Il modo carino ed educativo

Questo è un po 'simile al tuo terzo punto elenco.

Nessun altro dovrebbe conoscere la tua password, nemmeno le persone di cui ti fidi. Questo è l'unico modo per essere sicuro che solo tu hai accesso al tuo account. Diciamo che mi dai la tua password di Facebook e una settimana dopo iniziano a diffondersi voci su quello che hai fatto a Las Vegas l'anno scorso.

Solo poche persone di cui ti fidi lo sanno, e beh, potenzialmente io dato che ho il tuo Password di Facebook. Se ciò accade, non voglio essere un sospetto. Non voglio trovarmi nella posizione in cui ogni incidente relativo alla privacy che ti accade potrebbe essere stato causato da me.

Fornire informazioni che non dovrebbero avere a persone di cui ti fidi può finire per distruggere invece quella fiducia di rafforzarlo.

Se contrastato con "ma mi fido davvero di te completamente", evidenzia che la persona si fida completamente anche di Eve e Mark, le uniche due persone al mondo che conoscono Incidente a Las Vegas, e se la parola viene fuori chiaramente, qualcuno di cui si fidava deve aver infranto la fiducia. Un messaggio chiave è questo:

Non voglio far parte di tutti i tuoi segreti.

Se necessario, inventare una bugia bianca su un un tuo amico che si è messo nei guai in uno scenario simile per renderlo più concreto.

Il modo meno carino ed educativo

Insegnare alle persone a non condividere la propria password, Pubblico tutte le password che le persone mi danno su Twitter. Nessuna eccezione. Se mi dai la tua password di Facebook, entro cinque minuti sarà su Twitter insieme al tuo nome utente. [Apri Twitter e preparati a digitare.]

Se vuoi ancora darmelo, va bene, ma sei stato avvertito.

Questa probabilmente non è una buona idea poiché non dovresti fare minacce che non sei pronto a consegnare e non dovresti mantenere questa minaccia. Ma a volte sono tentato ...

Invertire i ruoli

A volte è più facile capire la posizione di qualcun altro se si invertono i ruoli. Dai alla persona una busta sigillata e dì questo:

Questa busta contiene un'informazione che rovinerebbe completamente la mia carriera, il mio matrimonio, la mia vita se mai venisse fuori. Devi tenere questa busta per sempre e assicurarti che nessuno, te compreso, veda mai cosa c'è dentro.

Ma non preoccuparti, mi fido completamente di te.

Quando si rifiutano di prendere la busta, spiega che non vuoi nemmeno la loro password di Facebook.

Questo post riguarda la comunicazione con persone che non hanno alcuna conoscenza tecnica o interesse; soprattutto le persone che hanno paura della tecnologia.

Non spiegare, non lamentarti

È incredibilmente difficile cambiare le altre persone, specialmente se sono laici IT e tu sono l'esperto.

Questo è lo stesso problema delle comunicazioni generali. Evita tutte le frasi che in qualche modo contengono "tu" e attieniti a "io". Non possono discutere contro "Io".

Esempio:

• Loro: "Ecco la mia password, per favore configura il mio account Facebook per me."
• Tu: "No, non prendo mai password da altre persone. Ma se effettui l'accesso, te le mostro."
• Mentre la digitano, distogli lo sguardo.

È così semplice. È come essere un genitore / insegnante, non devi sempre spiegare tutto in grande dettaglio. Fallo con l'esempio.

Corollario

I laici IT spesso non sono interessati a ragioni tecniche o tecniche di sicurezza affatto . Li confonde (perché non hanno un background tecnico) e sono già stati raccontati loro molte cose confuse e allarmanti sulla sicurezza IT dalla loro TV o dai giornali. Quindi, cercare di forzare qualche spiegazione su di loro non fa nulla per la tua causa. Non li aiuterà e non ti aiuterà. Certo puoi provare a spiegare le cose se sono veramente interessate (con parole molto semplici), ma negli anni ho scoperto che anche provare a spiegare qualcosa in questo caso può fare più male che no. Di solito spiegherò cose in similitudini molto semplici (ad es. Email < => snailmail) e non entrerò nello specifico affatto .

Abbastanza divertente, in realtà non accetto la tua premessa. In qualità di professionista IT puoi leggere le e-mail e altre comunicazioni di altre persone, eliminare le loro directory ecc. Fa parte del codice di condotta professionale non abusare della tua posizione. Le persone hanno fiducia nella tua integrità, allo stesso modo confida che i dipendenti della loro banca non rubino i loro soldi, anche se potrebbero.

La divulgazione di password ai professionisti IT rientra nella stessa categoria della divulgazione dei tuoi guadagni al tuo consulente fiscale o dei tuoi problemi di salute al tuo medico. Siamo professionisti a cui le persone si rivolgono per risolvere i problemi; ciò spesso non può essere fatto senza trasmettere informazioni sensibili.

Modifica: i membri della famiglia a cui hai accesso devono in ogni caso avere piena fiducia in te a causa della vecchia regola che un sistema a cui un avversario ha accesso fisico non può essere protetto in modo affidabile. Sarebbe relativamente facile per te installare un keylogger o monitorare il loro traffico WLAN. In effetti, si fidano già di te con le loro password, che ti piaccia o no.

Se non vuoi gestire i problemi IT dei tuoi familiari (allo stesso modo poiché non vorresti pagare le tasse se fossi un commercialista, o consigliarli sui loro problemi di salute se fossi un medico); se questo è il problema, fatti avanti e dillo. È un problema che tutti dobbiamo affrontare.

Su una nota più amichevole il tuo postare questa domanda mi fa fidare di te, paradossalmente :-).

Basta cambiare la password dopo aver finito di aiutarli e inviare loro un link per la reimpostazione della password. Impareranno presto che è più facile tenere al sicuro le proprie password che ripristinarle.

In alternativa (ad es. Per un account di posta elettronica principale), è sufficiente cambiare la password con una forte e comunicargliela. Spiegare che si consiglia di modificare le password e utilizzare password generate dal computer. O impareranno a tenere la password per sé, o almeno insegnerai loro alcune buone pratiche.

La conoscenza porta alla responsabilità. Immagina di avermi dato la tua password ...

Devo mantenere la tua password (che sembra essere beerbar2 ) segreta. La prossima volta che sono al bar della birra, devo evitare attivamente di pensarci, perché potrei rovesciarlo accidentalmente. Questo è mentalmente faticoso per me. Anche il fatto che io possa bere una birra in quella situazione non aiuta.

Devo anche fare attenzione a non confonderla con la password dell'altro mio amico, che ha scelto barbear3 e la dimentica regolarmente, quindi devo inviargli di nuovo la sua password.

Infine, se il mio computer viene infettato da qualche brutto estrattore di informazioni, la tua password finisce per essere collaterale. Probabilmente sono più attento di te a queste cose, ma è ovvio che la superficie aumenta.

Quindi, sì, ci fidiamo l'uno dell'altro a un certo livello, ma a meno che il nostro legame non sia così stretto che usiamo regolarmente l'account dell'altro, non voglio assumermi questa responsabilità aggiuntiva e non vuoi che la password sia meno sicura per definizione una volta condivisa.

Il punto è che spiegare a qualcuno che la condivisione della password è una cattiva idea non richiede di erodere la fiducia, il che sembra essere implicito in un'altra risposta.

Una cosa che potresti considerare di provare è: "Se ti fidi di me, allora fidati di me quando dico che non dovresti dare la tua password a NESSUNO".

Non dare loro l'opportunità di darti le loro password.

Per prima cosa, non fornire mai assistenza tecnica "gratuita per la famiglia" al telefono. È un modo rapido per rovinare una buona relazione. Fornire supporto tecnico solo di persona. Quindi, quando viene visualizzata la schermata di accesso, passa loro la tastiera. Lascia che inseriscano la password.

A che altro ti danno accesso?

Qualcuno che è disposto a condividere password probabilmente ha le stesse password per tutto. Fornendo la password di Facebook, danno anche accesso a tutte le email inviate, servizi bancari online , conti per pensionati online , ecc.

Si spera che la menzione della loro sicurezza finanziaria sia sufficiente a dissuaderli.

Offri loro un'alternativa.

Le persone ti stanno fornendo la loro password per un motivo. Vogliono che tu faccia qualcosa con esso. Scopri di cosa si tratta e trova un altro modo per farlo.

1. Vogliono che tu esegua l'accesso e "faccia" qualcosa per loro ? Correggere, pubblicare, spiegare?

Invitali invece ad accedere e aiutali in seguito.Utilizza l'assistenza remota o il teamviewer per assumere il controllo del loro schermo, o abbastanza facilmente solo Skype per condividere lo schermo dove fare clic.

2. Vogliono che tu abbia la password nel caso non possano accedere a un computer e l'account deve funzionare? Potrebbe essere in caso di morte o malattia o semplicemente un collega durante un periodo di vacanza.

Prima di tutto, lo stesso principio: prova a trovare un altro modo per fare quello che vogliono che tu faccia. Memorizza il muro di Facebook: ci sono procedure per farlo. Per un collega, forse il reparto IT può darti gli stessi diritti per fare ciò che può?

In secondo luogo, trova un'alternativa al possesso della password: fagliela inserire nel testamento o in un vault dove puoi accedervi ma vedranno che lo hai fatto quando accadrà.

Una volta mi è stata data la chiave principale di un edificio come parte del mio lavoro e l'ho mostrata con orgoglio al mio manager. Ha detto che si rifiutava di averne uno. Quando ho chiesto perché, ha detto che, sebbene fosse utile, se qualcosa, come un furto con scasso, fosse accaduto in uno degli uffici chiusi a chiave, le persone che avevano la chiave principale sarebbero state sospette e lui non voleva quella responsabilità.

Penso che lo stesso valga per i membri della famiglia che condividono una password, chiunque abbia la password ora è corresponsabile di tutto ciò che accade con quell'account. Quindi dipende davvero da cosa puoi fare con l'account. Pubblicare su Facebook, Twitter ecc. Potrebbe distruggere la reputazione di una persona. I siti di acquisto e qualsiasi cosa a che fare con il denaro potrebbero essere utilizzati in modo fraudolento. Quindi, non la password in realtà diminuisce il tuo rischio di essere coinvolto in qualcosa relativo a quell'account da qualcun altro che è anche il proprietario della password.

Aumenta la tua responsabilità legale

Nel caso di applicazioni finanziarie (come l'online banking), la condivisione delle password può comportare la rinuncia di alcuni diritti di recupero in caso di frode.

Potresti violare i tuoi termini di utilizzo

La condivisione della tua password online potrebbe essere considerata una violazione del tuo contratto con l'utente finale.

Potresti violare la legge

La condivisione delle password può essere un crimine federale in alcuni casi.

Per questo tipo di situazioni uso per dire che "ho una politica personale di X".

Esempio:

"Ho una politica personale di non conoscere le password di altre persone. "

Se chiedono perché, risponderò:

" È semplicemente una decisione personale ".

Se insistono ancora (non comune), spetta a te fornire una spiegazione approfondita. In tal caso, i suggerimenti di altre risposte tornano utili. Quanto a me, il più delle volte dico semplicemente:

"Preferisco evitare di discuterne".

Le tue password sono private. E come altre informazioni private su di te, semplicemente non voglio saperlo.

Non ne parlerei molto, preferisco affermare che semplicemente non voglio ottenere queste informazioni e chiedere loro di digitarle da sole.

Identità.

Ovviamente la sicurezza è la preoccupazione più urgente, ma prima che la sicurezza possa essere applicata, è necessario applicare l'identificazione. Le password proteggono identificando un utente, lasciandolo entrare e nessun altro, ecco perché di solito sono associati a un nome utente, quindi hanno lo stesso scopo del tuo ID o passaporto.

Non condividi il tuo ID, perché sfiderebbe lo scopo di averne uno .È come fare un intervento di chirurgia plastica sul viso e usare l'ID del tuo amico.

Proprio per questo motivo la maggior parte dei servizi online afferma anche nel proprio EULA che la condivisione dell'accesso al tuo account non è consentita e potrebbe potenzialmente portare all'account in fase di chiusura.

Basta convincerli a fare in modo che la password sia letteralmente un fatto imbarazzante su se stessi. Probabilmente sarà più sicuro delle tipiche password "myname1995", sarà meno dimenticabile e non vorranno condividerlo con nessuno a causa di ciò che dice! Rendila una frase come "Sono innamorato del mio migliore amico", eeek, vuoi davvero dirlo ad alta voce !? (anche se non lo renderei troppo sensibile per paura che qualche server malvagio lo trasmetta / memorizzi in testo normale e finisca allo scoperto in quel modo ... ma trovi il giusto equilibrio)

Quindi, ovviamente, fai notare che ciò a cui conduce probabilmente contiene segreti ancora più imbarazzanti che è davvero facile da vedere accidentalmente, anche senza intenzione. Immagina che il tuo tecnico sia connesso al tuo Facebook proprio nel momento in cui il tuo migliore amico ti invia un messaggio personale in chat. Si apre letteralmente, è difficile non guardare almeno il testo.

Molte volte, uno significa tutto

Spiega loro che dare solo questa password ti renderà facile indovinare le password di altri account. La maggior parte delle persone utilizza la stessa password ovunque o una leggera variazione a seconda del sito web.

Cosa intendo per leggera variazione?
Di 'che tuo fratello John vuole darti la password del suo account Paypal e la sua password è "PJkfadkf! 1 ". Se hai altre sue password puoi facilmente intuire che P sta per Paypal e J per John. Quindi, secondo questa logica, la sua password di Facebook sarebbe "FJkfadkf! 1".

Un sacco di strumenti e disordine

Spiega loro che sei un professionista IT e usi molti strumenti. Non è umanamente possibile tenere traccia di tutti gli aspetti dettagliati di ogni strumento. Se uno di questi strumenti infettasse il tuo computer con un virus / malware, potresti metterli a rischio. Quindi spiega loro il primo punto.

Probabilmente si renderanno conto che stanno potenzialmente dando accesso a tutti i loro account online nel caso in cui tu perda accidentalmente la loro password.

Se è più giovane di te, puoi essere un po 'risoluto e negare di accettare la sua password.

Non devi essere scortese.

Approcci alternativi che ti permetteranno di accettare password.

Usa misure una tantum ove possibile. Esempio: - Prendi una password monouso.

In questo modo non puoi danneggiarli in alcun modo. Ho anche visto molti siti Web che forniscono un modo alternativo per accedere tramite collegamenti nelle e-mail. Forse potresti usare anche quelli.

Se devi prendere la loro password, chiedigli di cambiarla e poi dartela.

Non dimenticare di dire loro di cambiarlo dopo aver finito di utilizzare il loro account.

Di solito dico "per favore, condividi le tue credenziali di Facebook con me, così posso scrivere post, sai che non ho il mio account Facebook". Funziona molto bene, almeno tutti hanno rifiutato.

Ricorda loro che sono responsabili di tutto ciò che accade utilizzando la loro password, indipendentemente da chi l'abbia effettivamente fatto, e che preferiresti non mettere a repentaglio la tua reputazione se qualcosa dovesse andare storto.

Se più di 1 persona di fiducia conosce la tua password, è più o meno anonima. In altre parole, se dici a 3 persone la tua password e una ne abusa, non puoi incolpare nessuno, perché è impossibile sapere quale delle 3 persone l'ha abusata, o è davvero difficile scoprirlo.

Inoltre, gli hacker possono rovinare la tua relazione anche se la condividi con 1 persona, perché la maggior parte delle persone non crede di essere mai stata hackerata, quindi sarà più probabile che incolpi quella persona che conosce la propria password, piuttosto che il proprio comportamento.

Un po 'come le persone sono più propense a dire: "Il mio computer è lento da quando hai installato quel videogioco Tom, questo non ha nulla a che fare con me che installo 50 barre degli strumenti con ogni installazione di freeware sul mio computer e fai clic ogni annuncio su Internet. "

Di quanto si possa dire:" Wow, quelle barre degli strumenti che ho installato hanno davvero rallentato il mio computer e grazie per quel videogioco Tom. "

La mia solita risposta è fermarli immediatamente e dire

Non voglio saperlo.

Quindi la vera domanda posta qui segue, quanto al perché. Queste sono persone normali con cui sto parlando, quindi se entro nelle specifiche di InfoSec, probabilmente dovrò fare un discorso enorme, che in genere né io né loro vogliamo.

La risposta più breve che io " Ho scoperto che soddisfa la maggior parte delle persone è qualcosa sulla falsariga di:

Voglio essere sicuro che se succede qualcosa al tuo account, sai per certo che non sono stato io. So che ti fidi di me e lo apprezzo, ma se c'è un problema, ci sentiremo entrambi meglio se lo sapremo per certo. E comunque, dovresti sempre tenere per te le tue password personali, è una buona abitudine e ti risparmierà sicuramente problemi un giorno.

Non ha senso approfondire la fiducia o le possibili minacce o elaborare molto.

Leggendo le altre risposte, mi aspetto che questa sia stata sottovalutata dalla comunità del reparto IT, ma abbi pazienza ...

Sfida dei frame : penso ci sono alcuni casi in cui la condivisione delle password con familiari fidati può avere senso. In un certo senso è come dare a qualcuno una copia delle chiavi di casa - in effetti è esattamente la stessa , secondo il vecchio adagio che l'accesso fisico a un computer lo renderà essenzialmente tuo computer (prendere le password sarà banale dopo di che).

Penso che sia importante capire il contesto della situazione in cui un membro della famiglia proverebbe a darti una password, lo stesso che con le chiavi di casa. Accetterei una chiave di casa o una password da un amico lontano o da un collega in ufficio? Certamente no. Ma ho un duplicato della chiave della casa dei miei genitori, perché mi hanno chiesto di conservarla. Perché non dovrei fare lo stesso per una password?

Ad esempio, i miei genitori essenzialmente condividono tra loro tutte le password. Sono stato in grado di farli utilizzare un gestore di password e la password principale per quel gestore li conosce entrambi. Perché? Perché a volte mio padre lo dimentica - e mia madre sa che è ancora meglio dell'alternativa, che sarebbe la password più semplice immaginabile scritta su un post-it attaccato al monitor ...

Hanno anche dato io una copia di quella password principale. Ora lo memorizzo in modo sicuro (su un disco crittografato in un gestore di password), allo stesso modo in cui memorizzo la loro chiave di casa, sperando che non ci sarà mai un motivo di emergenza per utilizzarlo.

Ai miei occhi questo si riduce a due del vecchio detto che "la sicurezza a scapito dell'usabilità va a scapito della sicurezza" . Condividere una password con parenti stretti può essere un modo più sicuro per gestire una situazione rispetto all'alternativa più probabile.

IMHO può essere più utile spiegare ai parenti che distribuire le password è essenzialmente come distribuire copie della chiave di casa . Puoi farlo in alcuni casi molto limitati con persone di cui ti fidi assolutamente al 100%, ma solo allora e devi essere consapevole delle potenziali conseguenze se questa fiducia viene abusata.

Nella maggior parte dei casi, fornire la password a qualcun altro costituisce una violazione dei Termini di servizio del sito. Nella maggior parte dei casi, una violazione dei Termini di servizio richiede di eliminare l'account e non utilizzare mai più il servizio. In alcune giurisdizioni continuare ad accedere all'account in violazione dei Termini di servizio è reato "Computer Hacking" e può mettere in prigione tutte le parti coinvolte.

Per favore, non rendetemi un complice delle accuse di "hacking". Se mi dai la tua password sarò costretto a segnalarlo ai manutentori del sito e far chiudere il tuo account.

Per gli scettici: https://ilt.eff.org/index .php / Computer_Fraud_and_Abuse_Act_% 28CFAA% 29 http://www.tomsguide.com/us/obama-cfaa-revisions-infosec,news-20330.html https: / /en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act

Puoi sempre dire alla persona che non ti fidi della sicurezza del tuo computer e che sarebbe meglio non conoscere la password poiché digitandola sul tuo computer potrebbe comportare la compromissione dell'account da parte di spammer Internet e simili . Penso che sarebbe un modo molto ragionevole ed educato per rifiutare.

Molte cose brutte che possono accadere quando dici a qualcuno la tua password non sono perché la persona è disonesta e usa in modo improprio la tua password, è perché non ne sanno abbastanza per usarlo in modo sicuro e qualcun altro finisce per farci qualcosa di brutto.

Puoi sempre fornire una spiegazione informativa sulla fuga di dati e sulla tensione che imporrebbe alla tua relazione.

Ad esempio:

Loro : puoi aiutarmi? La mia password è ...
Tu : posso aiutarti, ma per favore non dirmi / passami / ecc la tua password.
// chiedi loro di digitarla o qualcosa del genere / /
Tu : sappiamo tutti che condividere le password è un male, ma se un'azienda, come la tua banca, venisse compromessa, le tue informazioni e la tua password potrebbero essere divulgate al pubblico. Se dovesse accadere qualcosa, non vorrei che pensassi che l'ho usato in modo improprio o l'ho perso .

Lo scenario sopra può essere modificato nel modo in cui conversi con la persona, ma ottieni il punto.

Questo ha funzionato per me in passato con amici e familiari. Parli di banca o qualcosa di simile e attira la loro attenzione.

Non dovrebbe essere necessario condividere una password per un account di social media, perché il proprietario di questo account dovrebbe essere in grado di gestirlo da solo.

Quando viene richiesta assistenza, sarei propenso a indirizzare a un tutorial online adatto. Se non sono in grado di seguire i tutorial, mi chiedo se sono in grado di utilizzare in sicurezza il servizio.

In realtà non c'è niente di sbagliato nella condivisione delle password. Per le applicazioni non critiche per la sicurezza (cioè: la maggior parte delle cose per la maggior parte delle persone, probabilmente tutto tranne l'apparato finanziario) è una questione di convenienza, utilità e ragionevole fiducia.

Sembra che la parte a cui tieni veramente sia che abusino della tua esperienza e che tu voglia avere un modo legittimo per dire "no, non posso farlo perché XYZ". In tal caso, dì loro che il TOS di quel servizio vieterà alle persone di condividere l'account, il che è probabilmente vero in molti casi.