¿Debo decirle a mi jefe que he descubierto sus contraseñas y son demasiado débiles?

Si bien no hay duda de que las contraseñas débiles son un problema para su empresa, le recomiendo que no le cuente a su jefe las cosas que ha hecho.

Su empresa decidió no permitir que los trabajadores temporales accedan a sitios y recursos por una razón. No solo obtuvo acceso no autorizado a la LAN inalámbrica adivinando la contraseña al enrutador, sino que también amplió ese acceso al probar las credenciales de otros recursos: recursos a los que se suponía que no debía tener la contraseña. Entonces, básicamente, has navegado por los hombros de tu jefe.

Si bien parece que hay fallas en la política de su empleador con respecto al acceso a los recursos de la compañía y sus políticas de contraseña, todas estas cosas podrían ser consideradas "piratas" por su empleador y definitivamente estaban fuera de su autorización.

Si fuera usted, desconectaría la WLAN y le pediría la contraseña a su empleador si desea tener acceso a ella. Aparte de eso, debe dejar de intentar usar las contraseñas de otras personas en los puntos de acceso solo para 'ver si se utilizó el mismo patrón'. Dependiendo del sistema legal de los países involucrados, usted puede enfrentar problemas legales para este tipo de actos.

Entonces, ¿qué debe hacer con la información que tiene?
Si su empleador le da una contraseña para un servicio o un recurso que podría señalar, eso por ejemplo. esa contraseña sería fácilmente adivinable para otras personas. Aunque no mencionaría la otra contraseña aquí directamente.
Si su jefe parece interesado, puede ofrecerse como voluntario para buscar las mejores prácticas de contraseña para la empresa. Si son serios al respecto, esto eliminaría sus preocupaciones.
Si hay una persona de TI en la empresa, puede plantearle estas preocupaciones, ya que probablemente entenderá mejor la necesidad de una política de contraseña segura.

A menos que haya recibido un mandato explícito o implícito (*) para hacerlo, tratar de adivinar las contraseñas para acceder a los recursos que no se le concedieron es una acción hostil, incluso si las contraseñas son triviales o escrito en un lugar que no deberías haber leído. Si encuentra un folleto con "Confidencial - reservado para personas permitidas" en la portada y, sin embargo, lo lee, también es una acción hostil.

Lo más que puede hacer es en el caso del folleto decir "He visto allí un documento confidencial allí, que alguien podría leer sin que nadie más lo notara. ¿Contiene realmente información confidencial y, de ser así, no debería?" ser almacenado en un lugar más seguro? - > lo que significa que he visto un posible problema de seguridad y le advertí, pero I he respetado la marca confidencial .

O si ha descubierto la contraseña de un compañero de trabajo (y si la siguiente historia es posible): "Oye, tuve que iniciar sesión en una computadora, estaba pensando en otra cosa e ingresé una contraseña que utilizo en Entonces me di cuenta de que había iniciado sesión en tu cuenta. Inmediatamente me desconecté, pero realmente deberías cambiar esa contraseña para obtener una cuenta profesional "

* El mandato puede ser implícito si está a cargo de evaluar la seguridad general. Pero en ese caso, debe preguntar si puede continuar tan pronto como haya descubierto una contraseña trivial.

Estoy diciendo lo mismo que otros, pero esto realmente podría ser una preocupación legal para usted (no soy un abogado). En el Reino Unido (*) un acto relevante es la Acta de uso indebido de la computadora de 1990 que dice correcto al inicio:

  

1 Acceso no autorizado a material informático.

     

(1) Una persona es culpable de una ofensa si:

     

(a) hace que una computadora realice cualquier función con la intención de asegurar   acceso a cualquier programa o datos almacenados en cualquier computadora

     

(b) el acceso que pretende asegurar [F2, o permitir que se asegure,]   no está autorizado y

     

(c) sabe en el momento en que hace que la computadora realice la   Funciona que ese es el caso.

es decir, si tanto como intenta acceder a cualquier cosa que sabes que no deberías.

La subsección 2 dice que no importa qué computadora, qué datos o qué tipo de datos, nada lo hace bien.

La subsección 3 dice:

  

(3) Una persona culpable de una ofensa bajo esta sección será responsable—

     

(a) sobre la condena sumaria en Inglaterra y Gales, al encarcelamiento por un   plazo que no exceda de 12 meses o una multa que no exceda la ley   máximo o a ambos;

Y luego la sección 2 de la ley dice Acceso no autorizado con la intención de cometer o facilitar la comisión de más delitos. : cometió un acto de acceso no autorizado (obteniendo acceso al enrutador) para que pueda cometer otro Acto de acceso no autorizado (acceso wifi).

En uno de tus comentarios, dices

  

no se debe hacer daño

Pero la Sección 3 del acto es Los actos no autorizados con la intención de perjudicar, o con la imprudencia en cuanto al funcionamiento de la computadora, etc. , incluso si no pretende daño, si actúas imprudentemente, eso es suficiente. Unir un dispositivo personal (teléfono) no asegurado, desconocido o no autorizado a la red de la empresa "podría" ponerlos en riesgo de todo tipo de cryptolocker estilo bla bla.

Puedo dudar fuertemente de que esto se aplique en vigor a alguien en una pequeña empresa que acceda a un enrutador, pero si quieren discutirlo, ha aceptado un trabajo temporal, irrumpido en su red, su correo electrónico, su dominio / El alojamiento de sitios web pone en riesgo su red y, por lo tanto, el funcionamiento de su empresa, y quién sabe qué robo, chantaje, extorsión o daño estaba planeando cometer.

Y lo que es peor, no lo entienden, no les interesa lo divertido que es o lo curioso que es, o lo serias o triviales que fueron sus acciones, si se equivocan al final. no se verá bien para ti

  

¿Debo decirle a mi jefe que sus contraseñas son demasiado malas?

Sí, usted debería . Pero no lo hagas a menos que tengas razones para pensar que lo tomarán bien. Y deberían cuidar. Pero no lo hacen. Y no es tu empresa y no es tu problema. Si muestran interés, sugiera por qué (en principio) las contraseñas de navegador almacenadas son riesgosas, o las cuentas compartidas son riesgosas o las contraseñas simples son riesgosas.

Si no hay una copia de seguridad, anímelos a tener copias de seguridad. "Hola, estaba leyendo esta noticia sobre GitLab casi perdiendo 300Gb de datos y me hizo pensar que no tenemos buenas copias de seguridad aquí. Podríamos configurar una por $ xyz, ¿qué crees? "

(*) Otras jurisdicciones están disponibles.

Me puse prácticamente en tu situación exacta una vez cuando era joven. Me aburrí en un trabajo temporal y comencé a investigar las debilidades de seguridad. Intenté finalizarlo enviando un correo electrónico anónimo al administrador de sistemas, que resultó contraproducente de las siguientes maneras:

• Se asustaron, pensando que la amenaza provenía de fuera de la compañía al principio.
• Revisaron los registros del sistema, interrogaron y casi despidieron a uno de mis compañeros de trabajo con el que era amigo y no tenía nada que ver con nada.
• Finalmente me lo rastrearon y me despidieron.
• Tuve mucha suerte de que no lo hicieran peor.

La parte sobre mi amigo que casi fue despedido me lanzó a dar una vuelta. En mi arrogancia, era completamente inconsciente de cualquier daño colateral que pudiera estar causando. Además, lo que me sorprendió fue cuando me llamaron a esa habitación para que me despidieran, lo asustado que tenía la gente. Descarta cualquier pensamiento que tengas sobre las personas que responden racionalmente.

Mi sugerencia es detener inmediatamente utilizando cualquier acceso no autorizado. Si realmente no puede hacer su trabajo sin una contraseña, indíquelo, y si le dan esa contraseña, señale cuán débil es. Aparte de eso, déjalo en paz. Sé que es difícil. Un día estará en una mejor posición para influir en este tipo de políticas. Solo tienes que ser paciente.

No empieces hablando de las contraseñas inseguras. En lugar de eso, comience señalando que no es una práctica segura que use la computadora de otro empleado para acceder a los sistemas porque pone en riesgo los datos del otro usuario (de un accidente, incluso si no es malicioso o tan entrometido como lo está). Trate de convencerlos de que sería más seguro darle las contraseñas que necesita para hacer su trabajo. También sería más eficiente ya que no tendría que bloquear el trabajo del otro usuario. Si quieren que tengas acceso, deberían darte ese acceso. Si eso funciona, entonces puedes comentar las contraseñas inseguras que te revelan. Si les preocupa que usted sepa las contraseñas después de que se vaya, pueden cambiarlas en ese momento.

La mayoría de las empresas de cualquier tamaño tienen un mecanismo mediante el cual puede realizar informes anónimos de irregularidades por parte de los miembros del personal. Puede denominarse integridad de un sistema de informes de cumplimiento.

Este tipo de denuncias se recomienda para proteger a la compañía de revelaciones más dañinas.

Verificaría si su empleador tiene un sistema de este tipo y, si es así, lo utilizará. Informe los nombres de las personas involucradas y, si lo considera apropiado, incluso la contraseña que están usando.

Donde trabajo, se recomiendan tales informes. Usted estaría ayudando a la compañía a proteger sus datos sin riesgo para usted.

  

¿Debo decirle a mi jefe que sus contraseñas son demasiado malas?

Cuando estoy trabajando en un proyecto y me dan la contraseña de un servidor / enrutador, y es una contraseña incorrecta. Siempre diré algo y recomendaré usar contraseñas más seguras / un administrador de contraseñas, etc.

Creo que esto es algo razonable de hacer.

  

Teniendo eso en cuenta, solo quería ver si se usaba el mismo patrón para otros tipos de recursos, como la dirección de correo electrónico, las cuentas de alojamiento, etc. y sí, lo eran.

Sí, definitivamente no hagas esto. Es contra la ley, y usted podría terminar con un registro de antecedentes penales si su empleador se entera.

Al decirles que terminarías revelando las acciones que has tomado para obtener esa información y que podrían meterte en problemas.

Si desea educarlos sobre la importancia de las contraseñas seguras, puede hacerlo sin divulgar lo que sabe.

Si bien estoy de acuerdo con los demás en que usted ha ido demasiado lejos al investigar la seguridad, y que no debe decirle a su empleador sobre las contraseñas / sistemas que ha comprometido, creo que tiene la responsabilidad de decirles que sus prácticas de seguridad parece ser pobre y pide su permiso para investigar más a fondo.

(pero asegúrate de tener un visto bueno por escrito, fuera del sitio antes de continuar)

Honestamente, todo depende de la personalidad de su jefe y de cuánto sepa o confíe entre sí. Hay muchos empleadores que no podrían preocuparse menos por sus empleados y se beneficiarían de esa situación demandándolos, pero al mismo tiempo hay muchos que estarían muy agradecidos por este tipo de consejos y se harán amigos por hacer un trabajo adicional.

Podría decir algo como "Estaba viendo tutoriales sobre seguridad de la red y me preguntaba si el sistema aquí tenía tales fallas" o, si no, podría encontrar un empleado confiable para decir eso, lo que probablemente sería más aceptado por tu jefe.

Y, finalmente, siempre existe el enfoque de no decir nada y simplemente hacer su trabajo, ocuparse de sus propios asuntos y olvidarse de ello. Parece equivocado, pero en la actualidad hay demasiadas personas malas que quieren aprovechar las buenas acciones genuinas (como señalar fallas en la seguridad de un negocio) que realmente no vale la pena el riesgo de ir a la cárcel y pagar multas por tratar de ser un buen persona.

El único que puede hacer un movimiento es usted, y todo depende de qué tan bueno sea su criterio sobre las personalidades de las personas.

  

Y, por último, siempre está el método de no decir nada y simplemente hacer   Tu trabajo, ocupate de tu propio negocio, y olvídalo. Parece mal   Pero hoy en día hay demasiadas personas malas que quieren aprovecharse.   de hechos genuinamente buenos (como señalar fallas en un negocio ''   seguridad) que realmente no vale la pena el riesgo de ir a la cárcel y   pagar multas por tratar de ser una buena persona.

Y eso es exactamente lo que debes hacer. Si le dices una palabra, incluso una pista, a cualquiera, ¡cualquiera !, no solo el jefe u otras personas de esa compañía, estás poniendo tu seguridad y libertad en sus manos. Mantenga la boca cerrada, haga su trabajo y vaya a otro lugar para trabajar después de que se haya completado el contrato. Tu situación es peligrosa . Los fiscales son recompensados por varias condenas, no por el mal del perpetrador.

Depende de la personalidad de tu jefe. ¿Es inteligente, inteligente y comprensivo? Si es así, entonces puedes decirle. Esa no será la causa para despedirte o degradarte por casualidad. En su lugar, podría ser recompensado por su talento y quién sabe, también puede ser una promoción.

Pero si la personalidad de tu jefe es bastante común, olvídalo.

Intenta pedirles la contraseña, porque de bla bla bla. Si saben que usted conoce la contraseña, puede decirles que es insegura y que, muy probablemente, aceptarán cambiarla. Y como obtuvo la contraseña de manera "buena", estará BIEN.

Nota: tome todo lo que se dice allí con un grano de sal. Estoy tratando de explicar por qué es posible que no necesite una alta seguridad, pero eso no significa que no deba tener ninguna seguridad.

Es posible que interprete al defensor del diablo aquí, pero la seguridad es riesgo frente a recompensa.

Por lo tanto, tener una contraseña débil no implica mucho, y en el peor de los casos es de pocas horas de desaceleración si alguien obtiene acceso al sistema de TI.

Pero él olvidó su contraseña "h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% µ454" y / o desperdició 5-10 minutos por día al ingresar y se frustró porque se equivoca unas cuantas veces Probablemente sería peor a largo plazo.

Lo que quiero decir es que a veces nos vemos atrapados en una paranoia de seguridad y olvidamos que el riesgo de que alguien esté dispuesto a atacar a la empresa no es realmente alto, e incluso una falla total de TI puede significar tener que volver al papel por una pocos días.

En cuanto a cómo lidiar con eso, sugiero hablar casualmente con su jefe sobre la seguridad de TI, y si cree que es importante o no. Usted puede discutir si sus puntos se mantienen.

Si su jefe está de acuerdo en que la seguridad de TI es importante, es posible que desee preguntarle si puede investigar si hay algún problema con la seguridad. Haga lo que hizo, concienzudamente e informe sobre él a través de un correo electrónico con cada problema que encuentre, qué riesgo significa y cuánto / cómo solucionarlo.

La mayoría de las veces, los problemas con la seguridad de TI no provienen de fuentes externas, sino de (ex) empleados con rencor, por lo que es probable que esa sea la razón por la que no quiere que obtenga las contraseñas.