Domanda:
Sono un consulente IT. Devo scoraggiare un cliente dal dirmi la sua password?
unforgettableidSupportsMonica
2013-06-07 11:29:05 UTC
view on stackexchange narkive permalink

Sono un consulente IT. Un cliente mi conosce da alcuni anni. Vuole che lavori di nuovo sul laptop dei suoi figli. Dovrò accedere all'account utente di Windows dei suoi figli. (Immagino che più bambini condividano un account.)

Questa volta vuole lasciare la macchina con me. Vorrà dirmi la password dei bambini ( "piano A" ): si fida di me. Ma non voglio che si abitui a pratiche insicure come la condivisione di password con consulenti IT.

Potrei proporre e spingere un "piano B" :

  • Cambia la password dei bambini con una nuova password temporanea.
  • Accedo, eseguo il lavoro, quindi forzo una modifica della password all'accesso successivo.

Oppure potrei spingerlo a crearmi un account in modo da poter seguire un "piano C" :

  • Reimposto la password dei bambini.
  • Accedo, eseguo il lavoro, quindi forzo una modifica della password all'accesso successivo.

Tuttavia, voglio che sia felice e non voglio lui a perdere tempo o denaro. Non voglio spingerlo verso il piano B o il piano C a meno che non sia assolutamente necessario. Mi chiedo:

  1. È davvero così brutto per lui dirmi solo la password dei bambini? Se non va bene, spiega perché e, se possibile, cita una fonte.

  2. (Facoltativo :) Dico sempre ai clienti una tariffa oraria. Ma ultimamente, sto fatturando di minuto in minuto. Se scegliamo il piano C, è etico da parte mia fatturargli i minuti extra che mi ci vorranno?

In qualche modo correlato: ["È consentito comunicare o fornire la password a un amministratore?"] (Http://security.stackexchange.com/questions/5539/is-it-ok-to-tell-or-give-your -password-to-an-admin)
Dopo 5 anni in cui la mia ragazza voleva che usassi i suoi account, alla fine ho rinunciato e ho provato a costringerla a cambiare la password ogni volta dopo. Puoi resistere per così tanto tempo ... Dopo un po ', diventa un po' troppo d'intralcio, e se le persone non vogliono cambiare le loro abitudini ... Anche se immagino che nel tuo caso ci sia una maggiore responsabilità e causa legale problema di superficie ...
Inoltre, i tuoi piani B e C non sono così diversi dal piano A. Potresti aver fatto molte cose brutte mentre hai accesso con il Piano B e avresti bisogno di diritti sufficienti per fare ciò che vuoi sull'account del bambino comunque con il piano C. Fai solo ciò che semplifica la vita del ragazzo, se non temi le questioni legali. Tuttavia, non farlo per un laptop aziendale.
Vorrei solo andare con il piano C: ottenere la password per l'account amministratore, dirgli che dovevi reimpostare tutte le password per eseguire la manutenzione e reimpostare le password su stringhe casuali di 32 caratteri. Quindi, quando restituisci il laptop, fagli sapere come reimpostare le password su qualcosa di più facile da ricordare, insieme alle linee guida su come scegliere password più sicure. A meno che tu non stia fatturando in incrementi di 5 minuti, non posso immaginare che sarebbe tempo fatturabile.
Se hai accesso fisico alla sua macchina, la password di Windows non è così rilevante. È una questione banale usare Cain & Abel o anche qualcosa come un live CD di Linux per bypassare il login e accedere a tutti i file di ogni account.
Ruda.almeida, puoi dirmi come useresti Cain e Able per questo tipo di recupero della password? Non sto cercando di dire che non puoi recuperare una password per una macchina a cui hai accesso fisico. Ci sono molti strumenti per questo, semplicemente non vedo come Cain and Able sia lo strumento giusto per quel particolare lavoro. Intendiamoci, sono passati molti anni dall'ultima volta che ho usato C&A, ma l'ultima volta che ho guardato era una rete, uno strumento Man-in-the-middle.
Sono diventato molto bravo a dimenticare le password.
Otto risposte:
#1
+51
Adi
2013-06-07 11:48:34 UTC
view on stackexchange narkive permalink

Il problema non è con questa situazione in particolare. Valutiamo la situazione qui:

  • Sei una persona affidabile per loro
  • La password molto probabilmente protegge dati banali

Darti la password non è un grosso problema in questo caso. Il problema (come hai affermato nella tua domanda) è che gli hai fatto prendere l'abitudine di fornire password.

Sicuramente seguirò il piano B. Perché?

  • In questo caso è il miglior compromesso tra sicurezza e praticità.

  • Gli insegnerà a non condividere la password, soprattutto se la lezione proviene da una persona affidabile per lui.

  • Ti farà sembrare ancora più professionale e mostrerà il tuo interesse per la sicurezza del tuo cliente.

  • Non Non so, potrebbe spargere la voce su questa situazione e in un modo che tu potresti contribuire a una migliore comprensione della sicurezza (in questo tipo di situazioni) nella sua cerchia di amici / familiari.

Per quanto riguarda la tua seconda domanda, non credo di essere la persona migliore per rispondere, ma direi di no. Se qualcosa ti richiede 2-3 minuti ed è ovviamente banale rispetto a un altro compito (riparare qualunque cosa non va con il computer) non fatturare effettivamente al cliente i 3 minuti extra di lavoro. Non fa sembrare nessuno bello.

La ringrazio per la risposta. 1. Cosa succede se risponde: "Mi fido di te e non voglio preoccuparmi di cambiare la password?" 2. La fattura conterrà solo una voce: qualcosa come "Servizi informatici". Ho intenzione di misurare i minuti che il lavoro mi impiega dall'inizio alla fine. Se scegliamo il piano C, è etico per me includere i minuti extra che il piano C mi porta nel mio calcolo dei minuti? Sarebbe fantastico se potessi modificare la tua risposta per riflettere questo.
Dovresti anche notare, se qualcosa va storto in futuro e quella password è quella utilizzata dal client per altre cose (come la posta elettronica), potresti essere la prima persona a cui punta il dito quando chiama la polizia. Potresti riuscire a cancellare facilmente il tuo nome, ma non ti salverà dal mal di testa.
#2
+22
armb
2013-06-07 16:45:36 UTC
view on stackexchange narkive permalink

Gli suggerirei il piano B, ma non spingerlo se non vuole preoccuparsi.

Avrai accesso fisico al laptop senza supervisione, a meno che non ci sia una password di crittografia del disco che non hai non menzionato, è quasi certamente sufficiente per farti fare quello che vuoi senza password dell'account, inclusa l'installazione di backdoor per un successivo accesso remoto e conoscere la password ti consente di risparmiare lavoro non necessario.

Quindi, se ha ragione per fidarsi di te, non ha bisogno di alcuna sicurezza aggiuntiva, e se sbaglia a fidarsi di te, la modifica temporanea della password (o account extra) non gli dà alcuna reale sicurezza extra.

Dall'altro mano se non ha già un account ospite non privilegiato, incoraggialo a crearne uno, quindi se i suoi figli lo lasciano usare ai loro amici, possono usarlo. (E se puoi fare il lavoro necessario da un account di questo tipo, usalo tu stesso, ma sembra meno probabile.)

+1 per indicare cosa puoi fare con l'accesso fisico.
Anche se ti ho dato un +1 per la bella risposta, non sono ancora d'accordo con un punto. La cosa principale qui è esporre la password. Pensa, un compromesso del server; sì, qualcuno che ottiene l'accesso root o fisico al tuo server può fare quello che vuole, ma è anche una buona cosa se hai hash in modo sicuro le password sul server. _Posso_ dare a qualcuno il mio laptop da riparare, ma non voglio comunque che sappia le mie password. O perché sto usando la password da qualche altra parte, o perché la mia password è "BootyB ** chSmack0 ****".
@Adnan "Possono fare quello che vogliono" include l'installazione di un keylogger (software o hardware) per inviargli la password una volta digitata di nuovo. Devi fidarti della persona che aggiusta il tuo laptop.
C'è ancora potenzialmente un certo valore nel non conoscere la password. Nel peggiore dei casi, se la pornografia infantile viene trovata sul laptop del cliente, scaricata dopo che l'hai restituita, e la polizia chiede chi altro potrebbe averla messa lì, sì, potresti ancora aver installato un software keylogger e strumenti di accesso remoto, loggato in il suo account, scaricato il porno e ripulito il keylogger ecc. in seguito, ma probabilmente è ancora meglio non conoscere la sua password. Quindi il problema della fiducia potenzialmente va in entrambe le direzioni. Questo è uno scenario abbastanza improbabile però.
#3
+16
Nathan Goings
2013-06-08 09:18:37 UTC
view on stackexchange narkive permalink

Quando ho a che fare con clienti di casa o piccola impresa , preferisco il "Piano A." Come ha detto Adnan, protegge dati banali. Bypassare la password, o anche recuperarla, è abbastanza semplice.

Per rispondere alle tue domande:

  1. Non riesco a pensare a un solo motivo per cui sarebbe brutto conoscere il suo password di accesso dei bambini.
  2. Eticamente, dovresti fatturare solo il protocollo standard. Questo è ciò che viene concordato e pagato. Se comunichi uno standard per la gestione delle password, il tuo cliente può accettarlo o rifiutarlo e trovare affari altrove.

Il piano B è il più dispendioso in termini di tempo. Il tuo cliente potrebbe non essere in grado di accedere al computer per cominciare.

In genere abbiamo chiesto ai clienti "come posso accedere?", Registrati nell'amministratore predefinito o reimpostare la password e li abbiamo cambiati al loro ritorno . Se non puoi farlo rapidamente, informa il tuo cliente.

In qualità di consulente IT, sii coerente. Se tratti qualcuno che conosci da 2-3 anni in modo diverso da un cliente nuovo di zecca, stai compromettendo le tue politiche.


Quando hai a che fare con un ' impresa o un cliente governativo, non dovresti mai conoscere la loro password. Non dovresti mai chiedere e se tentano o riescono a dirti la loro password, segnalali immediatamente.

Il progetto governativo a cui ho lavorato, abbiamo utilizzato il Piano C tramite Active Directory. Un cliente una volta si è lamentato del fatto che ho reimpostato la password (invece del Piano A). Il nostro responsabile della sicurezza informatica ha masticato l'intero management superiore e ha salvato la mia pancetta.

A causa della mia particolare situazione, penso che seguirò il consiglio di armb, di seguito: "suggerirgli il piano B, ma non spingerlo se non vuole disturbare" (ho accettato questa risposta per tre motivi. 1. Sottolinea il punto importante che le cose dovrebbero funzionare in modo completamente diverso in un ambiente aziendale. 2. Fornisce una buona risposta alla mia domanda sulla fatturazione. 3. Poiché era relativamente tardi, le informazioni univoche che contiene erano nascoste in fondo a la pagina web.)
@unforgettableid Poiché hai accettato la mia risposta, mi dilungherò un po ': * non è necessariamente * il tuo lavoro educare i tuoi clienti sulla sicurezza informatica. L'implementazione e il rispetto di politiche che portino consapevolezza a determinati problemi va bene (poiché il cliente può andarsene). In poche parole, la fatturazione per non-policy non è etica (e un po 'pretenziosa).
#4
+5
Yannovitch
2013-06-07 15:29:05 UTC
view on stackexchange narkive permalink

Sostengo il suggerimento di TildalWave.

In realtà, penso che dovresti piuttosto andare a casa sua e mostrargli quanto sia facile crackare la password, ad esempio con Cain & Abel (senza mostrargli come ottenere questo software, né quale software sia, quindi non sarà tentato di farlo da solo in seguito), QUINDI cambi la password con lui e dagli alcuni suggerimenti su alcune password complesse e buone abitudini di sicurezza.

Penso che mostrargli queste cose rafforzerà la tua fiducia reciproca, non la abbasserà.

Ma se non puoi venire da lui, allora sì, permettigli solo di dirti la password dei suoi figli, poiché non avrà alcun "effetto scioccante da cui può imparare" chiedergli di cambiare con una password temporanea.

Quanto puoi addebitare. .. beh, sembra che sia un amico più che un cliente, quindi caricalo come un amico, non come un cliente.

La ringrazio per la risposta. 1. Informazioni sul primo punto: se un cracker ha accesso fisico alla macchina, non ha bisogno di decifrare la password. Può semplicemente utilizzare un CD live per reimpostare la password. 2. Riguardo al tuo ultimo punto: questo è un cliente. È vero, siamo amichevoli, ma non concedo sconti ai clienti solo perché siamo diventati amichevoli nel tempo.
#5
+4
TildalWave
2013-06-07 13:33:07 UTC
view on stackexchange narkive permalink

Chiediti, sarebbe più difficile per te abusare della fiducia di questa persona in te seguendo uno dei piani proposti e se lo volessi davvero? Non credo proprio. Ciascuno dei piani che proponi è altrettanto facilmente sfruttabile, da qualcun altro oltre a te. Perché so che non abuserai della sua fiducia? Perché sei venuto qui per chiedere del tuo dilemma; Qualcosa che anche una persona un po 'meno onesta non prenderebbe mai in considerazione e una persona completamente disonesta preferirebbe cercare una finzione di negabilità su un sito web pubblico che renda più facile provare l'identità di questa persona.

Quindi, per come la vedo io , il tuo dilemma non sta nel dimostrare la tua affidabilità, o nel prevenire ogni dubbio sulle tue intenzioni oneste proponendo piani che potrebbero richiederlo meno, ma più che non sei abituato a conoscenti di affari che ripongono così tanta fiducia in te anche nella vita privata. Probabilmente hai già guadagnato questa fiducia in altri modi e questa persona è pronta a portare avanti questa amicizia. Qualcosa che, a quanto pare, ti ha colto un po 'come una sorpresa, immagino?

Quindi, abbiamo questi tre piani, nessuno dei due è perfetto in un'ambientazione non attendibile e tutti quasi identici in un'impostazione affidabile. Quindi ti propongo di seguire semplicemente un piano che sarà il più semplice per entrambi. Semplice come sembra.

Per quanto riguarda il pagamento, ecco cosa faccio in tali situazioni: non lo addebito mai, né chiedo alcun compenso o restituisco favori. Sono per lo più attività di routine che posso comunque completare facilmente, e se sono più impegnative (rare), la prendo come quella: una sfida. Anche meglio. Se però la persona a cui sto facendo questo favore insiste a ripagarmi in qualche modo, accetterò un piccolo segno di apprezzamento (invito a una birra, un pezzo di torta che sua moglie ha sfornato, ...), o se viene offerto del denaro - dai un indirizzo web della mia organizzazione di beneficenza preferita e chiedi alla persona di donarle quei soldi e non chiederlo mai più (ma una volta che sono via, quindi se è difficile per quella persona separarsi dal denaro offerto - alcuni possono essere troppo generosi -, possono mantenerlo senza rimorsi).

Se chiedessi a un consulente IT di lavorare sul mio laptop, mi aspetterei di pagare per questo.
Sì, e anche "questa persona è pronta a portare avanti questa amicizia" non si applica. Questa è una relazione con il cliente, non un'amicizia.
Avete ragione entrambi. Ho svalutato la risposta. Caro TildalWave, se aggiusti la tua risposta, chiedimi di cambiare il mio voto.
@unforgettableid - No, va bene. La mia risposta riflette le mie opinioni sulla situazione, così come è stata descritta quando l'ho scritta. Non sei obbligato a piacerti, o addirittura a trovarlo utile. Ho valutato male cosa intendevi con "consulente IT". I piani proposti sono tutti ugualmente sfruttabili, quindi non sento il bisogno di sostenerne nessuno in particolare, e ho pensato che questo dovesse essere ovvio per un uomo della tua professione. Quello che non capisco, tuttavia, è, perché preoccuparsi di chiedere consigli su aspetti etici di far pagare di più il tuo cliente quando c'è più lavoro da fare? Riesci a vedere ora da dove viene la mia risposta?
@TildalWave: Per quanto riguarda il tuo primo punto: poiché hai frainteso "consulente IT", sei libero di [modificare] la tua risposta, se lo desideri. Ovviamente non è richiesto. Per quanto riguarda la tua domanda: se il piano B o il piano C fossero chiaramente non necessari, sarebbe chiaramente immorale addebitare i soldi per i minuti extra richiesti. Non sono chiaramente inutili, ma se mai li farò, penso che avvertirò comunque il mio cliente in anticipo che dovrà pagare per i minuti extra richiesti.
@unforgettableid - Perché non caricare i secondi?
@TildalWave: Mi piace la fatturazione al minuto. Se vengo distratto da qualche pagina web interessante, posso interrompere la fatturazione, godermi la pagina web e riprendere la fatturazione. La fatturazione al secondo sarebbe troppo complicata.
#6
+2
Relaxing In Cyprus
2013-06-07 19:58:14 UTC
view on stackexchange narkive permalink

In questo caso particolare, direi o vai con il piano B o accetta semplicemente la sua password.

Il piano B ha più senso, a condizione che tu spieghi anche esattamente perché stai facendo quello che stai facendo.

Tuttavia, in alcuni casi, specialmente se è una password condivisa utilizzata da tutti i bambini, cambiare la password può essere un problema. Penso in particolare ad Apple. Molto raramente ho bisogno del mio ID Apple e immancabilmente dimentico la password e devo passare attraverso le solite domande di sicurezza ecc. Prima di poterlo reimpostare. Ma ogni volta che scelgo una nuova password e ne faccio una variazione oscura su qualcosa di memorabile, mi viene detto che ho già utilizzato la password. Questo è un problema, e se poche persone condividono la stessa password, le possibilità di bloccare l'account possono essere piuttosto alte.

Quindi fai un giudizio.

#7
+1
Rod MacPherson
2013-06-24 08:24:02 UTC
view on stackexchange narkive permalink

Il piano B è il più sicuro, perché non si vede mai quale sia lo schema della password della persona (quasi tutti hanno uno schema che usano per scegliere le password) Il piano C è un buon ripiego. Anche se la cambia di nuovo in quello che era, hai fatto la tua dovuta diligenza nel suggerirlo e aiutarlo con la modifica della password e puoi legittimamente dire che non conosci la password se succede qualcosa in seguito. (non lo sai a meno che non ti dica di averlo ripristinato com'era)

#8
-2
Ikhwanul Fikri
2013-07-09 03:58:26 UTC
view on stackexchange narkive permalink

Penso che tutti i piani non siano divertenti per il cliente. ma per necessità, il piano B dovrebbe essere fatto.

Questa è una perdita di tempo e denaro. ma devi dire al tuo cliente di nascondere tutti i suoi dati importanti prima, prima di randomizzare il computer. Penso che il browser in una password che sia più importante.

-1. Cosa significa "randomizza computer"? Cosa significa "il browser in una password più importante"? Per favore [modifica] la tua risposta e rendila più chiara. Inoltre, se hai utilizzato Google Translate per tradurre la tua risposta in inglese: non utilizzare Google Translate.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...