¿Está bien decirle su contraseña a un administrador? [duplicar]

16

Estoy trabajando en una pequeña empresa (20 empleados) como ingeniero senior de SW.

Después de tener algunos problemas con el correo electrónico, nuestro administrador de TI recién contratado me pidió una contraseña para ver exactamente por qué con la empresa de alojamiento. Sin pensarlo le di mi contraseña.

Después de unos 30 minutos, me di cuenta de que en mis 10 años de trabajo en varias empresas, nadie me pidió una contraseña y me pareció bastante extraño. Inmediatamente después de cambiar mi contraseña.

Entonces, ¿hay casos en que la contraseña sea realmente necesaria, cuando realmente tengo que decirle mi contraseña a un administrador de TI?

EDIT

La razón por la que pregunto es la siguiente: he oído hablar de historias donde los administradores pidieron la contraseña del usuario, pero solo en sitios como The Daily WTF .

  

Tenga en cuenta que las respuestas a esta pregunta no se dieron desde un punto de vista de seguridad y, como tal, no deben considerarse seguras.

    
pregunta BЈовић 21.07.2011 - 17:50
fuente

3 respuestas

27

He trabajado con muchas empresas y la respuesta técnica es que nadie debe conocer su contraseña.

En la práctica, realmente tiene que sopesar eso contra cualquier amenaza real, y por qué se lo está dando. Además, si su contraseña se usa para muchas cosas (usted tampoco debe hacer esto), como su banco, entonces NO.

Si realmente tienes dudas, puedes hacer una de estas dos cosas: puedes cambiarla temporalmente, por lo que no es un problema darle nada, o puedes escribirlo por él. A menudo les pido a las personas que escriban sus contraseñas por mí.

Dicho esto, un administrador puede cambiar la contraseña cuando lo necesita, pero el único problema es que tienen que hacer que el usuario la vuelva a cambiar.

    
respondido por el KCotreau 21.07.2011 - 17:58
fuente
14

Hablando en términos generales en una SOX (Sarbanes-Oxley) que lo cumple. es mal visto saber la contraseña de los usuarios y el método adecuado si necesita acceso, ya que el administrador de TI sería restablecer la contraseña de AD de los usuarios. Sin embargo, hay veces que les pido a mis usuarios sus contraseñas:

  • Cuando no puedo reproducir algo y necesito probar como usuario sin interrumpir su flujo de trabajo diario.
  • Algunos administradores hacen que sus cuentas de usuario regulares sean administradores de dominio (terrible idea por cierto) pero pueden necesitar su contraseña para probar como un usuario de dominio estándar.
  • Si estoy configurando el correo electrónico en el teléfono de un usuario y no tienen ningún interés en que me guíen por los pasos (IE: solo quieren que se haga)
  • En una pequeña empresa como la suya, he visto a administradores mantener hojas de Excel con todas las contraseñas de sus usuarios (otra idea horrible).
  • Si alguien necesita que se realice un cambio en su computadora mientras viaja y no desea interrumpir el flujo de correo electrónico en su teléfono o interrumpir una sesión de VPN.

El tema principal aquí es que el usuario inició la solicitud de asistencia y se requiere la contraseña para no interrumpirlos. Como un administrador que no interfiere con mis usuarios es mi prioridad número uno, por lo que hay algunos casos adicionales en los que restablecer la contraseña no es la mejor opción. Sin embargo, la solicitud no solicitada de una contraseña de usuario nunca es aceptable para mí sin explicar exactamente por qué la necesita. Si vuelve a suceder, pídale a su administrador de TI que restablezca su contraseña de AD y le permita volver a crearla cuando termine, SIEMPRE le ofrezco a mis usuarios esta opción (también tengo en cuenta que estas contraseñas pueden usarse en otros lugares, como la banca en línea). Si tiene un problema o rechaza esta simple solicitud, al menos debería ser capaz de proporcionar una buena razón por la que lo necesita.

    
respondido por el Not Kyle stop stalking me 21.07.2011 - 18:04
fuente
7

Si bien estoy de acuerdo con la regla general, nadie debe conocer sus credenciales, en términos prácticos, algunas veces puede ser necesario, si desea la ayuda, y no quiere sentarse a escribir nuevamente su contraseña para el tecnico

Tal vez leo una lectura errónea de su pregunta, pero parece que está hablando de un servicio externo. La mayoría de las otras respuestas parecen faltar al punto, y suponiendo que el administrador de TI realmente tenga acceso administrativo.

Dentro de mi red, muchos servicios externos están en uso, no tengo acceso de administrador y ni siquiera tengo una cuenta. Si uno de mis usuarios necesita que lo ayude a resolver un problema, no tengo la capacidad de restablecer las contraseñas o forzar un cambio después del hecho. La única forma en que puedo resolver el problema es con sus credenciales. Para problemas más pequeños, los usuarios simplemente escriben sus credenciales están bien, pero para los realmente complejos que tienen que ver con las interacciones de muchos sistemas, esto no es práctico.

Idealmente, la persona cambiaría su contraseña antes y / o después de que haya usado sus credenciales para resolver problemas con un servicio externo, pero a los usuarios generalmente no les gusta esto. Si le preocupa, simplemente mencione al administrador de TI. Estoy seguro de que a él no le importaría que cambies la contraseña antes de trabajar en ella.

En el caso de pequeñas empresas, algunas contraseñas para servicios externos pertenecen a la organización y no a la persona. Por ejemplo, supongamos que su sitio web estaba alojado en un proveedor de alojamiento barato de bargin-sótano que solo proporciona una sola cuenta para administrar el contenido. En un mundo perfecto, pagaría por un mejor servicio que proporcione cuentas individuales a cada usuario, pero en su realidad es muy común tener un conjunto de credenciales compartidas para servicios externos. Si desea que su tecnología lo ayude a descubrir por qué se arruinó alguna configuración, o por qué algún archivo está dañado, entonces necesitará acceso, y si solo tiene la opción de una sola cuenta, simplemente no tiene más remedio que comparte la contraseña.

    
respondido por el Zoredache 21.07.2011 - 18:46
fuente

Lea otras preguntas en las etiquetas