it-swarm-es.com

¿Está bien decirle su contraseña al administrador de sistemas de su empresa?

Estoy trabajando en una pequeña empresa (20 empleados) como ingeniero de software senior.

Después de tener problemas con mi correo electrónico, nuestro administrador de TI recién empleado me pidió que escribiera mi contraseña de usuario a alguien de nuestra empresa de hosting para ayudarlos a identificar el problema.

Sin pensarlo le di mi contraseña de usuario.

Después de 30 minutos, me di cuenta de que en mis 10 años de trabajo en varias compañías, nadie me pidió una contraseña, y la encontré bastante extraña. Inmediatamente después de eso, cambié mi contraseña.

¿Hay casos en los que realmente se necesita la contraseña, cuando realmente tengo que decir mi contraseña a un administrador de TI?

He oído hablar de historias en las que los administradores solicitaron la contraseña del usuario, pero solo en sitios como The Daily WTF , lo que provocó esta pregunta.

(Relacionado: "Un cliente quiere decirme la contraseña de la computadora portátil de su casa. ¿Debo empujarlo hacia una alternativa más compleja?" )

79
BЈовић

Respuesta corta:

¡ABSOLUTAMENTE NO!
Su contraseña está entre usted y su computadora sola.
Nadie más.

No es su jefe, su jefe, el administrador del sistema, su funcionario bancario, su agente de seguros, su técnico de soporte de ISP o su gato. Bueno, tu gato se puede decir, si promete no compartirlo.

NUNCA hay una buena razón para compartir una contraseña.
Hay muchas razones para NO hacerlo. Principalmente, porque una contraseña es SU autenticación, y tan pronto como UNA persona lo sepa, ya no puede probar su identidad.

Cualquier razón que su administrador se le ocurra es falsa, ya sea porque es malicioso, vago, mal informado o incompetente.
Dicho esto, puede que no sea culpa suya, sino de su organización. De cualquier manera, hay incompetencia, la ignorancia y la pereza abundan.

Si un administrador o CUALQUIER técnico de soporte le solicita su contraseña, la respuesta correcta es RISAR.
Porque no hay forma de que sean serios, ¿verdad?

Si su administrador insiste, explíquele que documentará el hecho de compartir su contraseña con él ... y que, en base a esto, enviará correos electrónicos desagradables a todas partes, no sobre él, pero afirmarás que vinieron de él (usando tu cuenta, en tu nombre, usando tu contraseña que acabas de compartir con él). Por supuesto, no podrá probar que él no hizo mal uso de su contraseña ... ese es el punto.

No, pensándolo bien, simplemente no le des tu contraseña. Es tuyo, entre tú y la computadora solo.

88
AviD

Probemos con otra idea: ¿le darías un dedo a tu gerente de TI para que pueda reparar tu acceso a tu edificio mientras trabajas?

Asumiré que la respuesta es no. Lo mismo se aplica a su contraseña. Incluso si tiene una contraseña única para todos sus servicios (lo que nunca sucede, incluso para mí, lo confieso), la contraseña NUNCA debe compartirse con nadie. Es lo único que puede autenticarse. Eso puede molestarlo teniendo que perder el tiempo con su soporte de TI, pero esto también puede enviarlo a la cárcel por mucho tiempo.

Entonces, definitivamente: no

20
M'vy

Se explicó antes que nadie debería darle su contraseña a un administrador (estoy de acuerdo con todo eso), pero debe verificar con su superior lo que está sucediendo, porque si él le pidió la suya, es posible que le haya pedido la contraseña de los otros 18 (el 19 es probablemente su superior) y estoy bastante seguro de que algunos de sus compañeros de trabajo usan la misma contraseña en todas partes.

15
noktec

Respuesta corta, si él es un administrador, nunca debería necesitar su contraseña. El peor de los casos es que necesita restablecer su contraseña y darle una nueva (que cambiaría rápidamente).

A menos que haya algunas circunstancias atenuantes, las contraseñas/códigos/frases son solo para usted. (p. ej., si el administrador no tiene una cuenta privilegiada en su PC)

He ingresado en algunos trabajos donde un empleado de mucho tiempo tendrá una máquina única que no tiene una cuenta de administrador que pueda usar, pero incluso así es una mejor solución tener el usuario (suponiendo que tenga la derechos para) hacer que el administrador sea una cuenta privilegiada que pueda usar. Entonces, incluso entonces, me cuesta pensar en alguna razón viable por la que el administrador necesite su contraseña. Siempre es un día triste saber que el usuario no tiene derechos administrativos, que no está conectado al dominio y que el administrador que lo configuró no ha trabajado allí durante 10 años ...

pD. como se dijo en otra respuesta, es posible que el administrador esté acostumbrado a recibir el tratamiento "hacerlo" de sus superiores, lo que puede hacer que solo pidan contraseñas.

11
Ormis

Puede ser hora de desenterrar su política de seguridad de TI. Si tienes uno en tu organización. Si no, es hora de que el equipo se siente y escriba uno.

Es posible que este administrador no lo haya leído o no haya recibido capacitación.

Una cultura de dar contraseñas sin duda aumentará las posibilidades de que las cuentas estén compuestas si no hay controles establecidos para verificar cada solicitud.

Las cuestiones planteadas sobre la responsabilidad también son un poco preocupantes.

No es una buena práctica con seguridad.

6
RobertRay

También hay otro problema con el uso compartido de contraseñas.

Si algo le sucede a su cuenta o por su cuenta mientras alguien más está conectado, usted será el culpable. Incluso si dentro de la empresa está bien compartir la contraseña por política de seguridad, legalmente (por ley; al menos en mi país) usted será el acusado.

6
StupidOne

La pregunta central que se hace es: "¿Alguna vez es necesario que un administrador solicite una contraseña?" Claramente, no debería ser necesario. Pero definamos "necesario" como "requerido para lograr algo crítico".

Con estos parámetros, en casos con fallas graves/de ruptura en la infraestructura de seguridad, puede ser necesario exponer una contraseña para realizar tareas críticas. He visto sistemas sucios tanto en grandes corporaciones como en gobiernos que se ejecutaron así durante años antes de encontrarme con ellos. Y desde el punto de vista de mantener la operación en funcionamiento, sí, era necesario seguir teniendo ese tipo de exposición de contraseña mientras se realizaban las correcciones.

La clave en cada caso era documentar el problema, documentar y comunicar claramente los riesgos de operar bajo esta situación de seguridad defectuosa, obtener una declaración de política del liderazgo que dirija bajo qué circunstancias debería ocurrir la exposición de la contraseña mientras se realizan las correcciones, y luego documentar cualquier contraseña exposición necesaria para continuar operando mientras se corrige el sistema de seguridad.

En resumen, nunca debería ser necesario. Pero si es así, protéjase quitando el riesgo de responsabilidad de usted y de la parte responsable de las decisiones/infraestructura que lo hicieron inapropiadamente necesario. Y, por supuesto, si no hay movimiento para solucionar el problema, es posible que desee considerar seguir adelante.

0
HumanJHawkins