Soy un consultor de TI. ¿Debo disuadir a un cliente de que me diga su contraseña?

Al tratar con clientes domiciliarios o pequeñas empresas , elegiría el "Plan A". Como dijo Adnan, está guardando datos triviales. Omitir la contraseña, o incluso recuperarla, es bastante simple.

Para responder a sus preguntas:

1. No puedo pensar en una sola razón por la que sería malo saber la contraseña de inicio de sesión de sus hijos.
2. Éticamente, debe facturar solo por el protocolo estándar. Esto es lo que se acuerda y se paga. Si comunica un estándar para el manejo de contraseñas, su cliente puede aceptar eso o rechazarlo y buscar negocios en otra parte.

El plan B es el que consume más tiempo. Es posible que su cliente no pueda acceder a la computadora desde un principio.

En general, preguntamos a los clientes "¿cómo puedo iniciar sesión?", inicié sesión en el administrador predeterminado o restablecimos la contraseña y les pedimos que la cambiaran al regresar. Si no puede hacerlo rápidamente, notifique a su cliente.

Como consultor de TI, sea consistente. Si está tratando a alguien que conoce 2-3 años diferente a un cliente nuevo, está comprometiendo sus políticas.

Al tratar con una empresa o un cliente del gobierno, nunca debe saber su contraseña. Nunca debe preguntar, y si intentan o le dicen la contraseña, informe de inmediato.

El proyecto del gobierno en el que trabajé, usamos Plan C a través de Active Directory. Un cliente que se quejó una vez, restablecí su contraseña (en lugar de Plan A). Nuestro gerente de seguridad cibernética reprimió a toda la gerencia superior y me guardó el tocino.

El problema no está relacionado con esta en particular. Vamos a evaluar la situación aquí:

• Eres una persona confiable para ellos
• Es muy probable que la contraseña asegure datos triviales

Darle la contraseña no es tan importante en este caso. El problema (como usted dijo en su pregunta) es que le da el hábito de dar contraseñas.

Definitivamente me quedaría con el plan B. ¿Por qué?

• Es el mejor compromiso entre seguridad y conveniencia en este caso.

• Le enseñará a no compartir la contraseña, especialmente si la lección proviene de una persona confiable para él.

• Lo hará parecer aún más profesional y mostrará su interés en la seguridad de su cliente.

• No sabe, él podría correr la voz sobre esta situación y de alguna manera usted estaría contribuyendo a una mejor comprensión de la seguridad (en este tipo de situaciones) en su círculo de amigos / familia.

En cuanto a tu segunda pregunta, no creo que sea la mejor persona para responder esto, pero diría que no. Si algo te demora entre 2 y 3 minutos y es obviamente trivial en comparación con otra tarea (solucionar cualquier problema con la computadora), no le cobres al cliente los 3 minutos adicionales de trabajo. Hace que nadie se vea bien.

Le sugeriría el plan B, pero no lo empuje si no quiere molestar.

Tendrá acceso físico no supervisado a la computadora portátil, a menos que haya una contraseña de cifrado de disco que no haya mencionado, es casi seguro que sea suficiente para hacer lo que quiera sin ninguna contraseña de cuenta, incluida la instalación de puertas traseras para el acceso remoto posterior. y saber la contraseña solo te ahorra trabajo innecesario.

Entonces, si tiene razón en confiar en ti, no necesita ninguna seguridad adicional, y si se equivoca al confiar en ti, el cambio de contraseña temporal (o cuenta adicional) no le da ninguna seguridad adicional real.

Por otra parte, si aún no tiene una cuenta de invitado sin privilegios, anímelo a que establezca una, para que si sus hijos dejan que sus amigos la usen, puedan usarla. (Y si puede hacer el trabajo necesario desde una cuenta de este tipo, utilícelo usted mismo, pero parece menos probable).

Admito la sugerencia de TildalWave .

En realidad, creo que deberías ir a su casa y mostrarle lo fácil que es descifrar la contraseña, por ejemplo con Cain & Abel (sin mostrarle cómo obtener este software, ni qué software es, por lo que no tendrá la tentación de hacerlo solo más tarde). ENTONCES, cambia la contraseña con él y le da algunos consejos sobre contraseñas seguras y buenos hábitos de seguridad.

Creo que mostrarle estas cosas fortalecerá su confianza mutua, no la rebajará.

Pero si no puedes venir a su casa, entonces sí, solo permítele que te diga la contraseña de sus hijos, ya que no tendrá ningún "efecto impactante del que pueda aprender" para pedirle que cambie a una contraseña temporal.

Acerca de cuánto puedes cobrar ... bueno, parece que es un amigo más que un cliente, así que cárgalo como un amigo, no como un cliente.

Pregúntese, ¿sería más difícil para usted abusar de la confianza que esta persona tiene en usted siguiendo alguno de los planes propuestos, y si realmente desea hacerlo? No lo creo. Cada uno de los planes que propones son fácilmente explotables por otra persona que no sea usted. ¿Por qué sé que no abusarás de su confianza? Porque viniste a preguntar por tu dilema; Algo que incluso una persona un poco menos honesta nunca consideraría, y una persona completamente deshonesta preferiría buscar una vergüenza falsa en un sitio web público que facilite la prueba de la identidad de esta persona.

Por lo tanto, como lo veo, su dilema no es probar su confiabilidad, o evitar cualquier duda en sus intenciones honestas al proponer planes que podrían requerir menos de eso, pero más no está acostumbrado a que los conocidos de negocios pongan tanto. Confía en ti también en la vida privada. Probablemente ya te hayas ganado esta confianza de otras maneras, y esta persona está preparada para hacer avanzar esta amistad. Algo que, al parecer, te ha sorprendido como una sorpresa, ¿me imagino?

Por lo tanto, tenemos estos tres planes, ninguno de ellos perfecto en un entorno no confiable, y todos ellos casi idénticos en un entorno confiable. Así que te propongo que simplemente sigas un plan que sea el más fácil para ambos. Tan simple como eso.

En cuanto al pago, esto es lo que hago en tales situaciones: nunca cobro por ello, ni pido ninguna compensación o devolución de favores. De todas formas, es más que nada realizar tareas que son fáciles de realizar, y si son más desafiantes (poco frecuentes), lo tomo como un desafío. Aun mejor. Sin embargo, si la persona a la que estoy haciendo este favor insiste en que me pague de alguna manera, aceptaré una pequeña muestra de agradecimiento (invitación a una cerveza, un trozo del pastel que su esposa hizo al horno, ...), o si se ofrece dinero: proporcione una dirección web de mi organización benéfica favorita y pídale que la done y nunca vuelva a preguntar (pero una vez que esté fuera, entonces es difícil para esa persona desprenderse del dinero). el dinero ofrecido (algunos pueden ser demasiado generosos), pueden conservarlo sin remordimientos).

En este caso en particular, diría que ir con Plan B o simplemente aceptar su contraseña.

El plan B tiene más sentido, siempre que también expliques exactamente por qué estás haciendo lo que estás haciendo.

Sin embargo, en algunos casos, especialmente si se trata de una contraseña compartida utilizada por todos los niños, cambiar la contraseña puede ser una molestia. Estoy pensando en particular en Apple. Rara vez necesito mi ID de Apple, e invariablemente olvido la contraseña y tengo que pasar por las preguntas de seguridad habituales, etc., antes de poder restablecerla. Pero cada vez que elijo una nueva contraseña, y la convierto en una variación oscura de algo memorable, me dicen que ya he usado la contraseña. Esto es una molestia, y si algunas personas comparten la misma contraseña, las posibilidades de bloquear la cuenta pueden ser bastante altas.

Así que haz una llamada de juicio.

El plan B es el más seguro, porque nunca se ve cuál es el patrón de contraseña de la persona (casi todos tienen un patrón que usan para elegir contraseñas). El plan C es una buena alternativa. Incluso si lo cambia de nuevo a lo que era, usted hizo su debida diligencia al sugerirle y ayudarlo con el cambio de contraseña y puede decir legítimamente que no conoce la contraseña si algo sucede más adelante. (no lo sabes, a menos que te diga que lo restableció de nuevo a lo que era)

Creo que todos los planes no son divertidos para el cliente. pero por necesidad, el plan B debería estar hecho.

Esto es una pérdida de tiempo y dinero. pero debes decirle a tu cliente que primero oculte todos sus datos importantes, antes de que aleatorices la computadora. Creo que el navegador en una contraseña que es más importante.