¿Cómo puedo protegerme de las acusaciones falsas cuando nuestra empresa practica el depósito de contraseñas?

Para eso es (o debería ser) el sobre: Para usar su contraseña, debe romper el sello del sobre que firmó. Cuando crea que se abusó de su contraseña, puede pedir ver el sobre con su firma y verificar si aún no se ha abierto.

Todo lo que necesita hacer es que debería su administración siempre requiera su contraseña, cambie la contraseña y entregue un nuevo sobre. Es posible que desee cambiar su contraseña en intervalos regulares de todos modos: es la mejor práctica habitual.

Por cierto: en las empresas con una administración de TI adecuada, este método no es necesario, ya que los administradores del sistema pueden recibir toda la información necesaria de las cuentas de usuario sin tener que conocer las contraseñas del usuario. Si un administrador realmente necesita iniciar sesión en una cuenta de usuario, restablecería la contraseña (lo que crearía un registro de auditoría verificable). Y generalmente hay más de un administrador del sistema, por lo que las cuentas de administrador tampoco requieren este método.

No creo que estés en una situación particularmente peor que no divulgar tu contraseña. Tu jefe podría:

• Haga que el administrador del sistema haga una copia de su contraseña actual (con hash)
• Cámbiala a algo nuevo
• Haz algo malo en tu nombre
• Vuelva a colocar la contraseña anterior (reemplace el hash de lo que era)

Lo que hace te protege es que hay, presumiblemente, pistas de auditoría de las cosas que se hacen. Por ejemplo, rastrear correos electrónicos por direcciones IP.

Si es que estás en una situación mejor que antes. Ahora puedes argumentar plausiblemente, si se hace algo malo en tu nombre: "Pero mi jefe insistió en tener mi contraseña, tal vez lo hizo".

Si las pistas de auditoría pueden usarse para probar la inocencia de su jefe en este tipo de situación, entonces también se puede usar para probar la suya. Y si no existen pistas de auditoría, habrá dudas sobre quién lo hizo realmente, sea lo que sea "es".

Cambie su contraseña inmediatamente después de entregarle el sobre.

Ha cumplido con el requisito de entregarle un sobre con su contraseña y ha cumplido la necesidad de mantenerlo seguro. En el improbable caso de que intente usar la contraseña del sobre, puede explicar que necesitó cambiarla y que aún no ha recibido el nuevo sobre.

En ningún caso confiaría en nadie con una contraseña mía, incluso en un sobre sellado. Un sobre es demasiado fácil de infringir , incluso sin romper el sello. Incluso usando "sobres de seguridad", colocar una luz brillante (linterna super, proyector de oficina, faro de automóvil) en la parte posterior de la misma hará que se pueda ver el contenido a través de ella. Teniendo en cuenta que la información que se obtiene es probablemente una gran palabra impresa, no es segura. Nunca he trabajado para una empresa que me ha pedido que les dé una contraseña en un sobre.

El depósito de la contraseña, como se describe en su situación, es altamente inusual y está cargado de riesgos. La configuración que describe se basa en confiar en que su jefe no solo sea honesto con sus intenciones y motivaciones, sino que también asume que su jefe está almacenando esas contraseñas de manera segura. ¿Se guardan los sobres en una caja fuerte? ¿Un archivador cerrado? ¿El cajón de su escritorio? ¿Una carpeta en su escritorio?

La situación ideal:

  

Fideicomiso: un sistema donde un tercero desinteresado posee   dinero / información / propiedad en fideicomiso a condición de que ciertos   Se cumplen los requisitos antes de transferir dichas participaciones a la   partes receptoras.

En su escenario, la persona que tiene la contraseña no es un tercero desinteresado. Esto no es perfecto, pero la administración confía en que sean honestos y seguros en el manejo de las contraseñas.

Las alternativas en otras respuestas son buenas sugerencias. Una alternativa adicional al escenario actual sería dividir la contraseña en varias partes. Por ejemplo, la mitad de la contraseña dada a su gerente y la otra mitad al gerente de su gerente (o a Recursos Humanos, o al jefe de departamento, o al CEO, lo que sea más sensato). Cómo dividir la contraseña y cuántas personas tienen acceso a qué partes de la contraseña variarán según la estructura de administración de la empresa.

Al igual que intentan mitigar el riesgo al tener un depósito de contraseña en primer lugar, deben evitar tener un punto único de falla en el proceso. Evitar conflictos de intereses y exigir la participación de múltiples partes contribuiría en gran medida a hacer que la custodia de contraseñas sea más segura. Todavía no es una buena práctica de administración, pero no tiene que ser tan insegura y arriesgada como simplemente entregarle la contraseña al jefe en un sobre simple. Incluso algo tan simple y barato como agregar una cinta de seguridad a prueba de manipulaciones mejoraría el escenario actual.

Philipp es correcto aquí. Déjame replantear algo que dijo:

  

Para utilizar su contraseña, es necesario romper el sello del sobre que firmó. Cuando crea que se abusó de su contraseña, puede pedir ver el sobre con su firma y verificar si aún no se ha abierto.

Para agregar a lo que dice, su empresa parece tener prácticas de administración de TI muy incorrectas. Lo que debe hacer en este momento es asegurarse de que su contraseña no sea la misma que usa en otros lugares.

Siempre asuma que su empleador tiene acceso a lo que esté haciendo en línea. Incluso si no lo hacen. No inicie sesión en sus cuentas de redes sociales en el trabajo. No inicie sesión en sus cuentas bancarias. Use su computadora de trabajo para tareas relacionadas con el trabajo. Si tienes un teléfono celular, es aún más fácil.

Su empleador debe poder hacer lo que quiera, dentro de los límites de la ley, a su computadora de trabajo. Usted no debe tener ninguna expectativa de privacidad.

Esto debería ser completamente innecesario en un sistema configurado correctamente, suponiendo que inicie sesión en un dominio corporativo. En un sistema configurado correctamente, el inicio de sesión en un dominio corporativo, cualquier información que edite, cree o tenga acceso en la red o en su sistema local, se almacenará en una ubicación a la que puedan acceder otros que tengan sus propias credenciales de inicio de sesión. Disponer de los permisos necesarios para acceder a esos datos. Al usar sus propias credenciales de inicio de sesión, no solo tienen acceso a los datos de la red, sino también a los datos locales y los registros de auditoría mostrarán quién hizo qué y cuándo. La OBLIGACIÓN de proporcionar su nombre de usuario y contraseña a CUALQUIERA no solo es una mala práctica, sino que es altamente irregular, arriesgada y / o indicativa de una administración incompetente del sistema / red.

Si estuviera en su lugar, le preguntaría a sus superiores sobre esa política, cambiaría mi contraseña y la rechazaría. Si su trabajo está amenazado, entonces llamaría a su / su farol y me prepararía para presentar una demanda por despido injustificado si es despedido. Personalmente, nunca revelaría esa información ni confiaría en un sobre sellado como medida de seguridad para mantener a las personas honestas (los sobres sellados se pueden abrir y volver a sellar, si sabe cómo o un nuevo sobre sellado con una firma falsificada). Al parecer, los jefes más agradables podrían estar actuando hasta que te atacan y te encuadran para algo. Presencié algo similar, excepto que en lugar de un sobre sellado que contenía una contraseña, era un disco que contenía una copia de respaldo de las claves de cifrado. Las consecuencias no fueron agradables y el gerente fue despedido después de que los discos y los datos fueron robados. Como era de esperar, el gerente despedido nunca obtuvo otro trabajo, nunca tuvo problemas de dinero y un competidor llegó al mercado primero con el mismo proyecto en el que habíamos estado trabajando. Antes del robo, nuestro competidor ni siquiera tenía un producto similar. Ten cuidado y piensa en mi consejo. Eso me parece muy sospechoso y muy a menudo en estos tiempos, las personas más amigables y amables resultan ser las serpientes más venenosas.

Desafortunadamente, esto es común en pequeñas empresas que utilizan servicios en la nube, sin tener una relación comercial con el proveedor de la nube.

Marque el sobre para hacerlo un poco más a prueba de manipulación, eso es todo. Una antigua empresa mía todavía usa mi dirección de correo electrónico personal en su dominio, nunca logró cambiar su registro de dominio después de que me fui.

Cambie la contraseña con frecuencia y entregue sobres nuevos cada vez. Tendrían que producir todos los sobres viejos también, para que puedan probar que no han abierto uno. Dado que la mayoría de los servicios en línea no proporcionarán seguimiento de auditoría. Así que siempre puedes mantenerte de pie, inocente.

Llamémoslo como es: una solución por falta de control de acceso adecuado. La solución real es arreglar / mejorar el control de acceso.

Específicamente, aquí: ¿Por qué su jefe no puede acceder a las cosas a las que puede acceder con su propia cuenta?

El único propósito de las credenciales es autenticar una identidad. Si rompemos eso, se vuelven inútiles. También puede eliminar el concepto de "cuenta" y utilizar secretos compartidos para todo.

Por lo tanto, una alternativa al rechazo absoluto, intentar convencerlo de que aborde el problema raíz (que probablemente apareció debido a un malentendido) podría valer la pena. Si se discute correctamente, esto no debería crear fricción: el resultado final es un sistema más seguro para todos.

Nunca me tuve en ninguna de las compañías en las que estuve.

En tal caso, pondría en el sobre un mensaje que decía "En caso de emergencia, llámeme al teléfono móvil número de teléfono móvil ".

En caso de emergencia, puedo deletrear la contraseña por teléfono y ser informada de que se usó, y mi jefe podría hacer lo que fuera necesario. Así que es todo lo que necesita.

Si el sobre es mal utilizado / robado / escaneado / roto, no dejaría que nadie se hiciera pasar por mí.

La existencia misma de la envoltura lo protege de cualquier mal comportamiento de su jefe. En general, no necesitas probar tu inocencia. Alguien más necesita probar tu culpa. Y eso será bastante difícil si se sabe que alguien más tiene acceso a la cuenta incriminatoria. Si está realmente preocupado por eso, simplemente firme el sobre wyky. Luego, si su jefe logra leer la contraseña a través del sobre para hacer algo nefasto, puede refutar la validez del mismo.

Notas al margen:

1. Esta no es una práctica común en ninguna compañía grande, pero puedo ver cómo tendría sentido que alguien intente dirigir una pequeña compañía. De hecho, he oído hablar de varias pequeñas empresas que tuvieron problemas cuando un recurso clave se fue sin revelar las contraseñas de varios programas.
2. Si alguna vez desea cometer un delito con su cuenta, asegúrese de que muchas otras personas tengan acceso primero a su contraseña.

Es una gran mentira : nadie necesita su pase para acceder a su cuenta, hay una cuenta administrativa que se ajusta a este propósito. Aún más: no es una práctica común, excepto para los tramposos que desean culparte y reducir / eliminar tu nómina . No se requiere su pase ni su (s) certificado (s) para que un Administrador pueda ver su cuenta completa.

Si le preocupa que su jefe abra el sobre, use su contraseña para hacer actos infames, y luego vuelva a sellar su contraseña en un nuevo sobre y falsifique su firma, luego simplemente salpique un poco de pintura, al estilo de Jackson Pollock. en el sobre después de firmar a través del área pegada, y luego tomar algunas fotos de alta resolución del sobre para identificar fácilmente cualquier intento de falsificación de Pollock. Solo asegúrese de proteger la contraseña de cualquier radiación visible, infrarroja, de rayos X, gamma o cualquier otra forma de radiación que pueda permitirle a su jefe leer su contraseña sin abrir el sobre, adjuntando su contraseña con una ventaja considerable. caso antes de ponerlo en el sobre.

Por supuesto, también tendrá que preocuparse de que una cámara lo esté grabando cuando anotó la contraseña en primer lugar. En ese caso, asegúrese de haber hecho todo eso en casa y de que él nunca haya tenido acceso a su casa.

Creo que eso lo cubre.

EDITAR:

Excepto, por supuesto, si su jefe abre el sobre, realiza las acciones nefastas y luego inicia un fuego severo de tostadora en la sala de refrigerios de la habitación contigua el mismo día en que se reparan las cámaras de seguridad y se apagan, por lo tanto Toda la contraseña envuelve y se absuelve de cualquier sospecha. Así que sugiero que rocíe toda la habitación y las habitaciones vecinas con una espuma retardante de llama. Eso debería resolver tu problema.

En realidad, esto depende de las leyes nacionales y / o estatales que usted vive. Esto es más una cuestión de derecho laboral que una cuestión de seguridad cibernética.

La razón por la que se trata de una pregunta relacionada con la legislación laboral es que depende del tamaño de la organización, los datos y el sistema en cuestión, el contrato general de empleo y las políticas de la empresa.

Las empresas pueden y lo escriben en contratos de trabajo. En general, su manual del empleado explicará qué datos o sistemas de información les pertenecen, o tendrá cláusulas en su política general de la compañía que describan qué sistemas de información les pertenecen. Si son propietarios del sistema en cuestión, dependiendo de para qué se utiliza el sistema, no solo tienen derecho a su contraseña, sino que están legalmente autorizados a hacer lo que quieran con su contraseña, los datos relacionados con el sistema y todo lo que contenga. entre todos de acuerdo con las leyes federales, estatales y locales dentro de su jurisdicción.

Este es el motivo por el que las empresas pueden imponer el uso de proxies para registrar información. Sin embargo, si el sistema en cuestión no es propiedad de su organización y usted está utilizando su red, entonces se convierte en un área gris debido a las leyes de privacidad.

La única forma de evitar esto es la siguiente:

1) En resumen, usted como empleado, no puede evitar esto, si es el propietario de la información / datos y del sistema al que tiene acceso.

2) Lea su manual del empleado, su contrato de trabajo y pregunte específicamente qué información y datos son propiedad específica de la empresa. Esto incluye todo, desde sus ideas, el acuerdo de asignación de su invención y cualquier información personal que considere privada.

3) Uso personal separado del uso corporativo. Si la compañía le proporciona una computadora portátil o un sistema de información para su uso, no lo use para uso personal. Esta es el área que se vuelve gris. Por ejemplo, si publicó secretos corporativos en Facebook, ya sea en su computadora personal o en la de ellos, es posible que aún posea los datos.

Yo diría que esto es típico, y se usa con bastante frecuencia en la industria. Aunque no de la misma manera.

Muchas empresas utilizan administradores de contraseñas donde pueden acceder a las contraseñas de los empleados, y las contraseñas se pueden compartir entre los empleados. Esto es principalmente para iniciar sesión en servicios de terceros que no admiten cuentas de usuario individuales.

Sin embargo, esto solo sería específicamente para inicios de sesión relacionados con la empresa. Ningún inicio de sesión personal debería tener esto.