it-swarm.com.de

Wie kann ich mich vor falschen Anschuldigungen schützen, wenn unser Unternehmen ein Passwort-Treuhandkonto praktiziert?

Während eines Praktikums für eine kleine Firma hat mein Chef ein Konto für mich erstellt, also habe ich ein Passwort generiert und es verwendet. Am nächsten Tag sagte mein Chef, ich solle das Passwort meines Kontos auf ein Blatt Papier schreiben, es in einen Brief schreiben und den Umschlag unterschreiben. Dann nahm er den Brief und sagte mir, dass er berechtigt ist, den Umschlag zu öffnen und das Passwort zu lesen, um ihn zu verwenden, wenn er auf mein Konto zugreifen muss und ich nicht erreichbar bin.

Er sagte mir auch, dass dies in allen Unternehmen üblich ist . Jetzt weiß ich nicht, ob jedes Unternehmen dies tut (ich glaube nicht), aber für mich ist es nicht legal.

Nehmen wir an, mein Chef ist ein schlechter Mensch (er ist nicht) und er möchte mich für etwas einrahmen, das er getan hat. Er muss nur den Brief öffnen und mein Passwort lesen (sagen wir, dass ich nicht erreichbar bin) und seine schändliche Aktivität mit meinem Konto ausführen.

Jetzt sagen wir, ich kann meine Unschuld nicht beweisen. Wie kann ich das alles verhindern? Ich dachte daran, ein falsches Passwort aufzuschreiben, aber wenn er mein Konto wirklich braucht und ich nicht erreichbar bin, werde ich ihn in eine schlechte Situation bringen.

Also, gibt es eine Möglichkeit, mich zu schützen (ohne sich zu weigern, das Passwort aufzuschreiben)?

83
malloc

Dafür ist (oder sollte) der Umschlag bestimmt: Um Ihr Passwort zu verwenden, muss das Siegel des von Ihnen signierten Umschlags gebrochen werden. Wenn Sie glauben, dass Ihr Passwort missbraucht wurde, können Sie den Umschlag mit Ihrer Unterschrift einsehen und prüfen, ob er noch ungeöffnet ist.

Alles, was Sie tun müssen, ist, dass sollte Ihr Management jemals Ihr Passwort benötigt, das Passwort ändert und einen neuen Umschlag abgibt. Möglicherweise möchten Sie Ihr Kennwort trotzdem in regelmäßigen Abständen ändern: Dies ist eine bewährte Methode.

Übrigens: In Unternehmen mit einem ordnungsgemäßen IT-Management ist diese Methode nicht erforderlich, da Systemadministratoren alle erforderlichen Informationen von Benutzerkonten erhalten können, ohne die Kennwörter des Benutzers kennen zu müssen. Wenn sich ein Administrator wirklich bei einem Benutzerkonto anmelden muss, setzt er das Kennwort zurück (wodurch ein überprüfbarer Prüfpfad erstellt wird). In der Regel gibt es mehr als einen Systemadministrator, sodass für die Administratorkonten diese Methode ebenfalls nicht erforderlich ist.

122
Philipp

Ich glaube nicht, dass Sie sich in einer besonders schlimmeren Situation befinden, als Ihr Passwort nicht preiszugeben. Ihr Chef könnte:

  • Lassen Sie den Systemadministrator eine Kopie Ihres (gehashten) aktuellen Kennworts erstellen
  • Ändern Sie es in etwas Neues
  • Tu etwas Böses in deinem Namen
  • Setzen Sie das alte Passwort zurück (ersetzen Sie den Hash wieder, was er war)

Was tut Sie schützt, ist, dass es vermutlich Prüfpfade für Dinge gibt, die getan werden. Zum Beispiel das Verfolgen von E-Mails anhand von IP-Adressen.

Wenn überhaupt, sind Sie in einer besseren Situation als zuvor. Jetzt können Sie plausibel argumentieren, wenn in Ihrem Namen etwas Schlimmes getan wird: "Aber mein Chef bestand darauf, mein Passwort zu haben, vielleicht hat er es getan".

Wenn die Audit-Trails verwendet werden können, um die Unschuld Ihres Chefs in einer solchen Situation zu beweisen, können sie auch verwendet werden, um Ihre Unschuld zu beweisen. Und wenn es keine Prüfpfade gibt, wird es Zweifel geben, wer es wirklich getan hat - was auch immer "es" ist.

26
Nick Gammon

Ändern Sie Ihr Passwort sofort, nachdem Sie ihm den Umschlag übergeben haben.

Sie haben seine Anforderung erfüllt, ihm einen Umschlag mit Ihrem Passwort zu geben, und Sie haben die Anforderung erfüllt, ihn sicher aufzubewahren. In dem unwahrscheinlichen Fall, dass er versucht, das Umschlagkennwort zu verwenden, können Sie erklären, dass Sie es ändern mussten und er den neuen Umschlag noch nicht erhalten hat.

In keinem Fall würde ich jemandem ein Passwort von mir anvertrauen, auch nicht in einem versiegelten Umschlag. Ein Umschlag ist zu leicht zu durchbrechen , sogar ohne zu brechen das Siegel. Selbst wenn Sie "Sicherheitsumschläge" verwenden und ein helles Licht (Super-Taschenlampe, Büroprojektor, Autoscheinwerfer) auf der Rückseite platzieren, kann der Inhalt durch sie hindurch gesehen werden. Wenn man bedenkt, dass es sich bei den zu beschaffenden Informationen wahrscheinlich um ein großes gedrucktes einzelnes Wort handelt, ist es nicht sicher. Ich habe noch nie für eine Firma gearbeitet, die mich gebeten hat, ihnen ein Passwort in einem Umschlag zu geben.

Das in Ihrer Situation beschriebene Passwort-Treuhandkonto ist äußerst ungewöhnlich und mit Risiken verbunden. Das von Ihnen beschriebene Setup basiert darauf, dass Sie Ihrem Chef vertrauen, dass er nicht nur ehrlich mit seinen Absichten und Motivationen umgeht, sondern auch davon ausgeht, dass Ihr Chef diese Passwörter auf sichere Weise speichert. Werden die Umschläge in einem Safe aufbewahrt? Ein verschlossener Aktenschrank? Seine Schreibtischschublade? Ein Ordner auf seinem Schreibtisch?

Die ideale Situation:

Escrow: Ein System, bei dem ein uninteressierter Dritter Geld/Informationen/Eigentum unter der Bedingung verwahrt, dass bestimmte Anforderungen erfüllt sind, bevor diese Bestände an die empfangenden Parteien übertragen werden.

In Ihrem Szenario ist die Person, die das Kennwort besitzt, kein uninteressierter Dritter. Dies ist nicht perfekt, aber das Management vertraut darauf, dass sie ehrlich und sicher mit den Passwörtern umgehen.

Alternativen in anderen Antworten sind gute Vorschläge. Eine zusätzliche Alternative zum aktuellen Szenario wäre die Aufteilung des Kennworts in mehrere Teile. Zum Beispiel die Hälfte des Passworts, das Ihrem Manager und die andere Hälfte dem Manager Ihres Managers (oder der Personalabteilung, dem Abteilungsleiter oder dem CEO, was auch immer am sinnvollsten ist) gegeben wurde. Wie das Kennwort aufgeteilt wird und wie viele Personen Zugriff auf welche Teile des Kennworts haben, hängt von der Unternehmensführungsstruktur ab.

So wie sie versuchen, das Risiko zu mindern, indem sie in erster Linie ein Passwort-Treuhandkonto haben, sollten sie vermeiden, dass ein einziger Fehlerpunkt im Prozess auftritt. Das Vermeiden von Interessenkonflikten und das Erfordernis der Beteiligung mehrerer Parteien würde einen großen Beitrag zur Sicherheit des Passwort-Treuhandvertrags leisten. Es ist immer noch keine großartige Managementpraxis, aber es muss nicht so unsicher und riskant sein, wie nur das Passwort in einem einfachen Umschlag an den Chef zu übergeben. Selbst etwas so Einfaches und Billiges wie das Hinzufügen eines manipulationssicheren Sicherheitsbands würde das aktuelle Szenario verbessern.

13
Booga Roo

Philipp ist hier richtig. Lassen Sie mich etwas wiederholen, was er sagte:

Um Ihr Passwort verwenden zu können, muss das Siegel des von Ihnen unterschriebenen Umschlags gebrochen werden. Wenn Sie glauben, dass Ihr Passwort missbraucht wurde, können Sie den Umschlag mit Ihrer Unterschrift einsehen und prüfen, ob er noch ungeöffnet ist.

Um das zu ergänzen, was er sagt, scheint Ihr Unternehmen grob falsche IT-Management-Praktiken zu haben. An dieser Stelle sollten Sie sicherstellen, dass Ihr Passwort nicht mit dem übereinstimmt, das Sie an anderer Stelle verwenden.

Gehen Sie immer davon aus, dass Ihr Arbeitgeber Zugriff auf alles hat, was Sie online tun. Auch wenn sie es nicht tun. Melden Sie sich bei der Arbeit nicht in Ihren sozialen Netzwerkkonten an. Melden Sie sich nicht auf Ihren Bankkonten an. Verwenden Sie Ihren Arbeitscomputer für arbeitsbezogene Aufgaben. Wenn Sie ein Handy haben, ist es noch einfacher.

Ihr Arbeitgeber sollte in der Lage sein, im Rahmen des Gesetzes mit Ihrem Arbeitscomputer zu tun, was er will. Sie sollten keine Erwartungen an die Privatsphäre haben.

8
Mark Buffalo

Dies sollte in einem ordnungsgemäß konfigurierten System völlig unnötig sein, vorausgesetzt, Sie melden sich bei einer Unternehmensdomäne an. Wenn Sie sich in einem ordnungsgemäß konfigurierten System bei einer Unternehmensdomäne anmelden, werden alle Daten, die Sie im Netzwerk oder auf Ihrem lokalen System bearbeiten, erstellen oder auf die Sie Zugriff haben, an einem Ort gespeichert, auf den andere zugreifen können, die jeweils über ihre eigenen Anmeldeinformationen verfügen über die erforderlichen Berechtigungen für den Zugriff auf diese Daten verfügen. Durch die Verwendung ihrer eigenen Anmeldeinformationen haben sie nicht nur Zugriff auf Netzwerkdaten, sondern auch auf lokale Daten. In den Überwachungsprotokollen wird angezeigt, wer was wann getan hat. Es ist nicht nur eine schlechte Praxis, Ihren Benutzernamen und Ihr Passwort an JEDEN weiterzugeben, sondern ist auch sehr unregelmäßig, riskant und/oder weist auf eine inkompetente System-/Netzwerkadministration hin.

Wenn ich in Ihren Schuhen stecke, würde ich seine Vorgesetzten nach dieser Richtlinie fragen, mein Passwort ändern und ablehnen. Wenn Ihr Job bedroht ist, würde ich ihren Bluff anrufen und mich darauf vorbereiten, Klage wegen unrechtmäßiger Kündigung einzureichen, wenn Sie entlassen werden. Ich persönlich würde diese Informationen niemals weitergeben oder einem versiegelten Umschlag als Sicherheitsmaßnahme vertrauen, um die Menschen ehrlich zu halten (versiegelte Umschläge können geöffnet und wieder versiegelt werden, wenn Sie wissen wie oder ein neuer Umschlag, der mit einer gefälschten Unterschrift versiegelt ist) scheinbar netteste Chefs könnten einfach eine Handlung machen, bis sie dich anmachen und dich für etwas rahmen. Ich habe etwas Ähnliches gesehen, außer dass es sich bei einem versiegelten Umschlag mit einem Passwort um eine Festplatte mit einer Sicherungskopie der Verschlüsselungsschlüssel handelte. Der Fallout war nicht schön und der Manager wurde gefeuert, nachdem die Discs und Daten gestohlen wurden. Es überrascht nicht, dass der entlassene Manager nie einen anderen Job bekam, nie Geldprobleme hatte und ein Konkurrent mit genau dem Projekt, an dem wir gearbeitet hatten, zuerst auf den Markt kam. Vor dem Diebstahl hatte unser Konkurrent nicht einmal ein ähnliches Produkt. Sei vorsichtig und denke über meinen Rat nach. Das klingt für mich sehr verdächtig und so oft erweisen sich in diesen Zeiten die freundlichsten/nettesten Menschen als die giftigsten Schlangen.

4
Trust None

Dies ist leider in kleinen Unternehmen üblich, die Cloud-Dienste nutzen, ohne eine Geschäftsbeziehung mit dem Cloud-Anbieter zu haben.

Markieren Sie den Umschlag, um ihn etwas manipulationssicherer zu machen. Eine frühere Firma von mir verwendet immer noch meine persönliche E-Mail-Adresse in ihrer Domain. Sie hat es nie geschafft, ihre Domain-Registrierung zu ändern, nachdem ich gegangen bin.

Ändern Sie das Passwort häufig und geben Sie jedes Mal neue Umschläge ab. Sie müssten auch alle alten Umschläge vorlegen, damit sie nachweisen können, dass sie keinen geöffnet haben. Da die meisten Online-Dienste keinen Prüfpfad bereitstellen. So kann man immer unschuldig aufrecht stehen.

3
Matthias Š

Nennen wir es so, wie es ist: a Problemumgehung mangels ordnungsgemäßer Zugriffskontrolle. Die wirkliche Lösung besteht darin, die Zugangskontrolle zu verbessern.

Im Einzelnen hier: Warum kann Ihr Chef nicht auf die Dinge zugreifen, auf die Sie mit seinem eigenen Konto zugreifen können?

Der einzige Zweck von Anmeldeinformationen ist die Authentifizierung einer Identität. Wenn wir das brechen, werden sie nutzlos. Sie können auch das Konzept eines "Kontos" entfernen und für alles gemeinsame Geheimnisse verwenden.

Als Alternative zur völligen Ablehnung könnte es sich lohnen, ihn zu überzeugen, das Grundproblem anzugehen (das wahrscheinlich aufgrund eines Missverständnisses aufgetreten ist). Wenn dies richtig argumentiert wird, sollte dies keine Reibung verursachen: Das Endergebnis ist ein sichereres System für alle.

3
tne

Ich musste nie in einer Firma sein, in der ich war.

In diesem Fall würde ich eine Nachricht mit der Aufschrift "Im Notfall ruf mich auf dem Handy an Handynummer" in den Umschlag legen.

Im Notfall kann ich das Passwort telefonisch buchstabieren und darüber informiert werden, dass es verwendet wurde - und mein Chef kann alles tun, was nötig ist. Es ist also alles was er braucht.

Wenn der Umschlag missbraucht/gestohlen/gescannt/zerbrochen wird, kann sich niemand als ich ausgeben.

2
gilhad

Die bloße Existenz des Umschlags schützt Sie vor schändlichen Handlungen Ihres Chefs. Im Allgemeinen müssen Sie Ihre Unschuld nicht beweisen. Jemand anderes muss deine Schuld beweisen. Und das wird ziemlich schwierig, wenn bekannt ist, dass jemand anderes Zugriff auf das belastende Konto hat. Wenn Sie sich darüber wirklich Sorgen machen, unterschreiben Sie einfach den Wonky-Umschlag. Wenn es Ihrem Chef dann gelingt, das Passwort durch den Umschlag zu lesen, um etwas Schändliches zu tun, können Sie die Gültigkeit des Umschlags selbst widerlegen.

Randnotizen:

  1. Dies ist in keinem großen Unternehmen üblich, aber ich kann sehen, wie sinnvoll es für jemanden ist, der versucht, ein kleines Unternehmen zu führen. Tatsächlich habe ich von mehreren kleinen Unternehmen gehört, die in Schwierigkeiten geraten sind, als eine wichtige Ressource verlassen wurde, ohne die Passwörter an verschiedene Software weiterzugeben.
  2. Wenn Sie jemals mit Ihrem Konto eine Straftat begehen möchten, stellen Sie sicher, dass viele andere Personen zuerst Zugriff auf Ihr Passwort haben.
1
james turner

Es ist eine große Lüge - niemand braucht Ihren Pass, um auf Ihr Konto zuzugreifen. Es gibt ein Administratorkonto, nur um diesen Zweck zu erfüllen. Noch mehr - es ist keine übliche Praxis außer für Betrüger, die Ihnen die Schuld geben und Ihre Gehaltsabrechnung reduzieren/entfernen möchten . Weder Ihr Pass noch Ihre Zertifikate sind erforderlich, damit ein Administrator Ihr vollständiges Konto einsehen kann.

1
Alexey Vesnin

Dies hängt tatsächlich von den Gesetzen Ihres Landes und/oder Staates ab, in denen Sie leben. Dies ist eher eine Frage des Arbeitsrechts als eine Frage der Cybersicherheit.

Der Grund dafür, dass es sich um eine arbeitsrechtliche Frage handelt, liegt darin, dass sie von der Größe der Organisation, den betreffenden Daten und Systemen, dem allgemeinen Arbeitsvertrag und den Unternehmensrichtlinien abhängt.

Unternehmen können und schreiben dies in Arbeitsverträge. Im Allgemeinen wird in Ihrem Mitarbeiterhandbuch erläutert, welche Daten oder Informationssysteme zu ihnen gehören, oder es gibt Klauseln in der allgemeinen Unternehmensrichtlinie, die beschreiben, welche Informationssysteme zu ihnen gehören. Wenn sie das betreffende System besitzen, je nachdem, wofür das System verwendet wird, haben sie nicht nur das Recht auf Ihr Passwort, sondern dürfen gesetzlich mit Ihrem Passwort, den mit dem System verbundenen Daten und allem, was darin enthalten ist, tun, was sie wollen zwischen allen in Übereinstimmung mit den Bundes-, Landes- und örtlichen Gesetzen in Ihrer Gerichtsbarkeit.

Aus diesem Grund können Unternehmen die Verwendung von Proxys zur Aufzeichnung von Informationen erzwingen. Wenn sich das betreffende System jedoch nicht im Besitz der Organisation befindet und Sie das Netzwerk verwenden, wird es aufgrund der Datenschutzgesetze zu einer Grauzone.

Die einzige Möglichkeit, dies zu verhindern, ist die folgende :

1) Kurz gesagt, Sie als Mitarbeiter können dies nicht verhindern, wenn sie die Informationen/Daten und das System besitzen, auf das Sie Zugriff haben.

2) Lesen Sie Ihr Mitarbeiterhandbuch und Ihren Arbeitsvertrag und fragen Sie speziell, welche Informationen und Daten speziell dem Unternehmen gehören. Dies umfasst alles von Ihren Ideen, Ihrer Erfindungsabtretungsvereinbarung und allen persönlichen Informationen, die Sie als privat betrachten.

3) Trennen Sie den persönlichen Gebrauch vom Unternehmensgebrauch. Wenn das Unternehmen Ihnen einen Laptop oder ein Informationssystem zur Verfügung stellt, verwenden Sie diesen nicht für den persönlichen Gebrauch. Dies ist der Bereich, der grau wird. Wenn Sie beispielsweise Unternehmensgeheimnisse auf Facebook veröffentlicht haben, unabhängig davon, ob diese auf Ihrem oder ihrem PC gespeichert sind, besitzen sie möglicherweise weiterhin die Daten.

0
Night Monkey

Wenn Sie sich Sorgen machen, dass Ihr Chef den Umschlag öffnet, Ihr Passwort für schändliche Taten verwendet und dann Ihr Passwort in einem neuen Umschlag wieder verschließt und Ihre Unterschrift fälscht, spritzen Sie einfach ein wenig Farbe im Jackson Pollock-Stil auf den Umschlag Nachdem Sie direkt über den geklebten Bereich unterschrieben haben, machen Sie ein paar sehr hochauflösende Fotos des Umschlags, um mögliche Pollock-Fälschungen leicht zu identifizieren. Schützen Sie das Passwort auch vor sichtbaren, infraroten, Röntgen-, Gammastrahlen oder anderen Formen von Peeping-Strahlung, die es Ihrem Chef ermöglichen können, Ihr Passwort zu lesen, ohne den Umschlag zu öffnen, indem Sie Ihr Passwort in eine dicke Leitung einschließen Fall, bevor Sie es in den Umschlag stecken.

Natürlich müssen Sie sich auch Sorgen machen, dass Sie von einer Kamera aufgezeichnet wurden, als Sie das Passwort notiert haben. Stellen Sie in diesem Fall sicher, dass Sie das alles zu Hause getan haben und dass er nie Zugang zu Ihrem Haus hatte.

Ich denke, das deckt es ab.

BEARBEITEN:

Außer natürlich, wenn Ihr Chef den Umschlag aufreißt, die schändlichen Taten ausführt und dann am selben Tag, an dem die Überwachungskameras repariert werden und offline sind, im Snackraum nebenan ein schweres Toasterfeuer auslöst, wodurch das gesamte Passwort verbrannt wird Umschläge und sich von jeglichem Verdacht zu befreien. Ich schlage daher vor, dass Sie den gesamten Raum und die angrenzenden Räume mit einem flammhemmenden Schaum besprühen. Das sollte dein Problem lösen.

0
Buttle Butkus