it-swarm.com.de

Ich bin ein IT-Berater. Sollte ich einen Kunden davon abhalten, mir sein Passwort mitzuteilen?

Ich bin ein IT-Berater. Ein Kunde kennt mich seit einigen Jahren. Er möchte, dass ich wieder am Laptop seiner Kinder arbeite. Ich muss mich in das Windows-Benutzerkonto seiner Kinder einloggen. (Ich vermute, dass mehrere Kinder einen Account teilen.)

Dieses Mal möchte er die Maschine bei mir abgeben. Er wird mir das Passwort der Kinder mitteilen wollen ( "Plan A" ): Er vertraut mir. Ich möchte jedoch nicht, dass er sich an unsichere Praktiken wie das Teilen von Passwörtern mit IT-Beratern gewöhnt.

Ich könnte einen "Plan B" vorschlagen und drücken:

  • Er ändert das Passwort der Kinder in ein neues, temporäres Passwort.
  • Ich melde mich an, erledige die Arbeit und erzwinge bei der nächsten Anmeldung eine Kennwortänderung.

Oder ich könnte ihn dazu drängen, mir ein Konto zu erstellen, damit ich einem "Plan C" folgen kann:

  • Ich habe das Passwort der Kinder zurückgesetzt.
  • Ich melde mich an, erledige die Arbeit und erzwinge bei der nächsten Anmeldung eine Kennwortänderung.

Trotzdem möchte ich ihn glücklich machen und ich möchte nicht, dass er Zeit oder Geld verschwendet. Ich möchte ihn nicht in Richtung Plan B oder Plan C drängen, es sei denn, dies ist absolut notwendig. Ich wundere mich:

  1. Ist es wirklich so schlimm für ihn, mir nur das Passwort der Kinder zu sagen? Wenn es schlecht ist, erklären Sie bitte warum und geben Sie eine Quelle an, wenn Sie können.

  2. (Optional :) Ich sage den Kunden immer einen Stundensatz. Aber in letzter Zeit habe ich von Minute zu Minute abgerechnet. Wenn wir uns für Plan C entscheiden, ist es für mich ethisch korrekt, ihm die zusätzlichen Minuten in Rechnung zu stellen, die ich dafür benötige?

Wenn ich mit zu Hause oder Kleinunternehmen Kunden zu tun habe, würde ich mich für "Plan A" entscheiden. Wie Adnan sagte, schützt es triviale Daten. Das Passwort zu umgehen oder sogar abzurufen ist ziemlich einfach.

So beantworten Sie Ihre Fragen:

  1. Ich kann mir keinen einzigen Grund vorstellen, warum es schlecht wäre, das Login-Passwort seiner Kinder zu kennen.
  2. Ethisch gesehen sollten Sie nur das Standardprotokoll in Rechnung stellen. Dies ist vereinbart und bezahlt. Wenn Sie einen Standard für die Behandlung von Passwörtern kommunizieren, kann Ihr Kunde diesen entweder akzeptieren oder ablehnen und woanders Geschäfte finden.

Plan B ist am zeitaufwändigsten. Ihr Kunde kann möglicherweise zunächst nicht auf den Computer zugreifen.

Im Allgemeinen haben wir Kunden gefragt, wie ich mich anmelden kann, den Standardadministrator angemeldet oder das Kennwort zurückgesetzt und es bei der Rücksendung ändern lassen. Wenn Sie dies nicht schnell tun können, benachrichtigen Sie Ihren Kunden.

Seien Sie als IT-Berater konsequent. Wenn Sie jemanden behandeln, den Sie 2-3 Jahre anders kennen als einen brandneuen Kunden, gefährden Sie Ihre Richtlinien.


Wenn Sie mit einem nternehmen oder Regierungskunden zu tun haben, sollten Sie dessen Passwort niemals kennen. Sie sollten niemals fragen, und wenn sie versuchen oder erfolgreich sind, Ihnen ihr Passwort mitzuteilen, melden Sie sie sofort.

Bei dem Regierungsprojekt, an dem ich gearbeitet habe, haben wir Plan C über Active Directory verwendet. Ein Kunde hat sich einmal beschwert, dass ich sein Passwort zurückgesetzt habe (anstelle von Plan A). Unser Cyber-Sicherheitsmanager hat das gesamte obere Management gekaut und meinen Speck gerettet.

16
Nathan Goings

Das Problem liegt nicht in der Situation this. Lassen Sie uns die Situation hier beurteilen:

  • Sie sind eine vertrauenswürdige Person für sie
  • Das Passwort sichert sehr wahrscheinlich triviale Daten

In diesem Fall ist es keine große Sache, Ihnen das Passwort zu geben. Das Problem (wie Sie in Ihrer Frage angegeben haben) ist, dass er sich angewöhnt, Passwörter herauszugeben.

Ich würde definitiv mit Plan B gehen. Warum?

  • In diesem Fall ist dies der beste Kompromiss zwischen Sicherheit und Komfort.

  • Es wird ihm beibringen, kein Passwort zu teilen, insbesondere wenn die Lektion von einer vertrauenswürdigen Person für ihn kommt.

  • Dadurch sehen Sie noch professioneller aus und zeigen Ihr Interesse an der Sicherheit Ihres Kunden.

  • Sie wissen nicht, dass er das Wort über diese Situation verbreiten könnte und auf eine Weise, die Sie zu einem besseren Verständnis der Sicherheit (in solchen Situationen) in seinem Freundes-/Familienkreis beitragen würden.

Was Ihre zweite Frage betrifft, denke ich nicht, dass ich die beste Person bin, um diese zu beantworten, aber ich würde nein sagen. Wenn etwas 2-3 Minuten dauert und es im Vergleich zu einer anderen Aufgabe offensichtlich trivial ist (Beheben von Problemen mit dem Computer), werden dem Kunden die zusätzlichen 3 Minuten Arbeit nicht in Rechnung gestellt. Es lässt niemanden gut aussehen.

51
Adi

Ich würde ihm Plan B vorschlagen, aber nicht Push it, wenn er sich nicht darum kümmern will.

Sie haben unbeaufsichtigten physischen Zugriff auf den Laptop. Wenn Sie kein Kennwort für die Festplattenverschlüsselung haben, das Sie nicht erwähnt haben, können Sie mit ziemlicher Sicherheit ohne Kontokennwörter tun, was auch immer Sie möchten, einschließlich der Installation von Hintertüren für den späteren Fernzugriff und der Kenntnis des Kennworts Passwort erspart Ihnen nur unnötige Arbeit.

Wenn er also Recht hat, Ihnen zu vertrauen, braucht er keine zusätzliche Sicherheit, und wenn er sich irrt, Ihnen zu vertrauen, gibt ihm die vorübergehende Kennwortänderung (oder das zusätzliche Konto) keine echte zusätzliche Sicherheit.

Wenn es jedoch noch kein nicht privilegiertes Gastkonto gibt, ermutigen Sie ihn, ein Konto einzurichten. Wenn seine Kinder es ihren Freunden erlauben, können sie das verwenden. (Und wenn Sie die notwendige Arbeit von einem solchen Konto aus erledigen können, verwenden Sie es selbst, aber das scheint weniger wahrscheinlich.)

22
armb

Ich unterstütze TildalWaves Vorschlag .

Eigentlich denke ich, Sie sollten lieber zu ihm nach Hause gehen und ihm zeigen, wie einfach es ist, ein Passwort zu knacken, zum Beispiel mit Cain & Abel (ohne ihm zu zeigen, wie man diese Software erhält oder welche Software es ist, damit er es nicht tut versucht sein, das später selbst zu tun). DANN ändern Sie mit ihm das Passwort und geben ihm einige Tipps zu einem sicheren Passwort und guten Sicherheitsgewohnheiten.

Ich denke, dass Sie ihm diese Dinge zeigen, um Ihr gegenseitiges Vertrauen zu stärken, nicht um es zu senken.

Aber wenn Sie nicht zu ihm kommen können, dann erlauben Sie ihm einfach, Ihnen das Passwort seiner Söhne mitzuteilen, da es keinen "schockierenden Effekt hat, von dem er lernen kann", ihn zu bitten, zu einem temporären Passwort zu wechseln.

Wie viel Sie berechnen können ... Nun, es sieht so aus, als wäre es mehr ein Freund als ein Kunde. Laden Sie ihn also wie einen Freund auf, nicht wie einen Kunden.

5
Yannovitch

Fragen Sie sich, ob es für Sie schwieriger ist, das Vertrauen dieser Person in Sie zu missbrauchen, indem Sie einem der vorgeschlagenen Pläne folgen, und ob Sie es wirklich wollten? Das glaube ich nicht. Jeder der von Ihnen vorgeschlagenen Pläne kann genauso leicht ausgenutzt werden - von jemand anderem als Ihnen. Warum weiß ich, dass Sie sein Vertrauen nicht missbrauchen werden? Weil du hierher gekommen bist, um nach deinem Dilemma zu fragen; Etwas, das selbst eine etwas weniger ehrliche Person niemals in Betracht ziehen würde, und eine völlig unehrliche Person würde lieber auf einer öffentlichen Website nach Verleugnungsbetrug suchen, der es einfacher macht, die Identität dieser Person zu beweisen.

So wie ich es sehe, besteht Ihr Dilemma nicht darin, Ihre Vertrauenswürdigkeit zu beweisen oder Zweifel an Ihren ehrlichen Absichten zu vermeiden, indem Sie Pläne vorschlagen, die möglicherweise weniger davon erfordern, sondern Sie sind es nicht gewohnt, dass Geschäftsfreunde so viel Vertrauen in Sie setzen auch im Privatleben. Sie haben dieses Vertrauen wahrscheinlich schon auf andere Weise erworben, und diese Person ist bereit, diese Freundschaft voranzutreiben. Etwas, das Sie anscheinend etwas überrascht hat, stelle ich mir vor?

Wir haben also diese drei Pläne, von denen keiner in einer nicht vertrauenswürdigen Umgebung perfekt ist und alle in einer vertrauenswürdigen Umgebung nahezu identisch sind. Deshalb schlage ich vor, dass Sie einfach einem Plan folgen, der für Sie beide am einfachsten ist. So einfach ist das.

Was die Zahlung betrifft, mache ich in solchen Situationen Folgendes: Ich berechne niemals dafür oder bitte um Entschädigung oder Gegenleistung. Es sind meistens Routineaufgaben, die ich sowieso leicht erledigen kann, und wenn sie herausfordernder (seltener) sind, nehme ich das als eine Herausforderung. Noch besser. Wenn jedoch die Person, der ich diesen Gefallen tue, darauf besteht, mich auf irgendeine Weise zurückzuzahlen, akzeptiere ich entweder ein kleines Zeichen der Wertschätzung (Einladung zu einem Bier, ein Stück Kuchen, das seine Frau gebacken hat, ...), oder wenn Geld angeboten wird - geben Sie eine Webadresse meiner bevorzugten Wohltätigkeitsorganisation an und bitten Sie die Person, dieses Geld zu spenden, und fragen Sie nie wieder danach (aber wenn ich einmal weg bin, wenn es für diese Person schwierig ist, sich von der zu trennen angebotenes Geld - manche können zu großzügig sein - sie können es ohne Reue behalten).

4
TildalWave

In diesem speziellen Fall würde ich entweder sagen, gehen Sie mit Plan B oder akzeptieren Sie einfach sein Passwort.

Plan B ist am sinnvollsten, vorausgesetzt, Sie erklären auch genau, warum Sie das tun, was Sie tun.

In einigen Fällen, insbesondere wenn es sich um ein gemeinsames Passwort handelt, das von allen Kindern verwendet wird, kann das Ändern des Passworts jedoch schmerzhaft sein. Ich denke insbesondere an Apple. Ich brauche sehr selten meine Apple ID) und vergesse immer das Passwort und muss die üblichen Sicherheitsfragen usw. durchgehen, bevor ich es zurücksetzen kann. Aber jedes Mal, wenn ich ein neues Passwort wähle und es mache Als obskure Variation von etwas Denkwürdigem wird mir gesagt, dass ich das Passwort bereits verwendet habe. Dies ist ein Schmerz, und wenn einige Leute dasselbe Passwort teilen, kann die Wahrscheinlichkeit, dass das Konto gesperrt wird, sehr hoch sein.

Machen Sie also ein Urteil.

2

Plan B ist am sichersten, da Sie nie sehen, wie das Passwort der Person aussieht (fast jeder hat ein Muster, mit dem er Passwörter auswählt). Plan C ist ein guter Rückfall. Selbst wenn er es wieder so ändert, wie es war, haben Sie Ihre Sorgfalt darauf verwendet, ihm die Kennwortänderung vorzuschlagen und zu helfen, und Sie können zu Recht sagen, dass Sie das Kennwort nicht kennen, wenn später etwas passiert. (Sie wissen es nicht, es sei denn, er sagt Ihnen, dass er es auf das zurückgesetzt hat, was es war)

1
Rod MacPherson