我正在从事临时工作,因此他们没有给我任何密码来访问我需要的网站和资源。相反,他们告诉我转移到另一台计算机上,该计算机是正式员工所在的位置,每个密码都已设置并保存在浏览器中。

老实说,我进入路由器(因为他们使用的是默认凭据)来获取WiFi密码,因此我可以在手机上使用它,发现与密码有很大关系公司的活动(例如,如果他们是餐厅,则其密码为coffe123)。考虑到这一点,我只是想看看是否将相同的模式用于其他类型的资源,例如电子邮件地址,托管帐户等,是的,它们确实是。

注册另一个域时有了一个新帐户,我看到老板慢慢在键盘上打字,然后再次弱到f *,就猜出了密码。

我应该告诉他们吗?恐怕我可能会潜伏太多。

澄清一下:这不是一个大公司,我们只有几个员工,没有一个,但我对计算机和安全性了解,因此无法立即报告问题或联系系统管理员或IT相关人员。

评论

评论不作进一步讨论;此对话已移至聊天。
您应该在Google上搜索“ randal schwartz重罪”,并认真对待人们在这里给您的所有警告。他的情况和你非常相似。
我认为这个问题在workshop.stackexchange.com
上会更加主题化

#1 楼

尽管毫无疑问,弱密码对您的公司来说是个问题,但我强烈建议您不要将您所做的事情告诉老板。

您的公司决定不让临时员工访问网站和资源是有原因的。您不仅可以通过猜测路由器的密码来获得对无线LAN的未经授权的访问,还可以通过针对其他资源(不应该拥有密码的资源)探查凭据来扩展访问权限。然后,您基本上就肩负着老板的责任。

虽然您的雇主政策在访问公司资源及其密码政策方面似乎存在缺陷,但您可能将所有这些事情视为“黑客”雇主,绝对不在您的授权范围内。

如果我是我,我将注销WLAN并询问您的雇主是否要访问密码。除此之外,您应该停止尝试在任何访问点上使用其他人的密码,只是“看看是否使用了相同的模式”。根据所涉国家的法律制度,您很可能会面对此类行为的法律问题。

那么您应该如何利用所拥有的信息呢?
如果您的雇主给您您可以指出的服务或资源的密码,例如该密码对于其他人来说很容易猜到。我不会在这里直接提及其他密码。
如果您的老板似乎有兴趣,您可以自愿研究公司的密码最佳做法。如果他们认真对待,这将消除您的担心。
如果公司中有IT人员,您可以将这些问题带给他,因为他可能会更好地了解安全密码策略的必要性。

评论

他们说,好奇心杀死了那只猫...我只是想做一点调查,没有伤害的意图。

– sysfiend
17年2月2日在17:17
我绝对可以看到您即将到来的地步,并认为许多人会感到同样的好奇心。我也相信您不想造成任何伤害。但是,其他人以另一种心态看待这一点时,往往会感到与众不同,不幸的是,这在过去曾导致许多人遇到许多问题。

–丹尼斯
17年2月2日在17:41
我也很不高兴知道这些知识,并且不告诉他们任何东西,以便他们随时都可能被坏人入侵。

– sysfiend
17年2月2日在17:59
尝试为获得该知识而感到难过。 (对不起,这不会使您感觉更好)。如果我与雇主关系良好,我会坦白并分享知识,但是对于您而言,听起来这种方法适得其反。

–布莱恩·菲尔德(Bryan Field)
17年2月2日在21:45
好奇心不仅会杀死猫,它也会让你昨天被解雇:)

– Hanky Panky
17年2月3日,下午4:53

#2 楼

除非您收到显式或隐式(*)的授权,否则尝试猜测密码以访问未授予您的资源是一种敌对行为,即使密码是琐碎的或写在您不应该拥有的地方读。如果您在封面上找到带有“机密-供允许的人使用的机密信息”的传单,但仍然阅读该书,那也是一种敌对行动。

您最多可以做的就是使用该传单说:“我在那儿看到过一个机密文件,有人可以在没有其他人注意的情况下阅读它。它真的包含敏感信息吗?如果应该,它是否应该存储在更安全的地方?” ->表示我已经看到一个可能的安全问题,并警告过您,但是我尊重了保密标记。

或者如果您发现了同事的密码(并且以下故事是可能的话) ):“嘿,我不得不登录计算机,我在想其他事情,我输入了在家使用的密码。然后我意识到我已经登录了您的帐户。我立即注销了,但您确实应该更改专业帐户的密码”


*如果您负责评估整体安全性,则授权是隐式的。但是在这种情况下,您应该问一问,一旦发现一个微不足道的密码,您是否可以继续。

评论

如果简单密码类似于123456,则最后一段的内容可能适用,但是如果是[企业产品] 123,则OP在家中使用该密码就不再合理了。

–哈根·冯·埃岑
17年2月7日在8:19

#3 楼

我说的与其他人差不多,但这确实可能是您的法律问题(我不是律师)。在英国(*)中,一项相关法案是1990年《计算机滥用法案》,该法案一开始就说:


1未经授权访问计算机材料。

( 1)如果某人犯下以下罪行,即属犯罪:

(a)他意图使计算机执行任何功能以保护对任何计算机中保存的程序或数据的访问

/>
(b)他打算保护[F2或使其成为安全的]访问权限未被授权;并且

(c)他知道当他使计算机执行
这种情况时的功能。




第2小节说,什么计算机,什么数据或什么类型的数据都没有关系,没有什么可以确定的。

第3小节说:


(3)任何人犯了本条所述的罪行,应负赔偿责任。

(a ),在英格兰和威尔士被简易程序定罪后,处以不超过12个月的监禁或不超过法定
最高刑罚的罚款,或两者并处;



>然后该法令第2节说,未经授权的访问是为了实施或促进进一步犯罪。 -您实施了未经授权的访问(获得路由器访问权限),从而可以进行另一次未经授权的访问(wifi访问)。

在您的评论之一中,您说


不会造成伤害


,但是该行为是未经授权的旨在损害或鲁or的损害,计算机操作等行为-即使您无意损害,如果您鲁re行事,也就足够了。将不安全,未知,未经授权的个人设备(电话)加入公司网络,“可能”使他们面临各种加密锁风格的危险。

我强烈怀疑这是否将适用于访问路由器的小型企业中的某人,但是如果他们想争论这个问题,您已经从事了临时工作,闯入了他们的网络,他们的电子邮件,他们的域名/网站托管,粗心地使他们的网络及其公司运营面临风险,谁知道您打算进行哪些盗窃,勒索,勒索或破坏。更糟糕的是,他们不了解IT,他们没有如果有趣或有趣,或者您的行为有多严肃或琐碎,您就不会感兴趣,如果他们弄错了杆子,那对您就不好了。


我应该告诉老板他们的密码太差吗?


是的,应该。但是除非您没有理由认为他们会接受就好。他们应该关心。但是他们没有。这不是您的公司,也不是您的问题。如果他们感兴趣,请说明为什么(原则上)为什么存储的浏览器密码有风险,共享帐户有风险或简单密码有风险。

如果没有备份,请鼓励他们进行备份。 “嗨,我正在阅读有关GitLab的新闻,几乎丢失了300Gb数据,这让我觉得我们在这里没有好的备份-我们可以为$ xyz设置一个备份,您认为呢?”

(*)可以使用其他司法管辖区。

评论

theregister.co.uk/2005/10/06/tsunami_hacker_convicted-实际案件中有人被起诉并被判有罪,实际罪名远不及这里描述的问题...

– Tim B
17-2-3在16:38


尽管各州的法律有所不同,但美国的法律相似。

–克里斯·施耐德(Chris Schneider)
17年2月3日在17:44
@Chris未经授权访问美国的计算机很容易成为重罪,因此,按照我的阅读方式,美国的法律通常比英国的法律更为严厉(举一个极端的例子,请参阅亚伦·斯沃茨(Aaron Swartz)违反同一法律的案例OP会被判重罪,最高可被判处50年监禁。

– Voo
17年2月3日在22:44
我很快浏览了此答案,却错过了最长12个月的句子。通过“法律相似”,我没有推断出惩罚的严厉程度。

–克里斯·施耐德(Chris Schneider)
17年2月4日,0:21
具有讽刺意味的是,使用法律威胁掩盖不良的安全措施只会使针对实际敌对行动者的安全性恶化。

–JDługosz
17年2月7日在7:50

#4 楼

小时候,我几乎把自己置于您的真实情况。我对一份临时工作感到无聊,开始四处寻找安全漏洞。我试图通过向sysadmin发送匿名电子邮件来结束它,该电子邮件以下列方式适得其反:


他们吓坏了,认为威胁最初来自公司外部。 />他们梳理了系统日志并对其进行了讯问,并几乎开除了我的一位与我没有任何关系的同事。
他们最终将其追溯至我并开除了我。很幸运,他们的情况没有恶化。

关于我朋友快被解雇的那部分让我感到困惑。自以为是,我完全没有意识到自己可能造成的任何附带损害。同样令我惊讶的是,当我被叫到那个房间被解雇时,人们对我有多害怕。消除您对人们做出合理反应的想法。

我的建议是立即停止使用任何未经授权的访问。如果您真的没有密码就无法完成工作,请指出,如果他们给您密码,请指出密码的强度。除此之外,别管它。我知道这很困难。有一天,您将处于更好的位置来影响这类政策。你只需要有耐心。

评论

总体上仍不确定他的手机上是否需要wifi接入。他正在进行安全保护,但仍决定未经许可进入路由器,因此他可以获取wifi密码以将其单元(也称为不受保护的设备)连接到公司网络,而且很可能未经许可?

– NZKshatriya
17年2月6日,下午5:51
也许您应该早一点诚实?可是,被恐惧的部分逗乐了!

–infinite-etcetera
17年2月7日在10:20
出于好奇,您的用户名是否与您所描述的有关?另外,+ 1,很好的答案。很高兴与您分享。

–user81147
17年2月7日在10:50
当他们开始调查时,您不是出来吗?可能避免开火。

–特尔比约恩(ThorbjørnRavn Andersen)
17年2月8日在11:47

#5 楼

不要从谈论不安全的密码开始。相反,首先要指出,使用另一名员工的计算机访问系统不是安全的做法,因为这会使其他用户的数据处于危险中(即使您不是恶意的或无聊的,也有发生事故的危险)。尝试说服他们,为您提供完成工作所需的密码会更安全。这也将更加高效,因为您不必阻止其他用户的工作。如果他们希望您具有访问权限,则应为您提供该访问权限。如果这样可以解决问题,那么您可以对显示给您的不安全密码进行评论。如果他们担心您离开后知道密码,可以在那时更改密码。

#6 楼

大多数大小的公司都有一种机制,您可以通过该机制匿名举报员工的不当行为。它可以称为合规性报告系统的完整性。

鼓励举报这种行为,以保护公司免受更有害的启示。

我会检查您的雇主是否有这样的系统,如果有,请使用它。报告涉及人员的姓名,并在合适的情况下报告他们使用的密码。

在我工作的地方,鼓励这样做。您将帮助该公司保护其数据,而不会给自己带来风险。

评论

这是一家非常小的公司,而且我是唯一拥有计算机知识的公司。即使存在这样的政策,我也会被曝光。

– sysfiend
17年2月2日在18:31
我不建议您报告使用的实际密码。如果它们是默认密码,它将很明显。如果需要进一步调查,您不想让人们“测试”管理帐户的密码。

–Booga Roo
17年2月3日,下午2:57
一家大公司可以检查日志并找出最近是否有人未经授权访问了该网络。做犯罪后匿名的确是个坏主意。嘿警察现在有人在64号高速公路上醉酒....等我。

–blankip
17年2月5日在6:07
@blankip任何值得精明的小公司也会检查它的日志,哈哈。

– NZKshatriya
17年2月6日在5:52

#7 楼


我应该告诉老板他们的密码太糟糕吗?


当我在做项目时,我得到了服务器/路由器等的密码,这是密码错误我会经常说些什么,并建议使用更强的密码/密码管理器等。

我认为这是合理的做法。


考虑到这一点,我只是想看看是否对其他类型的资源(例如电子邮件地址,托管帐户等)使用了相同的模式,是的,它们是。


是的,绝对不要这样做。这是违法的,如果您的雇主发现了您,您可能会最终获得犯罪记录。

#8 楼

通过告诉他们,您最终将揭露为获取该信息而采取的措施,这可能会给您带来麻烦。

如果您想教育他们有关强密码的重要性,您可能会能够做到而不会泄露您所知道的。

#9 楼

我同意其他人的观点,即您在探究安全性方面做得太过分了,并且您不应该告诉您的雇主您已破坏的密码/系统,但我认为您有责任告诉他们,他们的安全做法似乎是穷人,并征求他们的允许进行进一步的调查。

(但请确保在进行任何进一步的工作之前,您可以书面形式,不在现场进行)

#10 楼

老实说,这完全取决于老板的个性以及彼此之间的了解/信任程度。有许多雇主会不太在意自己的员工,他们会通过起诉您来利用这种情况,但与此同时,很多雇主会非常感激此类建议,并愿意与您做额外的工作。

您可以这样说:“我正在看有关网络安全的教程,我想知道这里的系统是否存在这样的缺陷”,如果没有,您可能会找到一个值得信任的员工来这么说。最终,老板会接受一切。

最后,总会有不说什么的方法,只管干自己的事,管好自己的事,就不用管它了。似乎是错误的,但如今,有太多坏人想要利用真正的善行(例如指出企业安全方面的缺陷),要真正成为好人并没有被判入狱和支付罚款的风险人。

唯一可以采取行动的人就是你,而这一切都取决于你对人们的个性的判断有多好。

#11 楼


最后,总有什么都不说的方法,只要做您的工作,管好自己的生意,就不要管它了。似乎有误,
,但如今,有太多坏人想要利用真正善行的机会(例如指出企业安全性的缺陷),这确实不值得冒险将要入狱并
因为要成为一个好人而被罚款。


这正是你应该做的。如果您对任何人(任何人!),而不只是老板或该公司的其他任何人说一个字,甚至是一个暗示,您就是在将安全和自由放在他的手中。合同完成后,请闭上嘴,做点工作,然后去其他地方工作。你的情况很危险。检察官会因定罪次数而不是犯罪者的罪恶而得到奖励。

评论

不知道为什么有人会对此否决,这是完全正确的。

–msouth
17年2月6日在16:09

#12 楼

取决于老板的个性。他聪明,聪明和理解吗?如果是的话,你可以告诉他。这绝不是解雇您或降级您的原因。相反,您可能会因为自己的才华而得到回报,并且知道的人也可能会得到晋升。

但是,如果老板的性格很普通,那就不要管它了。

#13 楼

尝试要求他们输入密码,因为等等等等。如果他们知道您知道密码,则可以告诉他们密码不安全,并且他们很可能会同意更改密码!而且由于您以“良好”的方式获得了密码,因此您将成为FINE。

#14 楼

注意:此处所说的所有内容都带有一小撮盐,我试图指出为什么您可能不需要很高的安全性,但这并不意味着您不应该具有任何安全性。


我可能会在这里扮演魔鬼的拥护者,但安全是风险与回报。

因此,他的密码太弱可能并不需要太多,最坏的情况是如果有人将其放慢了几个小时可以访问IT系统。

但是他忘记了密码“ h1Ed4H£2h〜zE {G〜b#1 $ù%µ454”和/或每天输入密码浪费了5-10分钟从长远来看,他会因为几次出错而感到沮丧。

我的意思是有时我们会陷入安全偏执狂而忘记有人愿意承担的风险攻击公司并不是很高,甚至完全的IT失败也可能只意味着要花几天时间。关于如何处理它,我建议随便跟你老板谈我安全,如果他认为这很重要。您可能会争辩您的观点是否成立。

如果老板同意IT安全很重要,那么您可能想问他是否可以四处探寻,以查看安全性是否存在任何问题。认真地做您想做的事情,并通过邮件向他报告您发现的每个问题,这意味着什么风险以及修复的方式/程度。

大多数时候,IT安全问题不是来自外部来源,而是来自(前)员工的怨恨,所以这可能就是他不希望您获取密码的原因。

评论

我的意思是,有时我们陷入安全妄想症,而忘记有人愿意攻击公司的风险并不高。健康的偏执狂是必要的。如果OP猜到这个密码很简单,那么对于攻击者来说却很简单。

–user81147
17年2月7日在10:51
“大多数时候,IT安全问题不是来自外部来源,而是来自(前)怀恨在心的员工”,这是我唯一同意的事情。您怎么能说“即使是完全的IT失败也可能意味着必须花几天时间才能解决问题”?毛毛

– sysfiend
17-2-7在11:12


@JᴀʏMᴇᴇ但是“攻击者确实存在”是第一个问题。第二个是“攻击者可以做的最坏的事情”。我并不是说担心安全性是错误的,尽管我可能强调了我的观点。但是大多数小型企业不必担心IT安全性。当然,如果您的风险不仅是由于内部有人造成的不太可能的放缓,您可能会为此担心。这就是为什么我建议与老板集思广益,以了解IT安全方面真正需要什么。获得更好的密码应该是一个简单的结论。

–讽刺
17年2月7日在11:13
@sysfired很好,在我工作的地方,我们非常依赖IT,但是我们为所有事情制定了计划B,并且可以使所有事情在纸上和人类上都能正常工作。我不确定您的公司做了什么,所以不能说这对您的公司来说是可行的,但是如果您经营一家餐厅(举个例子),您仍然可以在便笺簿上吸引客户,即使您的注册系统和网站已关闭。如果您是仅在网站上工作的公司,则可能无法实现。

–讽刺
17年2月7日在11:22
@satibel可能永远不会有攻击者,但是,如果有的话怎么办?同样,如果他涉足没有任何类型的密码政策的企业的安全性,那么他至少将有权访问银行,贝宝和托管帐户。这不是完成工作,而是保护公司的资金和数据

– sysfiend
17年2月7日在11:27