Domanda:
Devo dire al mio capo che ho scoperto le loro password e sono troppo deboli?
sysfiend
2017-02-02 22:31:45 UTC
view on stackexchange narkive permalink

Ho un lavoro temporaneo, quindi non mi danno alcuna password per accedere ai siti e alle risorse di cui ho bisogno. Invece, mi dicono di passare a un altro computer dove si trova un dipendente normale e dove ogni password è già impostata e salvata nel browser.

Devo essere onesto, sono entrato nel router (poiché stanno utilizzando le credenziali predefinite) per ottenere la password WiFi in modo da poterla utilizzare sul mio telefono e ho scoperto che aveva molto a che fare con il attività svolta dall'azienda ( ad esempio, se fosse un ristorante, la password sarebbe coffe123 ). Con questo in mente, volevo solo vedere se lo stesso pattern è stato utilizzato per altri tipi di risorse come l'indirizzo email, gli account di hosting, ecc. E sì, lo erano.

Quando si registra un altro dominio con un nuovo account, ho indovinato la password vedendo il mio capo digitare lentamente sulla tastiera e, di nuovo, debole come f *.

Devo dirglielo? Temo di poter finire nei guai per essere troppo in agguato.

Giusto per chiarire: non è una grande azienda, siamo solo pochi dipendenti e nessuno di loro tranne me sa di computer e sicurezza, quindi non c'è modo di segnalare il problema in modo anonimo o contattare un amministratore di sistema o un addetto IT.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/53101/discussion-on-question-by-sysfiend-should-i-tell-my-boss-i-have-discovered-loro).
Dovresti cercare su Google "randal schwartz criminale convinzione" e prendere molto seriamente tutti gli avvertimenti che le persone ti hanno dato qui.La sua situazione era molto simile alla tua.
Penso che questa domanda sarebbe più in argomento in Workplace.stackexchange.com
Quattordici risposte:
#1
+162
Denis
2017-02-02 23:15:13 UTC
view on stackexchange narkive permalink

Sebbene non vi siano dubbi sul fatto che le password deboli siano un problema per la tua azienda, ti sconsiglio vivamente di parlare al tuo capo delle cose che hai fatto.

La tua azienda ha deciso di non concedere l'accesso a lavoratori temporanei a siti e risorse per un motivo. Non solo hai ottenuto l'accesso non autorizzato alla LAN wireless indovinando la password del router, ma hai anche esteso tale accesso sondando le credenziali con altre risorse - Risorse per le quali non avresti dovuto avere la password. Quindi sostanzialmente hai fatto surf con il tuo capo.

Anche se sembrano esserci dei difetti nella tua politica dei datori di lavoro riguardo all'accesso alle risorse aziendali e alle loro politiche sulle password, tutte queste cose potrebbero essere considerate "hacking" dal tuo datore di lavoro ed erano decisamente al di fuori della tua autorizzazione.

Se fossi in te, disconnetterei la WLAN e chiederei la password al tuo datore di lavoro se vuoi accedervi. A parte questo, dovresti smettere di provare a utilizzare le password di altre persone su qualsiasi punto di accesso solo "per vedere se è stato utilizzato lo stesso modello". A seconda del sistema legale dei paesi coinvolti, puoi benissimo affrontare problemi legali per questo tipo di atti.

Quindi cosa dovresti fare con le informazioni che hai?
Se il tuo datore di lavoro ti fornisce una password per un servizio o una risorsa, potresti far notare che, ad es quella password sarebbe facilmente indovinabile per altre persone. Tuttavia, non menzionerei direttamente l'altra password qui.
Se il tuo capo sembra interessato, potresti offrirti volontario per ricercare le migliori pratiche per le password per l'azienda. Se fanno sul serio, eliminerai le tue preoccupazioni.
Se in azienda c'è una persona IT, potresti sottoporgli queste preoccupazioni poiché probabilmente comprenderà meglio la necessità di una policy per le password sicure.

la curiosità ha ucciso il gatto, dicono ... Volevo solo indagare un po ', non si intendeva fare del male.
Posso sicuramente vedere il punto da cui vieni e penso che molte persone proveranno la stessa curiosità.Credo anche che tu non volessi fare del male.Altri che guardano a questo con un'altra mentalità, tuttavia, spesso si sentiranno diversi, il che sfortunatamente ha causato molti problemi a molte persone in passato.
Mi dispiace anche avere questa conoscenza e non dire loro nulla in modo che possano essere hackerati da un cattivo in qualsiasi momento ..
Prova invece a sentirti in colpa per aver acquisito quella conoscenza.(scusa, questo non ti fa sentire meglio) Se avessi un buon rapporto con il datore di lavoro, confesserei e condividerei la conoscenza, ma nel tuo caso, sembra che questo approccio si ritorcerebbe contro.
La curiosità non solo uccide il gatto, può farti licenziare anche ieri :)
@HankyPanky Non solo licenziato, ma almeno negli Stati Uniti, può anche farti mandare in prigione.
@sysfiend Dici che non è stato fatto alcun male, ma conosco qualcuno che è stato quasi licenziato per aver scoperto un bug in un sito web interno.Non stava facendo nulla di malevolo, stava usando il sito web e lo ha trovato e un altro gruppo ha cercato di farlo licenziare per "hackeraggio" del loro sito web.
@sysfiend Dovresti leggere il [Computer Fraud and Abuse Act] (https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act) rispettivamente informarti sulle leggi del tuo paese in merito al problema in questione.tldr: Se sei negli Stati Uniti, probabilmente tecnicamente hai commesso un ** crimine ** a seconda delle circostanze.Essere licenziato per giusta causa sarebbe l'ultima delle tue preoccupazioni a quel punto.Non succederà in questo caso, ma devi capire che l'accesso ai sistemi informatici senza autorizzazione è un reato molto grave.
"Non solo hai ottenuto un accesso non autorizzato alla LAN wireless indovinando la password del router ..." O più probabilmente, provando password probabili finché una non ha funzionato.Non è il genere di cose di cui si dovrebbe ammettere, sebbene qualsiasi tentativo non valido possa ancora essere registrato da qualche parte.
Cosa voleva sapere il gatto?
@Denis Credo che la tua risposta sarebbe (e dovrebbe) essere rafforzata da un riferimento alla condanna per reato di Randal Schwartz per attività sorprendentemente simili agli OP.L'OP ha probabilmente capito questo da tutti i commenti qui, ma i futuri lettori probabilmente leggeranno la tua risposta e sarebbe bene avvertirli del reale pericolo che affrontano anche se offrono volontariamente le informazioni e non intendono fare del male.
@voo Ricordo che ci sono alcune persone che hanno esplicitamente bot che fondamentalmente hackerano siti Web utilizzando metodi semplici o comuni e, quando ci riescono, si offrono di informare il proprietario del sito Web dell'hack / vulnerabilità per denaro.È una situazione molto simile, quindi se fossero negli Stati Uniti, stanno commettendo un crimine in questo modo, oa che punto sono / sarebbero?
#2
+40
Serge Ballesta
2017-02-03 01:17:37 UTC
view on stackexchange narkive permalink

A meno che tu non abbia ricevuto un mandato esplicito o implicito (*) per farlo, provare a indovinare le password per accedere a risorse che non ti sono state concesse è un'azione ostile, anche se le password sono banali o scritto in un posto che non avresti dovuto leggere. Se trovi un volantino con "Riservato - riservato alle persone autorizzate" sulla copertina e lo leggi comunque, è anche un'azione ostile.

Il massimo che puoi fare è nel caso del volantino di dire "Ho visto lì un documento confidenziale, che qualcuno potrebbe leggere senza che nessun altro se ne accorga. Contiene davvero informazioni sensibili e in caso affermativo non dovrebbe essere conservato in un luogo più sicuro?" -> significa che ho visto un possibile problema di sicurezza e ti ho avvisato ma ho rispettato il marchio riservato .

O se hai scoperto la password di un collega (e se la seguente storia è possibile): "Ehi, dovevo accedere a un computer, stavo pensando a qualcos'altro e ho inserito una password che uso a casa. Poi ho capito che ero connesso il tuo account. Mi sono disconnesso immediatamente, ma dovresti davvero cambiare la password per un account professionale "


* Il mandato può essere implicito se sei responsabile della valutazione della sicurezza generale. Ma in tal caso dovresti chiedere se puoi continuare non appena hai scoperto una password banale.

La storia dell'ultimo paragrafo potrebbe applicarsi se la password semplice è qualcosa come 123456, ma se è [prodotto dell'azienda] 123 non è più plausibile che l'OP utilizzi quella password a casa.
#3
+29
TessellatingHeckler
2017-02-03 12:20:34 UTC
view on stackexchange narkive permalink

Dico più o meno la stessa cosa degli altri, ma questo potrebbe davvero essere un problema legale per te (non sono un avvocato). Nel Regno Unito (*) un atto rilevante è il Computer Misuse Act 1990 che dice all'inizio:

1 Accesso non autorizzato al materiale informatico.

(1) Una persona è colpevole di un reato se—

(a) fa sì che un computer svolga una qualsiasi funzione con l'intento di proteggere l'accesso a qualsiasi programma o dato contenuto in qualsiasi computer

(b) l'accesso che intende proteggere [F2, o consentire di essere protetto,] non è autorizzato; e

(c) sa nel momento in cui fa eseguire al computer la funzione che è così.

i.e. se vuoi provare ad accedere a tutto ciò che sai che non dovresti.

La sottosezione 2 dice che non importa quale computer, quali dati o che tipo di dati , niente lo rende OK.

La sottosezione 3 dice:

(3) Una persona colpevole di un reato ai sensi di questa sezione sarà responsabile—

(a) su condanna sommaria in Inghilterra e Galles, alla reclusione per un periodo non superiore a 12 mesi o a una multa non superiore al massimo previsto dalla legge o ad entrambi;

E poi la sezione 2 del act dice Accesso non autorizzato con l'intento di commettere o facilitare la commissione di ulteriori reati. - hai commesso un atto di accesso non autorizzato (ottenendo l'accesso al router) in modo da poter commettere un altro atto di accesso non autorizzato (accesso wifi).

In uno dei tuoi commenti, dici

nessun danno deve essere fatto

Ma la sezione 3 dell'atto è Atti non autorizzati con l'intento di compromettere, o con sconsideratezza quanto a compromettere, il funzionamento del computer, ecc. - anche se non intendi danneggiare, se agisci in modo sconsiderato, è sufficiente. L'unione di un dispositivo personale (telefono) non protetto, sconosciuto e non autorizzato alla rete aziendale "potrebbe" metterli a rischio di tutti i tipi di cryptolocker blah blah.

Posso fortemente dubitare che questo si applicherà in modo forzato a qualcuno in una piccola impresa che accede a un router, ma se vogliono discuterne, hai accettato un lavoro temporaneo, sei entrato nella loro rete, nella loro email, nel loro dominio / hosting di siti Web, ha messo a rischio la propria rete e quindi il funzionamento della propria azienda, e chissà quali furti, ricatti, estorsioni o danni si intendeva commettere.

E quel che è peggio, non capiscono l'IT, non sono interessati a quanto sia divertente o curioso, o quanto siano state serie o banali le tue azioni, se prendono la parte sbagliata del bastone non ti starà bene.

Devo dire al mio capo che le loro password sono troppo cattive?

Sì, dovresti . Ma non farlo a meno che tu non abbia motivo di pensare che lo prenderanno bene. E a loro dovrebbe interessare. Ma non lo fanno. E non è la tua azienda e non è un tuo problema. Se mostrano interesse, suggerisci perché (in linea di principio) le password del browser memorizzate sono rischiose, o gli account condivisi sono rischiosi o le password semplici sono rischiose.

Se non ci sono backup, incoraggiali ad avere dei backup. "Salve, stavo leggendo questa notizia su GitLab che ha quasi perso 300 GB di dati e mi ha fatto pensare che non abbiamo buoni backup qui: potremmo impostarne uno per $ xyz, cosa pensi? "

(*) Sono disponibili altre giurisdizioni.

http://www.theregister.co.uk/2005/10/06/tsunami_hacker_convicted/ - caso reale in cui qualcuno è stato perseguito e ritenuto colpevole per aver fatto molto meno di quanto descritto qui ...
Le leggi sono simili negli Stati Uniti, anche se variano a seconda dello stato.
@Chris L'accesso non autorizzato ai computer negli Stati Uniti può essere facilmente un crimine, quindi le leggi negli Stati Uniti sono generalmente ancora più gravi della versione britannica per come la leggo io (per un esempio estremo vedere il caso di Aaron Swartz in cui la violazione della stessa legge ilOP è colpevole ha comportato più conteggi di crimini e un'esposizione criminale massima fino a 50 anni di carcere).
Ho scansionato questa risposta abbastanza rapidamente e ho perso la parte su un massimo di una frase di 12 mesi.Con "Le leggi sono simili" non stavo deducendo nulla sulla gravità della punizione.
@ChrisSchneider Non ho citato tutto, i reati in diverse sezioni dell'atto che ho collegato hanno punizioni diverse.I reati che provocano o rischiano "gravi danni al benessere umano o alla sicurezza nazionale" possono arrivare alla "reclusione a vita".
Sulla parte non dannosa da fare: i sistemi legali generalmente non si preoccupano della nozione di mancanza di intenti dannosi, ma solo che uno statuto è stato infranto.
È ironico che l'uso di minacce legali per coprire la scarsa sicurezza non faccia altro che * peggiorare * la sicurezza contro i veri attori ostili.
Con le password salvate nel browser, mi chiedo se fare clic sul pulsante "mostra password" immediatamente disponibile nelle impostazioni del browser conta come uso improprio del computer ...
Sì, il Computer Fraud and Abuse Act potrebbe * facilmente * essere invocato qui.Ci sono molte volte negli Stati Uniti in cui le nostre leggi di "hacking" sono state applicate anche in [circostanze più stupide] (https://en.wikipedia.org/wiki/Aaron_Swartz#JSTOR).
#4
+22
One big regret
2017-02-05 23:19:11 UTC
view on stackexchange narkive permalink

Una volta, quando ero giovane, mi sono messo praticamente nella tua stessa situazione. Mi sono stufato di un lavoro temporaneo e ho iniziato a sondare i punti deboli della sicurezza. Ho provato a farla finita inviando un'e-mail anonima all'amministratore di sistema, che si è ritorta contro nei seguenti modi:

  • Sono andati fuori di testa, pensando che la minaccia provenisse inizialmente dall'esterno dell'azienda.
  • Hanno setacciato i log di sistema, interrogato e quasi licenziato uno dei miei colleghi di cui ero amico e che non aveva nulla a che fare con nulla.
  • Alla fine mi hanno rintracciato e mi hanno licenziato.
  • / li>
  • Sono stato molto fortunato che non abbiano fatto peggio.

La parte in cui il mio amico è stato quasi licenziato mi ha spaventato. Nella mia arroganza, ero completamente inconsapevole di eventuali danni collaterali che potevo causare. Inoltre, ciò che mi ha sorpreso è stato quando sono stato chiamato in quella stanza per essere licenziato, come le persone spaventate erano di me. Respingi qualsiasi pensiero tu abbia sulle persone che rispondono razionalmente.

Il mio suggerimento è interrompere immediatamente l'utilizzo di qualsiasi accesso non autorizzato. Se davvero non puoi fare il tuo lavoro senza una password, segnalalo e se ti danno quella password, fai notare quanto sia debole. Oltre a questo, lascia perdere. So che è difficile. Un giorno sarai in una posizione migliore per influenzare questo tipo di politiche. Devi solo essere paziente.

Non sono ancora sicuro di aver bisogno di un accesso wifi sul suo cellulare.Sta facendo la sicurezza, ma decide di entrare nel router senza permesso, in modo da poter ottenere la password wifi per connettere il suo cellulare (ovvero un dispositivo non protetto) alla rete aziendale e molto probabilmente senza permesso?
forse avresti dovuto essere onesto prima ?!divertito dalla parte spaventata, però!
Solo per curiosità, il tuo nome utente è in relazione a ciò che hai descritto?Inoltre, +1, buona risposta.Bello e onesto da parte tua condividere.
Non sei uscito quando hanno iniziato a indagare?Avrei potuto evitare di sparare.
#5
+15
Sinc
2017-02-03 03:31:44 UTC
view on stackexchange narkive permalink

Non iniziare parlando delle password non sicure. Inizia invece sottolineando che non è una pratica sicura per te utilizzare il computer di un altro dipendente per accedere ai sistemi perché mette a rischio i dati dell'altro utente (di un incidente anche se non sei dannoso o ficcanaso come te). Cerca di convincerli che sarebbe più sicuro darti le password di cui hai bisogno per svolgere il tuo lavoro. Sarebbe anche più efficiente poiché non dovresti bloccare il lavoro dell'altro utente. Se vogliono che tu abbia accesso, dovrebbero darti quell'accesso. Se funziona, puoi commentare le password non sicure che ti rivelano. Se sono preoccupati che tu sappia le password dopo che te ne sei andato, possono cambiarle in quel momento.

#6
+10
Chenmunka
2017-02-03 00:25:15 UTC
view on stackexchange narkive permalink

La maggior parte delle aziende di qualsiasi dimensione dispone di un meccanismo mediante il quale è possibile effettuare segnalazioni anonime di illeciti da parte di membri del personale. Può essere definita l'integrità di un sistema di segnalazione della conformità.

Questo tipo di segnalazione è incoraggiato per proteggere l'azienda da rivelazioni più dannose.

Vorrei verificare se il tuo datore di lavoro dispone di un tale sistema e, in caso affermativo, lo userei. Segnala i nomi delle persone coinvolte e, se lo ritieni opportuno, anche la password che stanno utilizzando.

Dove lavoro, tali rapporti sono incoraggiati. Aiuterai l'azienda a proteggere i suoi dati senza rischi per te stesso.

È un'azienda davvero piccola e io sono l'unico con una conoscenza del computer.Anche se tale politica esistesse, sarei smascherato.
Non consiglierei di segnalare le password effettivamente utilizzate.Se sono le password predefinite, sarà ovvio.Se sono necessarie ulteriori indagini, non si desidera che le persone "testino" le password degli account di gestione.
E una grande azienda può controllare i registri e capire se qualcuno di recente si trovava su quella parte della rete senza autorizzazione.Pessima idea essere anonimi dopo aver commesso un crimine.Ehi poliziotti, qualcuno sta guidando ubriaco sull'autostrada 64 in questo momento .... aspettatemi.
@blankip Qualsiasi piccola azienda degna di un maledetto controllerebbe anche i suoi registri lol.
#7
+5
JMK
2017-02-03 20:33:45 UTC
view on stackexchange narkive permalink

Devo dire al mio capo che le sue password sono troppo cattive?

Quando lavoro a un progetto e mi viene fornita la password di un server / router, ecc. e è una cattiva password Dirò sempre qualcosa e consiglio di utilizzare password più sicure / un gestore di password ecc.

Penso che questa sia una cosa ragionevole da fare.

Con questo in mente, volevo solo vedere se lo stesso schema è stato utilizzato per altri tipi di risorse come l'indirizzo e-mail, gli account di hosting, ecc. e sì, lo erano.

Sì, sicuramente non farlo. È contro la legge e potresti finire con una fedina penale sporca se il tuo datore di lavoro lo scoprisse.

#8
+4
eV-
2017-02-02 23:35:18 UTC
view on stackexchange narkive permalink

Dicendo loro che finiresti per rivelare le azioni che hai intrapreso per ottenere tali informazioni e che potrebbero metterti nei guai.

Se vuoi istruirli sull'importanza di password complesse potrebbe essere in grado di farlo senza divulgare ciò che sai.

#9
+4
symcbean
2017-02-03 04:11:03 UTC
view on stackexchange narkive permalink

Anche se sono d'accordo con gli altri sul fatto che sei andato troppo oltre nel sondare la sicurezza e che non dovresti dire al tuo datore di lavoro delle password / dei sistemi che hai compromesso, penso che tu abbia la responsabilità di dire loro che le loro pratiche di sicurezza sembrano essere poveri e chiedi il loro permesso per indagare ulteriormente.

(ma assicurati di avere il permesso per iscritto, fuori sede prima di andare avanti)

#10
+3
Bwinzey
2017-02-04 10:59:50 UTC
view on stackexchange narkive permalink

Onestamente, tutto dipende dalla personalità del tuo capo e da quanto vi conoscete / vi fidate l'uno dell'altro. Ci sono molti datori di lavoro a cui non importa di meno dei loro dipendenti e che trarrebbero vantaggio da tale situazione facendoti causa, ma allo stesso tempo ce ne sono molti che sarebbero molto grati per questo consiglio e ti farebbero amicizia per fare un lavoro extra.

Potresti dire qualcosa sulla falsariga di "Stavo guardando i tutorial sulla sicurezza della rete e mi chiedevo se il sistema qui avesse tali difetti" o, in caso contrario, potresti trovare un dipendente affidabile che lo dica, il che probabilmente sarebbe più accettato dal tuo capo.

E infine, c'è sempre l'approccio del non dire niente e fai semplicemente il tuo lavoro, fatti gli affari tuoi e dimenticalo. Sembra sbagliato, ma oggigiorno ci sono troppe persone cattive che vogliono trarre vantaggio da azioni veramente buone (come evidenziare i difetti nella sicurezza di un'azienda) che non vale davvero la pena rischiare di andare in prigione e pagare multe per aver cercato di essere un gentile persona.

L'unico che può fare una mossa sei tu, e tutto dipende da quanto è buono il tuo giudizio sulla personalità delle persone.

#11
+2
wam
2017-02-05 04:51:50 UTC
view on stackexchange narkive permalink

E infine, c'è sempre l'approccio del non dire niente e fai semplicemente il tuo lavoro, fatti gli affari tuoi e dimenticalo. Sembra sbagliato, ma oggigiorno ci sono troppe persone cattive che vogliono trarre vantaggio da azioni veramente buone (come evidenziare i difetti nella sicurezza di un'azienda) che non vale davvero la pena rischiare di andare in prigione e pagare multe per aver cercato di essere un gentile persona.

Ed è esattamente quello che dovresti fare. Se dici una parola, anche un suggerimento, a qualcuno - chiunque !, non solo il capo, o altri in quell'azienda - stai mettendo la tua sicurezza e libertà nelle sue mani. Tieni la bocca chiusa, fai il tuo lavoro e vai da qualche altra parte a lavorare dopo aver concluso il tuo contratto. La tua situazione è pericolosa . I pubblici ministeri vengono ricompensati per il numero di condanne, non per il male dell'autore.

Non sono sicuro del motivo per cui qualcuno dovrebbe votare in negativo, è esattamente corretto.
#12
+2
Ron Zepplin
2017-02-06 01:22:43 UTC
view on stackexchange narkive permalink

Dipende dalla personalità del tuo capo. È intelligente, intelligente e comprensivo? Se sì, allora puoi dirglielo. Questa non sarà la causa per licenziarti o degradarti per caso. Invece, potresti essere ricompensato per il tuo talento e chissà, potrebbe essere anche una promozione.

Ma se la personalità del tuo capo è piuttosto ordinaria, allora dimenticalo.

#13
+1
Kryštof Píštěk
2017-02-05 20:10:36 UTC
view on stackexchange narkive permalink

Prova a chiedere loro la password, a causa di blah blah blah. Se sanno che conosci la password, puoi dire loro che non è sicura e, molto probabilmente, accetteranno di cambiarla! E poiché hai ottenuto la password in modo "corretto", sarai FINE.

#14
-1
satibel
2017-02-07 16:43:17 UTC
view on stackexchange narkive permalink

Nota: prendi tutto ciò che è stato detto con le pinze, sto cercando di fornire un punto sul motivo per cui potresti non aver bisogno di una sicurezza elevata, ma ciò non significa che non dovresti avere alcuna sicurezza.


Potrei fare l'avvocato del diavolo qui, ma la sicurezza è un rischio contro una ricompensa.

Quindi avere una password debole potrebbe non comportare molto, nel peggiore dei casi alcune ore di rallentamento se qualcuno ottiene l'accesso al sistema IT.

Ma lui dimentica la password "h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% µ454" e / o perde 5-10 minuti al giorno inserendola e essere frustrato perché sbaglia un paio di volte sarebbe probabilmente peggio a lungo termine.

Quello che voglio dire è che a volte siamo coinvolti in una paranoia della sicurezza e dimentichiamo che il rischio che qualcuno sia disposto ad attaccare l'azienda non è molto in alto, e anche un guasto IT completo può significare solo dover tornare alla carta per pochi giorni.


Per quanto riguarda come gestirlo, suggerisco di parlare casualmente con il tuo capo della sicurezza IT e se dimagrisce ks è importante o no. Puoi discutere se i tuoi punti tengono.

Se il tuo capo concorda sul fatto che la sicurezza IT è importante, potresti chiedergli se puoi indagare per vedere se ci sono problemi con la sicurezza. Fai quello che hai fatto, coscienziosamente e riferiscigli via e-mail ogni problema che trovi, quale rischio significa e come / quanto risolverlo.

La maggior parte delle volte arrivano i problemi con la sicurezza IT non da fonti esterne, ma da (ex) dipendenti con rancore, quindi probabilmente è per questo che non vuole che tu ottenga le password.

"Quello che voglio dire è che a volte siamo presi da una paranoia per la sicurezza e dimentichiamo che il rischio che qualcuno sia disposto ad attaccare l'azienda non è molto alto".È necessaria una buona dose di paranoia.Se fosse banale per OP indovinare questa password, sarà banale per un attaccante.
"* Il più delle volte i problemi con la sicurezza IT non provengono da fonti esterne, ma da (ex-) dipendenti con rancore *" è l'unica cosa che sono d'accordo con te.Come puoi dire "* anche un guasto IT completo può ** solo ** dover tornare alla carta per alcuni giorni *" ?.Lmao
@JᴀʏMᴇᴇ Ma "esiste un attaccante" è la prima domanda.E il secondo è "quale sarebbe il peggio che l'attaccante può fare".Non sto dicendo che sia sbagliato preoccuparsi della sicurezza, anche se potrei aver enfatizzato un po 'troppo il mio punto di vista.ma la maggior parte delle piccole imprese non deve preoccuparsi più di tanto della sicurezza IT.Ovviamente se i tuoi rischi sono più di un improbabile rallentamento dovuto a qualcuno all'interno, potresti preoccupartene. Ecco perché suggerisco di fare un brainstorming con il capo su ciò che è veramente necessario per quanto riguarda la sicurezza IT.Ottenere password migliori dovrebbe essere una conclusione facile.
@sysfired bene, dove lavoro, ci affidiamo molto all'IT, ma abbiamo un piano B per tutto e possiamo far funzionare tutto su carta e umani. Non sono sicuro di cosa faccia la tua azienda, quindi non posso dire che sia fattibile per la tua, ma se fai qualcosa come un ristorante (per fare il tuo esempio), puoi comunque portare i clienti al registro su una nota,anche se il tuo sistema di registrazione e il tuo sito web sono inattivi.Se sei un'azienda che funziona solo su siti Web, probabilmente non è fattibile.
@satibel potrebbe non esserci mai un utente malintenzionato ma, se sì?Inoltre, se irrompe nella sicurezza di un'azienda che non ha alcuna politica sulle password di alcun tipo, avrebbe accesso almeno a conti bancari, paypal e hosting.Non si tratta di portare a termine il lavoro, si tratta di proteggere i soldi ei dati dell'azienda
@sysfired Quindi, se un utente malintenzionato può ottenere l'accesso a questi account, QUESTO È un problema di sicurezza, un motivo per cui qualcuno vuole irrompere in primo luogo e dovrebbe essere un argomento per avere una maggiore sicurezza. Anche se vieni attaccato e quegli account vengono presi, probabilmente puoi tornare ad accedere a quegli account, cambiare le password e riavere i tuoi soldi in meno di un mese (probabilmente anche una settimana, dato che si tratta di un'azienda).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...