¿Está bien decirle su contraseña al administrador de su empresa?

Respuesta corta:

¡ABSOLUTAMENTE NO!
Su contraseña está entre usted y su computadora solo.
Nadie más.

No es su jefe, su jefe, el administrador del sistema, su funcionario bancario, su agente de seguros, su técnico de soporte de ISP o su gato. Bueno, tu gato puedes decirlo, si ella promete no compartirlo.

NUNCA hay una buena razón para compartir una contraseña.
Hay muchas razones para no hacerlo. Principalmente, porque una contraseña es TU autenticación, y tan pronto como una sola persona lo sepa, ya no podrá probar tu identidad.

Cualquier razón por la que se le ocurra a su administrador es falsa, ya sea porque es malicioso, perezoso, está mal informado o es incompetente.
Dicho esto, puede que no sea su culpa, sino la culpa de su organización. De cualquier manera, hay incompetencia, la ignorancia y la pereza abundan.

Si un administrador, o CUALQUIER técnico de soporte técnico solicita su contraseña, la respuesta correcta es RISA.
Porque no hay manera de que sean serios, ¿verdad?

Si su administrador insiste, explíquele que compartirá su contraseña con él ... y que, basándose en esto, va a enviar correos electrónicos desagradables a todo el mundo, no a sobre él, pero usted reclamará que vinieron de él (usando su cuenta, en su nombre, usando su contraseña que acaba de compartir con él). Por supuesto, no podrá demostrar que no hizo un uso incorrecto de su contraseña ... ese es el punto.

No, pensándolo bien, simplemente no le des tu contraseña. Es tuyo, solo entre tú y la computadora.

Probemos otra idea: ¿le darías un dedo a tu administrador de TI para que pueda reparar tu acceso a tu edificio mientras trabajas?

Asumiré que la respuesta es no. Lo mismo se aplica a su contraseña. Incluso si tiene una contraseña única para todos sus servicios (lo que nunca sucede, incluso para mí, lo confieso), la contraseña nunca se debe compartir con nadie. Es lo único que puede autenticarse. Eso puede molestarle tener que perder tiempo con su soporte de TI, pero también puede enviarlo a la cárcel por mucho tiempo.

Entonces, definitivamente: no

Antes se explicó que nadie debería darle su contraseña a un administrador (estoy de acuerdo con todo), pero debes verificar con su superior lo que está pasando, porque si él pregunta la tuya, es posible que pregunte la contraseña de los otros 18 (el 19 es probablemente su superior) y estoy bastante seguro de que algunos de sus compañeros de trabajo usan la misma contraseña en todas partes.

Respuesta corta, si él es un administrador, nunca debería necesitar su contraseña. El peor de los casos es que necesita restablecer su contraseña y darle una nueva (que usted cambiaría rápidamente).

A menos que existan algunas circunstancias atenuantes, las contraseñas / códigos / frases son solo para usted. (p. ej., si el administrador no tiene una cuenta privilegiada en su PC)

Ingresé a algunos trabajos en los que un empleado de mucho tiempo tendrá una máquina única que no tiene una cuenta de administrador que pueda usar en ella, pero incluso así es una mejor solución para el usuario (suponiendo que tienen los derechos para hacer del administrador una cuenta privilegiada que puedan usar. Así que incluso entonces me cuesta mucho pensar en alguna razón viable por la que el administrador necesite su contraseña. Siempre es un día triste saber que el usuario no tiene derechos administrativos, no está conectado al dominio y el administrador que lo configuró no ha trabajado allí durante 10 años ...

p.s. Como se dijo en otra respuesta, es posible que el administrador esté acostumbrado a recibir el tratamiento de "superarlo" de sus superiores, lo que puede hacer que solo pidan las contraseñas.

Puede que sea hora de desenterrar su política de seguridad de TI. Si tienes uno en tu organización. De lo contrario, es hora de que el equipo se siente y escriba uno.

Puede darse el caso de que este administrador no lo haya leído o no haya recibido capacitación.

Una cultura de proporcionar contraseñas sin duda aumentará las posibilidades de que se incluyan las cuentas si no existen controles para verificar cada solicitud.

Las cuestiones planteadas sobre la responsabilidad también son un poco preocupantes.

No es una buena práctica, por supuesto.

También hay otro problema con el uso compartido de contraseñas.

Si algo le sucede a su cuenta o a su cuenta mientras alguien más está registrado, usted será el culpable. Incluso si dentro de la empresa está bien compartir la contraseña por política de seguridad, legalmente (por ley; al menos en mi país) usted será el acusado.

La pregunta central que se hace es: "¿Alguna vez es necesario que un administrador solicite una contraseña?" Claramente, no debería ser necesario. Pero definamos "necesario" como "requerido para lograr algo crítico".

Con estos parámetros, en los casos con fallas graves o graves en la infraestructura de seguridad, puede ser necesario exponer una contraseña para realizar tareas críticas. He visto sistemas fallidos tanto en grandes corporaciones como en el gobierno que se ejecutaron de esta manera durante años antes de encontrarlos. Y desde el punto de vista de mantener la operación en funcionamiento, sí, fue necesario continuar teniendo ese tipo de exposición de contraseña mientras se realizaban las correcciones.

La clave en cada caso fue documentar el problema, documentar y comunicar claramente los riesgos de operar en esta situación de seguridad defectuosa, obtener una declaración de la política del liderazgo que dirija en qué circunstancias debe ocurrir la exposición de la contraseña mientras se hacen las correcciones, luego para documente cualquier exposición de contraseña necesaria para continuar operando mientras se corrige el sistema de seguridad.

En resumen, nunca debería ser necesario. Pero, si es así, protéjase moviendo el riesgo de responsabilidad hacia usted y hacia la parte responsable de las decisiones / infraestructura que lo hicieron innecesariamente necesario. Y, por supuesto, si no hay un movimiento para solucionar el problema, es posible que desee considerar seguir adelante.

Tal vez .. ¿Cuánto confías en ellos? ¿Utilizas esta contraseña en otro lugar? Si es la misma contraseña (o una simple derivación de la misma) que usa para obtener acceso a lugares que permiten la manipulación directa de sus finanzas, entonces debe confiar en que el administrador del sistema no use su contraseña para obtener acceso a esas áreas. Servicio de atención al cliente de Amazon: "Bueno, señor, nuestros archivos de registro y pistas de auditoría muestran que usted compró esas 1200 copias de" Sharknado 2 "."

¿Su conveniencia es más importante que su seguridad? "Hombre ... Si no le doy mi contraseña actual al administrador del sistema, la cambiarán y tendré que cambiarla nuevamente en la configuración de correo electrónico de mi teléfono. ¡¡¡BOGUS !!!"

¿Es la contraseña una que lo avergonzaría para que la gente lo sepa? (estrella de Reality TV favorita, palabra de juramento, posición sexual ...)

Los ejemplos anteriores sugieren que la respuesta sería "no". Pero ...

El administrador del sistema: "Desde que decidió cifrar su disco duro con Truecrypt que la compañía no admite, no puedo recuperar ningún dato de su computadora portátil a menos que tenga su contraseña de descifrado".

Por lo tanto, la respuesta no será "sí" o "no" en todas las circunstancias. La respuesta depende de las circunstancias que rodean la razón por la que se le pregunta.

Y ... siempre ten en cuenta que, aparte de ti, se podría dañar de alguna manera si alguien además de ti tuviera tu contraseña. Servicio secreto: "¡Sr. Presidente! Le dio los códigos de lanzamiento nuclear a ese tipo ???"

Si el administrador está tratando de diagnosticar un problema que solo tiene usted, puede haber una buena razón para acceder a su cuenta "como usted" para identificar su problema de manera eficiente. Tiene muchas más probabilidades de solucionar su problema si se lo facilita.

Tenga en cuenta que sus datos no son realmente secretos de los administradores de sistemas, por lo que los únicos Lo que realmente estás protegiendo es la propia contraseña. Si ya estas Después de la buena seguridad de las contraseñas, no tiene ningún valor siempre que la vuelvas a cambiar. tan pronto como se hacen.

La alternativa: que tengan una puerta trasera para evitar la necesidad de contraseñas, Tampoco es realmente atractivo.