.Utilizza l'assistenza remota o il teamviewer per assumere il controllo del loro schermo, o abbastanza facilmente solo Skype per condividere lo schermo dove fare clic.

  1. Vogliono che tu abbia la password nel caso non possano accedere a un computer e l'account deve funzionare? Potrebbe essere in caso di morte o malattia o semplicemente un collega durante un periodo di vacanza.

Prima di tutto, lo stesso principio: prova a trovare un altro modo per fare quello che vogliono che tu faccia. Memorizza il muro di Facebook: ci sono procedure per farlo. Per un collega, forse il reparto IT può darti gli stessi diritti per fare ciò che può?

In secondo luogo, trova un'alternativa al possesso della password: fagliela inserire nel testamento o in un vault dove puoi accedervi ma vedranno che lo hai fatto quando accadrà.

In questo modo non _insegna_ loro perché questa è una cattiva pratica.
Puoi insegnare loro tutto ciò che vuoi, ma valuteranno sempre i vantaggi della condivisione contro i rischi della condivisione.Insegni loro i rischi.Il mio approccio cerca di dare anche loro dei benefici, senza rischi.Combina con i tuoi insegnamenti per la soluzione, imho.La mia obiezione a security.se è che troppo spesso le persone pensano "solo" in sicurezza, mentre sicurezza e usabilità vanno di pari passo.Bisogna sorvegliare entrambi, altrimenti le persone offrono sicurezza perché devono ancora soddisfare i loro bisogni ...
Capisco e sono d'accordo, diciamo solo che questa (buona) soluzione non risolve il problema esposto nella domanda ma lo affronta.
Ah, nessun problema.Tendo a pensare un po 'fuori dagli schemi.Se qualcuno chiede "come posso insegnare a mio figlio a non mangiare carne", non risponderò solo "spiegagli che gli animali provano dolore e hanno il diritto di vivere" ma anche "dagli qualcos'altro".Come puoi aspettarti che le persone non facciano A se non offri un'alternativa B?
D: Come puoi aspettarti che le persone non facciano A se non offri un'alternativa B?A: facendogli capire il rischio di fare A. Nessun problema per pensare fuori dagli schemi non preoccuparti;)
@Auzias: Assumersi rischi * inutilmente * è una cattiva pratica.Una parte fondamentale per dimostrare che assumersi un rischio particolare sarebbe una cattiva pratica sarebbe dimostrare che non è necessario.Peccato che molti siti web facciano molto meno di quanto potrebbero per rendere tali cose non necessarie (ad esempio, consentendo all'utente "fred" di creare un login alternativo "fred-xyz" con la propria password e l'autorità configurabile per eseguire varie azioni).
@Auzias Quindi hai due opzioni: "fai e dai a la tua password", o "non e non dare a la tua password".La seconda non è un'opzione praticabile perché non viene eseguita.Ora, se ci fosse una terza opzione, "fai e non dare a la tua password", allora potrebbero sceglierla, ma se non c'è, la prima dovrà fare.
@immibis: Esattamente.Se il proprietario di un account può autorizzare revocabilmente qualcuno con credenziali secondarie ad avere capacità a scelta del titolare dell'account, allora ci sarebbero poche ragioni per un titolare di account per rilasciare le credenziali primarie.Se qualcuno desidera consentire a un coniuge di leggere e rispondere alle e-mail, ma il provider di posta elettronica non consente a un account di avere due serie di credenziali di accesso, come dovrebbe essere gestita tale capacità senza condividere una password?
Le credenziali secondarie possono funzionare per alcuni casi d'uso (il tuo esempio di condivisione della posta è un esempio perfetto), ma raramente quando la persona ha bisogno di aiuto tecnico - probabilmente avrebbe bisogno di aiuto anche per impostare le credenziali secondarie.
#11
+4
Marc.2377
2016-09-30 08:47:27 UTC
view on stackexchange narkive permalink

Per questo tipo di situazioni uso per dire che "ho una politica personale di X".

Esempio:

"Ho una politica personale di non conoscere le password di altre persone. "

Se chiedono perché, risponderò:

" È semplicemente una decisione personale ".

Se insistono ancora (non comune), spetta a te fornire una spiegazione approfondita. In tal caso, i suggerimenti di altre risposte tornano utili. Quanto a me, il più delle volte dico semplicemente:

"Preferisco evitare di discuterne".

#12
+4
John Wu
2016-09-27 08:15:21 UTC
view on stackexchange narkive permalink

Aumenta la tua responsabilità legale

Nel caso di applicazioni finanziarie (come l'online banking), la condivisione delle password può comportare la rinuncia di alcuni diritti di recupero in caso di frode.

Potresti violare i tuoi termini di utilizzo

La condivisione della tua password online potrebbe essere considerata una violazione del tuo contratto con l'utente finale.

Potresti violare la legge

La condivisione delle password può essere un crimine federale in alcuni casi.

Pensi davvero che dire qualcosa come "Potresti violare i tuoi termini di utilizzo" li farà davvero riconsiderare?
Solo se sono avvocati
#13
+2
Adam D. Ruppe
2016-09-29 06:53:53 UTC
view on stackexchange narkive permalink

Basta convincerli a fare in modo che la password sia letteralmente un fatto imbarazzante su se stessi. Probabilmente sarà più sicuro delle tipiche password "myname1995", sarà meno dimenticabile e non vorranno condividerlo con nessuno a causa di ciò che dice! Rendila una frase come "Sono innamorato del mio migliore amico", eeek, vuoi davvero dirlo ad alta voce !? (anche se non lo renderei troppo sensibile per paura che qualche server malvagio lo trasmetta / memorizzi in testo normale e finisca allo scoperto in quel modo ... ma trovi il giusto equilibrio)

Quindi, ovviamente, fai notare che ciò a cui conduce probabilmente contiene segreti ancora più imbarazzanti che è davvero facile da vedere accidentalmente, anche senza intenzione. Immagina che il tuo tecnico sia connesso al tuo Facebook proprio nel momento in cui il tuo migliore amico ti invia un messaggio personale in chat. Si apre letteralmente, è difficile non guardare almeno il testo.

#14
+2
Tero Lahtinen
2016-09-29 16:48:40 UTC
view on stackexchange narkive permalink

Di solito dico "per favore, condividi le tue credenziali di Facebook con me, così posso scrivere post, sai che non ho il mio account Facebook". Funziona molto bene, almeno tutti hanno rifiutato.

#15
+2
Abhirath Mahipal
2016-09-29 11:23:35 UTC
view on stackexchange narkive permalink

Molte volte, uno significa tutto

Spiega loro che dare solo questa password ti renderà facile indovinare le password di altri account. La maggior parte delle persone utilizza la stessa password ovunque o una leggera variazione a seconda del sito web.

Cosa intendo per leggera variazione?
Di 'che tuo fratello John vuole darti la password del suo account Paypal e la sua password è "PJkfadkf! 1 ". Se hai altre sue password puoi facilmente intuire che P sta per Paypal e J per John. Quindi, secondo questa logica, la sua password di Facebook sarebbe "FJkfadkf! 1".


Un sacco di strumenti e disordine

Spiega loro che sei un professionista IT e usi molti strumenti. Non è umanamente possibile tenere traccia di tutti gli aspetti dettagliati di ogni strumento. Se uno di questi strumenti infettasse il tuo computer con un virus / malware, potresti metterli a rischio. Quindi spiega loro il primo punto.

Probabilmente si renderanno conto che stanno potenzialmente dando accesso a tutti i loro account online nel caso in cui tu perda accidentalmente la loro password.


Se è più giovane di te, puoi essere un po 'risoluto e negare di accettare la sua password.

Non devi essere scortese.


Approcci alternativi che ti permetteranno di accettare password.

Usa misure una tantum ove possibile. Esempio: - Prendi una password monouso.

In questo modo non puoi danneggiarli in alcun modo. Ho anche visto molti siti Web che forniscono un modo alternativo per accedere tramite collegamenti nelle e-mail. Forse potresti usare anche quelli.


Se devi prendere la loro password, chiedigli di cambiarla e poi dartela.

Non dimenticare di dire loro di cambiarlo dopo aver finito di utilizzare il loro account.

#16
+2
Lukas
2016-09-26 14:04:50 UTC
view on stackexchange narkive permalink

Le tue password sono private. E come altre informazioni private su di te, semplicemente non voglio saperlo.

Non ne parlerei molto, preferisco affermare che semplicemente non voglio ottenere queste informazioni e chiedere loro di digitarle da sole.

#17
+2
r41n
2016-09-27 16:56:12 UTC
view on stackexchange narkive permalink

Identità.

Ovviamente la sicurezza è la preoccupazione più urgente, ma prima che la sicurezza possa essere applicata, è necessario applicare l'identificazione. Le password proteggono identificando un utente, lasciandolo entrare e nessun altro, ecco perché di solito sono associati a un nome utente, quindi hanno lo stesso scopo del tuo ID o passaporto.

Non condividi il tuo ID, perché sfiderebbe lo scopo di averne uno .È come fare un intervento di chirurgia plastica sul viso e usare l'ID del tuo amico.

Proprio per questo motivo la maggior parte dei servizi online afferma anche nel proprio EULA che la condivisione dell'accesso al tuo account non è consentita e potrebbe potenzialmente portare all'account in fase di chiusura.

Molte persone condividono i propri ID per lo stesso motivo per cui condividono le proprie password.
Questo fallirà perché le password sono tipicamente utilizzate in una combinazione utente / password, e il modello mentale nella testa è che "utente" è la parte di identificazione.Gli utenti comuni NON associano una password all'identità.
Ebbene, il problema è cambiare il modello mentale degli utenti comuni.far capire loro perché non dovrebbero condividere le loro password.Se cambiano il loro modello mentale capiscono che la loro identità non è solo il nome utente, ma la combinazione di entrambi. Alla fine, ci sono un sacco di persone irragionevoli, apertamente stupide, là fuori.Se qualcuno non capisce che il concetto di identità va ben oltre la fiducia, non ha senso perdere tempo con quella persona, non capirà comunque il punto.
#18
+1
Paul Smith
2016-09-26 20:41:41 UTC
view on stackexchange narkive permalink

Ricorda loro che sono responsabili di tutto ciò che accade utilizzando la loro password, indipendentemente da chi l'abbia effettivamente fatto, e che preferiresti non mettere a repentaglio la tua reputazione se qualcosa dovesse andare storto.

#19
+1
HopefullyHelpful
2016-10-02 01:41:22 UTC
view on stackexchange narkive permalink

Se più di 1 persona di fiducia conosce la tua password, è più o meno anonima. In altre parole, se dici a 3 persone la tua password e una ne abusa, non puoi incolpare nessuno, perché è impossibile sapere quale delle 3 persone l'ha abusata, o è davvero difficile scoprirlo.

Inoltre, gli hacker possono rovinare la tua relazione anche se la condividi con 1 persona, perché la maggior parte delle persone non crede di essere mai stata hackerata, quindi sarà più probabile che incolpi quella persona che conosce la propria password, piuttosto che il proprio comportamento.

Un po 'come le persone sono più propense a dire: "Il mio computer è lento da quando hai installato quel videogioco Tom, questo non ha nulla a che fare con me che installo 50 barre degli strumenti con ogni installazione di freeware sul mio computer e fai clic ogni annuncio su Internet. "

Di quanto si possa dire:" Wow, quelle barre degli strumenti che ho installato hanno davvero rallentato il mio computer e grazie per quel videogioco Tom. "

#20
+1
Tom
2016-10-04 20:13:17 UTC
view on stackexchange narkive permalink

La mia solita risposta è fermarli immediatamente e dire

Non voglio saperlo.

Quindi la vera domanda posta qui segue, quanto al perché. Queste sono persone normali con cui sto parlando, quindi se entro nelle specifiche di InfoSec, probabilmente dovrò fare un discorso enorme, che in genere né io né loro vogliamo.

La risposta più breve che io " Ho scoperto che soddisfa la maggior parte delle persone è qualcosa sulla falsariga di:

Voglio essere sicuro che se succede qualcosa al tuo account, sai per certo che non sono stato io. So che ti fidi di me e lo apprezzo, ma se c'è un problema, ci sentiremo entrambi meglio se lo sapremo per certo. E comunque, dovresti sempre tenere per te le tue password personali, è una buona abitudine e ti risparmierà sicuramente problemi un giorno.

Non ha senso approfondire la fiducia o le possibili minacce o elaborare molto.

#21
+1
fgysin reinstate Monica
2019-11-20 18:35:39 UTC
view on stackexchange narkive permalink

Leggendo le altre risposte, mi aspetto che questa sia stata sottovalutata dalla comunità del reparto IT, ma abbi pazienza ...

Sfida dei frame : penso ci sono alcuni casi in cui la condivisione delle password con familiari fidati può avere senso. In un certo senso è come dare a qualcuno una copia delle chiavi di casa - in effetti è esattamente la stessa , secondo il vecchio adagio che l'accesso fisico a un computer lo renderà essenzialmente tuo computer (prendere le password sarà banale dopo di che).

Penso che sia importante capire il contesto della situazione in cui un membro della famiglia proverebbe a darti una password, lo stesso che con le chiavi di casa. Accetterei una chiave di casa o una password da un amico lontano o da un collega in ufficio? Certamente no. Ma ho un duplicato della chiave della casa dei miei genitori, perché mi hanno chiesto di conservarla. Perché non dovrei fare lo stesso per una password?

Ad esempio, i miei genitori essenzialmente condividono tra loro tutte le password. Sono stato in grado di farli utilizzare un gestore di password e la password principale per quel gestore li conosce entrambi. Perché? Perché a volte mio padre lo dimentica - e mia madre sa che è ancora meglio dell'alternativa, che sarebbe la password più semplice immaginabile scritta su un post-it attaccato al monitor ...

Hanno anche dato io una copia di quella password principale. Ora lo memorizzo in modo sicuro (su un disco crittografato in un gestore di password), allo stesso modo in cui memorizzo la loro chiave di casa, sperando che non ci sarà mai un motivo di emergenza per utilizzarlo.

Ai miei occhi questo si riduce a due del vecchio detto che "la sicurezza a scapito dell'usabilità va a scapito della sicurezza" . Condividere una password con parenti stretti può essere un modo più sicuro per gestire una situazione rispetto all'alternativa più probabile.

IMHO può essere più utile spiegare ai parenti che distribuire le password è essenzialmente come distribuire copie della chiave di casa . Puoi farlo in alcuni casi molto limitati con persone di cui ti fidi assolutamente al 100%, ma solo allora e devi essere consapevole delle potenziali conseguenze se questa fiducia viene abusata.

#22
  0
Perkins
2016-09-27 02:25:58 UTC
view on stackexchange narkive permalink

Nella maggior parte dei casi, fornire la password a qualcun altro costituisce una violazione dei Termini di servizio del sito. Nella maggior parte dei casi, una violazione dei Termini di servizio richiede di eliminare l'account e non utilizzare mai più il servizio. In alcune giurisdizioni continuare ad accedere all'account in violazione dei Termini di servizio è reato "Computer Hacking" e può mettere in prigione tutte le parti coinvolte.

Per favore, non rendetemi un complice delle accuse di "hacking". Se mi dai la tua password sarò costretto a segnalarlo ai manutentori del sito e far chiudere il tuo account.

Per gli scettici: https://ilt.eff.org/index .php / Computer_Fraud_and_Abuse_Act_% 28CFAA% 29 http://www.tomsguide.com/us/obama-cfaa-revisions-infosec,news-20330.html https: / /en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act

Da quando "hackerare" è un crimine?Sono abbastanza fiducioso che circa il 20% degli altri utenti di questo sito abbia una certificazione CEH, li metterebbe in prigione?Io credo di no.
Del resto una violazione dei TOS non sarebbe una questione di diritto contrattuale?
Da quando il Computer Fraud and Abuse Act: accesso in violazione di TOS = accesso non autorizzato.Accesso non autorizzato a una macchina coinvolta in qualsiasi forma di commercio o comunicazione interstatale o internazionale = crimine.Hanno seriamente messo le persone in prigione per violazioni di TOS, anche quando tutte le azioni sul sistema erano altrimenti legali.Ovviamente questo non si applica alle persone che sono state assunte dal proprietario del sistema per testare la sicurezza, purché rimangano entro i limiti del test concordato.
Il problema è che visitare un sito Web senza ottenere l'autorizzazione preventiva è un accesso non autorizzato ai sensi della legge statunitense, proprio come entrare in un server governativo di alto livello.Ciò accade prima ancora che tu abbia la possibilità di inserire la password.La legge è scritta così male che non viene presa alla lettera e viene applicata selettivamente.
@AlexCannon Oh, sono abbastanza d'accordo, la legge è stupida.Ma questo lo rende ancora più efficace per spaventare gli utenti a non darti le loro password.
Wow, i voti negativi su questa domanda sono così assurdi!
@MatthewElvey Lo so.Non sono sicuro che sia perché pensano che sia maleducato o perché pensano che le leggi sull'hacking siano stupide.Ma non ho mai dovuto avvertire nessuno più di una volta con questa tattica.Dire che se ti danno la loro password li segnalerai e il loro account verrà cancellato è dannatamente efficace anche se è piuttosto schietto.Meglio iniziare un po 'più educato però.
#23
  0
Alex Cannon
2018-02-27 05:01:17 UTC
view on stackexchange narkive permalink

Puoi sempre dire alla persona che non ti fidi della sicurezza del tuo computer e che sarebbe meglio non conoscere la password poiché digitandola sul tuo computer potrebbe comportare la compromissione dell'account da parte di spammer Internet e simili . Penso che sarebbe un modo molto ragionevole ed educato per rifiutare.

Molte cose brutte che possono accadere quando dici a qualcuno la tua password non sono perché la persona è disonesta e usa in modo improprio la tua password, è perché non ne sanno abbastanza per usarlo in modo sicuro e qualcun altro finisce per farci qualcosa di brutto.

#24
-1
r0ug3Pr0gRam3r
2016-09-29 11:15:43 UTC
view on stackexchange narkive permalink

Puoi sempre fornire una spiegazione informativa sulla fuga di dati e sulla tensione che imporrebbe alla tua relazione.

Ad esempio:

Loro : puoi aiutarmi? La mia password è ...
Tu : posso aiutarti, ma per favore non dirmi / passami / ecc la tua password.
// chiedi loro di digitarla o qualcosa del genere / /
Tu : sappiamo tutti che condividere le password è un male, ma se un'azienda, come la tua banca, venisse compromessa, le tue informazioni e la tua password potrebbero essere divulgate al pubblico. Se dovesse accadere qualcosa, non vorrei che pensassi che l'ho usato in modo improprio o l'ho perso .

Lo scenario sopra può essere modificato nel modo in cui conversi con la persona, ma ottieni il punto.

Questo ha funzionato per me in passato con amici e familiari. Parli di banca o qualcosa di simile e attira la loro attenzione.

Ho evidenziato quella che penso sia la linea più importante.Questa è effettivamente una buona idea.
#25
-1
user1751825
2016-09-30 06:07:08 UTC
view on stackexchange narkive permalink

Non dovrebbe essere necessario condividere una password per un account di social media, perché il proprietario di questo account dovrebbe essere in grado di gestirlo da solo.

Quando viene richiesta assistenza, sarei propenso a indirizzare a un tutorial online adatto. Se non sono in grado di seguire i tutorial, mi chiedo se sono in grado di utilizzare in sicurezza il servizio.

#26
-6
John K
2016-09-28 23:43:02 UTC
view on stackexchange narkive permalink

In realtà non c'è niente di sbagliato nella condivisione delle password. Per le applicazioni non critiche per la sicurezza (cioè: la maggior parte delle cose per la maggior parte delle persone, probabilmente tutto tranne l'apparato finanziario) è una questione di convenienza, utilità e ragionevole fiducia.

Sembra che la parte a cui tieni veramente sia che abusino della tua esperienza e che tu voglia avere un modo legittimo per dire "no, non posso farlo perché XYZ". In tal caso, dì loro che il TOS di quel servizio vieterà alle persone di condividere l'account, il che è probabilmente vero in molti casi.

La domanda riguarda la spiegazione dei rischi di una tale cattiva pratica.Tu stesso suggerisci che c'è un problema con la condivisione di password per applicazioni critiche, il che significherebbe che c'è un motivo legittimo per istruire.
Risposta molto scarsamente considerata.Tutti i servizi online devono essere trattati come riservati.Gli account dei social media non sicuri possono essere dirottati per furto di identità e / o pubblicazione di materiale illegale e dannoso.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...