web-dev-qa-db-ja.com

上司に自分のパスワードを発見したことを伝えますか?

私は一時的な仕事をしているので、必要なサイトやリソースにアクセスするためのパスワードを教えてもらえません。代わりに、彼らは私に、正社員がいるすべてのパスワードがすでに設定され、ブラウザに保存されている別のコンピュータに移動するように指示します。

私は正直に言うと、ルーターにアクセスして(デフォルトの資格情報を使用しているため)、WiFiパスワードを取得して電話で使用できるようにし、会社が行うアクティビティと多くの関連があることがわかりました(- 例:レストランの場合、パスワードはcoffe123になります)。それを念頭に置いて、メールアドレス、ホスティングアカウントなど、他のタイプのリソースに同じパターンが使用されているかどうかを確認したかったのですが、そうでした。

新しいアカウントで別のドメインを登録するとき、上司がキーボードでゆっくりと入力し、再びf *のように弱いのを見て、パスワードを推測しました。

教えてあげましょうか?あまり潜んでいて困るのではないでしょうか。

説明として:それは大企業ではない、私たちはほんの数人の従業員であり、誰もいないが、私はコンピューターとセキュリティについて知っているので、匿名で問題を報告したり、システム管理者やIT関連の担当者に連絡したりする方法はない。

96
sysfiend

弱いパスワードがあなたの会社にとって問題であることは間違いありませんが、私は上司にあなたがしたことについて話すことを強くお勧めしません。

あなたの会社は、理由のために一時的な労働者にサイトやリソースへのアクセスを許可することに反対しました。ルーターへのパスワードを推測してワイヤレスLANに不正アクセスしただけでなく、他のリソース(パスワードを持っているはずのないリソース)に対して資格情報をプローブすることで、アクセスを拡張しました。その後、あなたは基本的にあなたの上司を肩でサーフィンしました。

会社のリソースへのアクセスに関する雇用主のポリシーとそのパスワードポリシーに欠陥があるように見えますが、これらすべては雇用主によって「ハッキング」と見なされる可能性があり、許可の範囲外でした。

もし私があなただったら、WLANからログオフし、それにアクセスしたいかどうか雇用主にパスワードを尋ねます。それとは別に、「同じパターンが使用されているかどうかを確認する」ために、アクセスポイントで他の人のパスワードを使用するのをやめるべきです。関係国の法制度によっては、この種の行為に関して法的問題に非常に直面する可能性があります。

あなたが持っている情報をどのように扱うべきですか?
雇用主から、指摘できるサービスまたはリソースへのパスワードが提供された場合、たとえばそのパスワードは他の人に簡単に推測されてしまいます。ただし、ここでは他のパスワードについては直接触れません。
上司が興味を持っていると思われる場合は、会社のパスワードのベストプラクティスをボランティアで調査することができます。彼らがそれについて真剣であれば、これはあなたの心配を取り除くでしょう。
社内にIT担当者がいる場合は、安全なパスワードポリシーの必要性をよりよく理解しているので、こうした懸念を彼にもたらすことができます。

162
Denis

明示的または暗黙的(*)の指令を受け取らない限り、許可されていないリソースにアクセスするためにパスワードを推測しようとするis悪意のあるアクション(たとえパスワードが些細であるか、または読むべきではない場所。表紙に「機密情報-許可された人のために予約済み」と記載されたチラシを見つけてそれを読んだ場合、それも敵対的な行動です。

できる最も多くのことは、リーフレットの場合、「そこには機密文書があり、他人に気付かれることなく誰かが読むことができた機密文書を見たことがあります。機密情報が本当に含まれていますか。より安全な場所ですか?」 ->意味する可能性のあるセキュリティの問題を確認し、警告しましたが、[〜#〜] i [〜#〜]confidentialマーク。

または、同僚のパスワードを発見した場合(および次の話が可能である場合)、「ちょっとコンピューターにログオンしなければならなかったので、他のことを考えていて、自宅で使用しているパスワードを入力しました。次に私はあなたのアカウントにログオンしていることに気付きました。すぐにログアウトしましたが、プロのアカウントのパスワードを本当に変更する必要があります」


*全体的なセキュリティの評価を担当している場合、委任は暗黙的である可能性があります。しかし、その場合は、簡単なパスワードを見つけたらすぐに続行できるかどうかを尋ねる必要があります。

40
Serge Ballesta

私は他の人とほとんど同じことを言っていますが、これは本当にあなたにとって法的な問題になる可能性があります(私は弁護士ではありません)。英国(*)では、関連する1つの行為は 1990年のコンピュータ誤用法 であり、これは最初に正しく述べています。

1コンピュータ資料への不正アクセス。

(1)以下の場合、人は犯罪の罪を犯しています。

(a)彼は、任意のコンピュータに保持されている任意のプログラムまたはデータへのアクセスを保護する目的で、コンピュータに任意の機能を実行させます

(b)彼が保護しようとするアクセス[F2、または保護を有効にする]は許可されていません。そして

(c)彼は、コンピュータにそのような機能を実行させるときを知っています。

つまり、tryのように、アクセスしてはいけないことがわかっているものにアクセスしようとする場合です。

サブセクション2は、どのコンピューター、どのデータ、またはどのような種類のデータでも問題ではない、と言っています。

サブセクション3は言う:

(3)本条に基づく違反の有罪者は責任を負うものとします。

(a)イングランドとウェールズでの有罪判決について、12か月を超えない期間の刑、または法定の上限を超えない罰金、またはその両方。

そして、行為のセクション2はさらなる違反のコミットまたはコミッションの促進を目的とした(== --- ==)不正アクセスです-不正アクセスの行為(ルーターを取得)アクセス)不正なアクセス(wifiアクセス)の別の行為をコミットできるようにします。

あなたのコメントの1つで、あなたは言う

行うことを意図した害はありません

しかし、行為のセクション3はを損なうことを意図した、または障害、コンピュータの操作などについての無謀な無許可の行為です-たとえあなたがtintend害、無謀に行動する場合はそれで十分です。セキュリティで保護されていない、未知の、許可されていない個人のデバイス(電話)を会社のネットワークに参加させると、あらゆる種類の暗号ロッカースタイルの危険を冒す可能性があります。

これがルータにアクセスする中小企業の誰かに強制的に適用されることを強く疑うことができますが、彼らがそれを主張したい場合、あなたは彼らのネットワーク、彼らの電子メール、彼らのドメイン/ウェブサイトホスティングに割り込まれた一時的な仕事をしました、不注意に彼らのネットワークとその会社の運営を危険にさらし、あなたが犯そうとしていた盗難、恐喝、強要、または損害を誰が知っているか。

そしてさらに悪いことに、彼らはITを理解していません、彼らはそれがどれほど楽しいか、どれほど好奇心があるか、またはあなたの行動がどれほど深刻で些細なことであるかに興味がありません。あなたに似合う。

上司にパスワードが悪すぎると言ってもいいですか?

はい、あなたはすべきです。しかし、彼らがうまくいくと思う理由がない限り、しないでください。そして、気にする必要があります。しかし、そうではありません。そしてそれはあなたの会社でも問題でもありません。興味を示した場合は、(原則として)保存されているブラウザパスワードが危険である理由、共有アカウントが危険である理由、または単純なパスワードが危険である理由を提案します。

バックアップがない場合は、バックアップを取るように勧めます。 「こんにちは、私は読んでいました GitLabに関するこのニュースアイテムは300GBのデータをほとんど失っています そして、ここに適切なバックアップがないと思いました-設定できます$ xyzまで、何を考えますか?」

(*)他の管轄区域が利用可能です。

29

私が若い頃、私はあなたの正確な状況にかなり身を投じていました。私は一時的な仕事に飽きて、セキュリティの弱点を探し始めました。私は、システム管理者に匿名の電子メールを送信してそれを終わらせようとしました。

  • 彼らは脅威が最初は社外から来たと考えてびびった。
  • 彼らはシステムログをくまなく調べ、私が友人で何も関係のない同僚の1人に尋問し、解雇しそうになりました。
  • 彼らは最終的に私にそれを追跡し、私を解雇しました。
  • 私はveryラッキーだった。

私の友人が解雇される寸前の部分は、私をループに巻き込みました。私の傲慢さにおいて、私は完全に自分が引き起こしているかもしれない付随的な損傷に気づいていませんでした。また、私がその部屋に呼び出されて解雇されたとき私が驚いたのは、どのように怖い人々が私のことを考えていたのかです。合理的に対応している人々についての考えを却下します。

私の提案は、許可されていないアクセスを使用して(即時停止)です。パスワードなしで本当にあなたの仕事をすることができないならそれを指摘してください、そして彼らがあなたにそのパスワードを与えたならそれがどれほど弱いかを指摘してください。それ以外はそのままにしておきます。難しいことは知っています。いつの日か、あなたはこれらの種類の政策に影響を与えるより良い立場になるでしょう。あなたはただ我慢しなければならない。

22
One big regret

安全でないパスワードについて話すことから始めないでください。代わりに、他の従業員のコンピューターを使用してシステムにアクセスすることは安全な方法ではないことを指摘することから始めます。これは、他のユーザーのデータを危険にさらすためです(悪意がなくても、あなたのようにうるさくなくても)。あなたがあなたの仕事をするのに必要なパスワードをあなたに与える方がより安全であろうと彼らに納得させてください。また、他のユーザーの作業をブロックする必要がないため、より効率的です。彼らがあなたにアクセス権を与えたい場合、彼らはあなたにそのアクセス権を与えるべきです。それが機能する場合は、安全性の低いパスワードが公開されていることについてコメントできます。彼らがあなたが去った後にあなたがパスワードを知っていることを心配しているなら、彼らはその時にそれらを変えることができます。

15
Sinc

あらゆる規模のほとんどの企業には、スタッフのメンバーによる不正行為を匿名で報告できるメカニズムがあります。コンプライアンス報告制度の完全性とも言えます。

この種の内部告発は、会社をより有害な暴露から保護するために奨励されています。

あなたの雇用主がそのようなシステムを持っているかどうかを確認し、もしあれば、それを使用します。関係者の名前を報告し、適切と思われる場合は、使用しているパスワードも報告します。

私が働いているところでは、そのような報告が奨励されています。あなたは会社が自分自身にリスクを負うことなくデータを保護するのを助けるでしょう。

10
Chenmunka

上司にパスワードが悪すぎると言ってもいいですか?

私がプロジェクトに取り組んでいて、サーバー/ルーターなどへのパスワードが与えられたとき、それは悪いパスワードです。私は常に何かを言い、強力なパスワード/パスワードマネージャーなどを使用することをお勧めします。

これは妥当なことだと思います。

それを念頭に置いて、メールアドレスやホスティングアカウントなど、他のタイプのリソースにも同じパターンが使用されているかどうかを確認したかったのですが、そうでした。

ええ、絶対にこれをしないでください。それは法律に違反しており、雇用主が知った場合、あなたは犯罪歴に終わる可能性があります。

5
JMK

それらを伝えることによって、その情報を取得するために行ったアクションを明らかにしてしまい、トラブルに巻き込まれる可能性があります。

強力なパスワードの重要性について彼らに説明したい場合は、知っていることを漏らさずにそれができるかもしれません。

4
eV-

セキュリティを徹底的に調査しすぎたこと、および侵害したパスワード/システムについて雇用主に伝えるべきではないことについては他の人にも同意しますが、セキュリティ慣行が貧しくして、さらに調査する許可を求めます。

(ただし、先に進む前に、オフサイトで書面で許可を得るようにしてください)

4
symcbean

正直なところ、それはすべてあなたの上司の性格とあなたがどれだけお互いを知っている/信頼するかに依存します。従業員をあまり気にせず、あなたを訴えることでそのような状況を利用しようとする多くの雇用者がいますが、同時に、そのような助言に非常に感謝し、余分な仕事をするためにあなたを助けてくれる多くの雇用者があります。

「ネットワークセキュリティのチュートリアルを見ていて、ここのシステムにそのような欠陥があるのか​​どうか疑問に思っていた」という言葉に沿って何か言うことができます。そうでない場合は、信頼できる従業員がそれを言う可能性があります。ボス。

そして最後に、常に「何も言わない」アプローチがあり、あなたの仕事をし、あなた自身のビジネスを気にし、それを忘れてください。間違っているように見えますが、今日では、本当に良い行為を利用したいと思う悪意のある人が多すぎます(ビジネスのセキュリティの欠陥を指摘するなど)。人。

行動を起こすことができるのはあなただけです、そしてそれはすべて、人々の人格のあなたの判断がどれほど良いかに依存します。

3
Bwinzey

そして最後に、常に「何も言わない」アプローチがあり、自分の仕事をし、自分のビジネスを気にし、それを忘れます。間違っているように見えますが、今日では、本当に良い行為を利用したいと思う悪意のある人が多すぎます(ビジネスのセキュリティの欠陥を指摘するなど)。人。

そして、それはまさにあなたがすべきことです。上司やその会社の他の人だけでなく、だれでも(だれでも!)ひとこと、ヒントさえも、あなたが安全と自由を彼の手に委ねていることになります。契約を終えたら、口を閉じたまま、仕事をし、どこか別の場所に移動します。あなたの状況は危険です。検察官は、犯人の悪ではなく、有罪判決の数に対して報酬を与えられます。

2
wam

上司の性格による。彼は知的で賢く、理解していますか?もしそうなら、あなたは彼に言うことができます。それはあなたを解雇したり、万が一降格したりする原因にはなりません。代わりに、あなたはあなたの才能に対して報酬を与えられるかもしれません、そして、誰もが昇進かもしれません。

しかし、あなたの上司の性格がかなり普通なら、それを忘れてください。

2
Ron Zepplin

何とか何とか何とかのためにパスワードを尋ねてみてください。あなたがパスワードを知っていることを彼らが知っているなら、あなたは彼らが安全でないことを彼らに告げることができます、そしておそらく彼らはそれを変更することに同意するでしょう!そして、「良い」方法でパスワードを取得したので、FINEになります。

1