我的电子邮件出现问题后,我们新聘的IT管理员要求我将用户密码写给托管服务器中的某人公司帮助他们发现问题。
我毫不犹豫地给了他用户密码。
30分钟后,我意识到在数家公司工作的10年中,没人问我输入密码,我觉得这很奇怪。之后,我立即更改了密码。
是否确实需要密码,当我真的必须将密码告诉IT管理员时?
我有听说过管理员要求用户输入密码的故事,但仅限于The Daily WTF之类的网站才提示此问题。
(相关内容:“客户想告诉我他家用笔记本电脑的密码。我必须推动他走向更复杂的选择?“)
#1 楼
简短答案:绝对不可以!
您的密码在您和您自己的计算机之间。
没有其他人。
不是您的老板,老板,系统管理员,银行职员,保险代理,ISP支持技术人员或您的猫。好吧,你可以告诉你的猫,如果她答应不分享。
从来没有一个很好的理由共享密码。
有很多理由不愿意。通常,因为密码是您的身份验证,而且即使一个人知道了它,它也无法再证明您的身份。
您的管理员提出的任何理由都是虚假的,要么是因为他是恶意,懒惰,错误消息或不称职。
那也许不是他的错,而是他的错他的组织。
无论哪种方式,无能,无知和懒惰比比皆是。
如果管理员或任何支持技术人员要求您输入密码,则正确的答案是对LAUGH。
因为他们不可能认真,对吗?
如果您的管理员坚持要-向他解释说您将与他共享密码记录文件...并且在此基础上,您将向所有人发送讨厌的电子邮件-而不是他但您会声称他们来自他(使用您的帐户,以您的名义,使用您刚刚与他共享的密码)。当然,他将无法证明他没有滥用您的密码...这就是重点。
不,再三考虑,只是不要给他您的密码。是您的,仅在您和计算机之间。
评论
我还将指出,除非您明确信任此人,否则您不应在他的计算机上键入密码。而且他不应该问-这是对用户的不良教育,训练用户在任何随机计算机上键入密码-可能会有键盘记录程序,流量监听程序等。
–AVID♦
2011年7月21日在20:54
有人喜欢使用CAPSLOCK设定要点。
– k到z
2011年7月21日在20:57
转变,实际上。选择性地使用它是强调的有用工具。
–AVID♦
2011年7月21日在21:06
顺便说一句,@ Zoredache,上面评论的一个“例外”是,如果凭据不是用于其个人帐户,而是用于“公司”共享帐户。 (我想这可能就是您得到的...?)在这种情况下,当然不应they积它们,并把它们交给任何负责管理的人。这是非常糟糕的做法,受到许多法规的禁止,但还不如放弃您自己的身份王国的密码密钥那么糟。
–AVID♦
2011年7月22日,0:26
不要告诉您的密码您的猫。猫在任何情况下都不可信任。尽管它们看起来很无辜,但已知它们是恶意的。
–user22208
13年6月22日,0:56
#2 楼
让我们尝试另一个想法:您愿意用一个手指给IT经理,以便他在您工作时可以修复您对建筑物的访问吗?您的密码也是如此。即使您为所有服务都使用一个密码(从来没有发生过,甚至我也承认这对我来说),但密码永远都不会与任何人共享。这是唯一可以验证您自己身份的东西。这可能使您不得不浪费时间在IT支持上,但这也可能使您长时间入狱。所以,绝对:没有
评论
伸出手指是不必要的过度夸张,不是吗?毕竟,在IT人员完成工作之后,您只需更改密码即可,无法更改手指。
– Zoredache
2011年7月21日在23:56
不,这并不夸张。拥有帐户后,便拥有该帐户-例如,根据服务的内容以及所提供的功能,用户可以创建代理帐户(例如,转发电子邮件地址,辅助管理员帐户等) 。授予他人“临时”访问您的身份的权限通常不是这样。
–AVID♦
2011年7月22日在0:21
不过我还是可以给他指头;)
– Piskvor离开了建筑物
2011年7月22日在10:07
@Kevin,但这与“借用”密码不一样...如果管理员重置或接管您的帐户,则将进行审核。另外,不要忘记诸如EFS,仍然无法更改用户密码。问题在于这种思维方式,即系统管理员实际上就是上帝,这是不正确的,也不应该是这样:上帝不必证明自己的行为是合理的,系统管理员也可以。
–AVID♦
11年7月23日在21:18
您不应该将密码提供给管理员,他应该具有不需要的足够权限。但是,系统管理员可以合法地将服务中间人(他具有所需的证书,密钥和网络访问权限)并以这种方式获取您的纯文本密码。
– Wireghoul
15年1月30日在12:10
#3 楼
之前已经解释过,没有人可以将密码提供给管理员(我完全同意),但是您应该与他的上司联系,这是怎么回事,因为如果他询问您的密码,那么他可能会询问另外18个(第19个可能是他的上级),我很确定您的一些同事在各处都使用相同的密码。评论
+1好点。与主管或政策核对,以查看管理员是否应询问。
–Rory Alsop♦
2011年7月22日上午9:50
如果是这样,很可能去更新这些政策...
–AVID♦
11年7月22日在11:08
#4 楼
简短的回答,如果他是管理员,则永远不需要您的密码。最坏的情况是他需要重设您的密码并给您一个新密码(您将立即更改)。除非有一些缓解措施,密码/代码/短语仅适合您。 (如果管理员在您的PC上没有特权帐户,则为ei)我可以在其上使用的帐户,但是即使那样,还是要让用户(假设他们有权)将管理员设为可以使用的特权帐户,这是一个更好的解决方案。因此,即使如此,我仍然很难想出管理员为什么需要您的密码的任何可行原因。得知用户没有管理权限,未连接到域以及设置该域的管理员已在该域工作了10年之久,这总是令人难过的一天。
< br ps如另一个答案中所述,管理员可能习惯于从上级那里得到“完成”处理,这可能导致他们只要求输入密码。
评论
ps。如果密码是管理员级别的密码或管理员确实需要访问的外部服务的密码,则他确实需要密码(或需要在该服务上为其创建的管理级别帐户)。我的回答是从您的密码来看。如果用于公司服务,即公司的网络托管,则不是“您的”密码。即使这样,还是最好每个人都有单独的登录名(出于责任/审计目的)。
– Ormis
2011年7月25日18:15
#5 楼
现在可能是时候挖掘出您的IT安全策略了。如果您的组织中有一个。如果不是,请抽空让团队坐下来并给一支笔下笔。这种情况可能是管理员未读过或没有经过培训。
一种文化如果没有适当的检查来验证每个请求,那么发出密码肯定会增加组成帐户的机会。
问责制引起的问题也令人担忧。 >
肯定不是很好的做法。
#6 楼
密码共享还存在另一个问题。如果您的帐户发生任何变化,或者在登录其他人时您的帐户发生了任何事情,您将被负责。即使在公司内部可以通过安全策略合法地(至少在我的国家/地区)通过密码共享密码,您也是被指控的人。
评论
那很有意思;我对当地的法律不熟悉,但是在大多数地方,能够证明别人有您的密码(被盗或以“合法”方式提供)可能会导致严重的否认问题,即使您免职(-ish )的责任)。
–AVID♦
2011年7月22日在8:12
我知道几年前有一个女孩把她的邮件帐户交给了男友,然后男友发送了一些勒索邮件。尽管证明她没有发送邮件,但她仍被判有罪。编辑:好吧,无论如何,即使您可以证明不是您,而且根据法律您也不会被判有罪,这仍然是令人不愉快的情况,您不同意吗?
– StupidOne
2011年7月22日在8:16
绝对,我完全同意这一点。
–AVID♦
2011年7月22日在8:28
查看服务的“服务条款”,您将确认密码是您的唯一责任。
– M'vy
2011年7月22日在8:54
@Mvy,当然。但是,当您可以证明别人拥有它时,会发生什么?是您的错,您要承担责任吗?还是拒绝?
–AVID♦
2011年7月22日在9:04
#7 楼
被问到的核心问题是:“管理员是否有必要要求输入密码?”显然,这没有必要。但是,让我们将“必需”定义为“完成关键任务所必需的”。使用这些参数,在安全基础结构中存在严重/破坏性漏洞的情况下,可能需要公开密码才能完成关键任务。在大型公司和政府中,我已经发现像这样运行多年的系统遭到破坏,然后才遇到它们。从保持操作运行的角度来看,是的,有必要在进行修复的同时继续进行这种密码暴露。
每种情况下的关键是记录问题,记录并清晰地进行沟通。在这种有缺陷的安全情况下进行操作的风险,请领导提出政策声明,指示在什么情况下进行修复时应公开密码,然后记录下在纠正安全系统后继续操作所必需的任何密码公开。
简而言之,永远都没有必要。但是,如果确实如此,则可以通过将责任风险转移到自己的责任,即由负责不合适的决策/基础设施的一方来承担责任。当然,如果没有解决此问题的方法,则可能需要考虑继续进行。
#8 楼
也许..您对他们有多信任?您还在其他任何地方使用此密码吗?如果您使用的密码与您用来访问可直接操纵财务地点的密码相同(或由其简单衍生而来),那么您最好信任系统管理员不要使用您的密码来访问那些区域。Amazon客户服务:“先生,我们的日志文件和审核记录显示您购买了1200份“ Sharknado 2”。”
您的方便对您的安全更重要吗? br />“伙计...如果我不给sysadmin当前密码,他们将对其进行更改,而我将不得不在手机的电子邮件设置中再次对其进行更改。BOGUS !!!”
这个密码会让您为别人所困扰吗? (最喜欢的电视真人秀明星,说脏话,做爱姿势...)
以上示例表明答案为“否”。但是...
系统管理员:“由于您决定使用该公司不支持的Truecrypt加密硬盘驱动器,因此,除非拥有您的解密密码,否则我将无法从笔记本电脑中恢复任何数据。 “
因此答案在每种情况下都不会是“是”或“否”。答案取决于周围环境的原因。
而且..始终考虑一下,如果除您自己之外的其他人使用了您的密码,除了您自己之外,还有谁会受到伤害。
机密服务:“总统先生!您给了核发射代码家伙???“
评论
答案不是“也许”,也不是合格的“不是通常”,答案是严格的“否”。如果您不明白原因,请参阅其他答案。老实说,这个答案已经存在了一年多,没有人对此投反对票或发表评论,我感到很震惊。对于其他阅读此内容的人,不要相信此答案,请阅读投票率较高的答案
–凯文·韦尔斯
16年3月18日在18:44
#9 楼
如果管理员试图仅诊断您所遇到的问题,则可能有充分的理由“按您的方式”访问您的帐户,以有效地识别您的问题。如果您可以轻松解决问题,则更有可能解决问题。请考虑一下,您的数据并不是sysadmin真正的秘密,所以唯一的真正保护的是密码本身。如果您已经
保持良好的密码卫生习惯,那么只要您再次进行更改,它就没有任何价值
。
替代方法-他们拥有后门绕过密码的需要,
也不是很吸引人。
评论
但是可以通过加密将数据保密,不是吗?我不确定“后门”是什么意思。正式地,linux中没有后门;)
–BЈовић
13年7月10日在5:59
这与服务帐户和收到的电子邮件有关。没有单独的加密(或者如果没有的话,用户密码将是无关紧要的。)作为UNIX的root用户,我可以更改您的密码并以您的身份登录。后门怎么样?
– ddyer
13年7月10日在18:03
@ddyer:什么是服务帐户?
–unforgettableidSupportsMonica
13年7月14日在17:29
-1。 AviD指出,如果sysadmin重置您的密码,它将创建一个审核跟踪,而如果您为sysadmin更改它,则没有审核跟踪。不要共享您的密码:相反,请您的系统管理员将其重置,然后诊断问题。
–unforgettableidSupportsMonica
13年7月14日在17:33
评论
该问题的另一个版本已被关闭,因为答案并不集中在安全性上。我的回答集中在实际问题上。在现实世界中,糟糕的外部服务无法为本地支持人员提供帮助。如果您需要当地人的帮助,那么您可能别无选择。您可以在之前和/或之后更改帐户密码,也可以自己解决问题。@Zoredache,现在在这里阅读更新后的答案,尤其是最后一段,确实有所改变-但请参阅下面我的评论,关于“共享”帐户的确不是一个好主意。此外,OP确实说了“我的密码”,看来情况并非如此-但我确信VJo可以澄清这一点。
可悲的是,这发生在我身上。但是管理员是公司的所有者。你能做什么?
@AviD对。该帐户未共享。
“我的密码”和“我们托管公司的密码”是两个完全不同的东西。前者与管理员没有关系,后者很可能需要他完成工作!