web-dev-qa-db-fra.com

Est-il correct de communiquer votre mot de passe au administrateur système de votre entreprise?

Je travaille dans une petite entreprise (20 employés) en tant qu'ingénieur logiciel senior.

Après avoir eu des problèmes avec mon e-mail, notre nouvel administrateur informatique m'a demandé d'écrire mon mot de passe utilisateur à un membre de notre société d'hébergement pour l'aider à identifier le problème.

Sans aucune pensée, je lui ai donné mon mot de passe utilisateur.

Après 30 minutes, j'ai réalisé que pendant mes 10 années de travail dans plusieurs entreprises, personne ne m'a demandé de mot de passe, et je l'ai trouvé plutôt étrange. Immédiatement après cela, j'ai changé mon mot de passe.

Y a-t-il des cas où le mot de passe est vraiment nécessaire, alors que je dois vraiment le dire à un administrateur informatique?

J'ai entendu des histoires où les administrateurs ont demandé le mot de passe de l'utilisateur, mais uniquement sur des sites comme The Daily WTF , ce qui a suscité cette question.

(Connexes: "Un client veut me dire le mot de passe de son ordinateur portable. Dois-je le pousser vers une alternative plus complexe?" )

79
BЈовић

Réponse courte:

ABSOLUMENT PAS!
Votre mot de passe est entre vous et votre ordinateur seul.
Personne d'autre.

Pas votre patron, son patron, l'administrateur système, votre responsable de banque, votre agent d'assurance, votre technicien d'assistance ISP ou votre chat. Eh bien, ton chat tu peux le dire, s'il promet de ne pas le partager.

Il n'y a JAMAIS de bonne raison de partager un mot de passe.
Il y a plusieurs raisons de NE PAS le faire. Généralement, parce qu'un mot de passe est VOTRE authentification, et dès que même UNE autre personne le connaît, il ne peut plus prouver votre identité.

Toute raison que votre administrateur trouve est fausse, soit parce qu'il est malveillant, paresseux, mal informé ou incompétent.
Cela dit, ce n'est peut-être pas sa faute, mais la faute de son organisation. Quoi qu'il en soit, il y a de l'incompétence, de l'ignorance et de la paresse.

Si un administrateur ou n'importe quel technicien de support vous demande votre mot de passe, la bonne réponse est de RIRE.
Parce qu'il n'y a aucun moyen qu'ils soient sérieux, non?

Si votre administrateur insiste - expliquez-lui que vous documenterez le partage de votre mot de passe avec lui ... et que, sur cette base, vous allez envoyer des courriels désagréables à tout le monde - pas à propos de lui, mais vous affirmerez qu'ils sont venus de lui (en utilisant votre compte, en votre nom, en utilisant votre mot de passe qui vous venez de partager avec lui). Bien sûr, il ne sera pas en mesure de prouver qu'il n'a pas abusé de votre mot de passe ... ce qui est le point.

Non, après réflexion, ne lui donnez pas votre mot de passe. C'est le vôtre, entre vous et l'ordinateur seul.

88
AviD

Essayons une autre idée: donneriez-vous un doigt à votre responsable informatique pour qu'il puisse réparer votre accès à votre bâtiment pendant que vous travaillez?

Je suppose que la réponse est non. Il en va de même pour votre mot de passe. Même si vous avez un seul mot de passe pour tous vos services (ce qui n'arrive jamais, même pour moi je l'avoue), le mot de passe ne doit JAMAIS être partagé avec qui que ce soit. C'est la seule chose qui puisse vous authentifier. Cela peut vous déranger de perdre du temps avec votre support informatique, mais cela peut également vous envoyer en prison pendant une longue période.

Donc, définitivement: non

20
M'vy

Il a été expliqué auparavant que personne ne devrait jamais donner son mot de passe à un administrateur (je suis d'accord avec tout cela), mais vous devriez vérifier avec son supérieur ce qui se passe, car s'il a demandé le vôtre, il est possible qu'il ait demandé le mot de passe de les 18 autres (le 19 est probablement son supérieur) et je suis à peu près sûr que certains de vos collègues utilisent le même mot de passe partout.

15
noktec

Réponse courte, s'il est administrateur, il ne devrait jamais avoir besoin de votre mot de passe. Le pire des cas est qu'il doit réinitialiser votre mot de passe et vous en donner un nouveau (que vous changeriez rapidement).

Sauf en cas de circonstances atténuantes, les mots de passe/codes/phrases sont pour vous seul. (par exemple, si l'administrateur n'a pas de compte privilégié sur votre PC)

J'ai entré quelques emplois où un employé de longue date aura une machine unique qui n'a pas de compte administrateur que je peux utiliser dessus, mais même dans ce cas, c'est une meilleure solution pour avoir l'utilisateur (en supposant qu'il ait le droits) de faire de l'administrateur un compte privilégié qu'ils peuvent utiliser. Donc, même alors, j'ai du mal à penser à une raison viable pour laquelle l'administrateur aurait besoin de votre mot de passe. C'est toujours un jour triste d'apprendre que l'utilisateur n'a pas de droits administratifs, qu'il n'est pas connecté au domaine et que l'administrateur qui l'a configuré n'y a pas travaillé depuis 10 ans ......

p.s. comme dit dans une autre réponse, il est possible que l'administrateur soit habitué à obtenir le traitement "get it done" de leurs supérieurs, ce qui peut les amener à simplement demander des mots de passe.

11
Ormis

Il est peut-être temps de creuser votre politique de sécurité informatique. Si vous en avez un dans votre organisation. Sinon, il est temps d'amener l'équipe à s'asseoir et à en dessiner une.

Il se peut que cet administrateur ne l'ait pas lu ou ait été formé.

Une culture consistant à donner des mots de passe augmentera certainement les chances que les comptes soient compris s'il n'y a pas de contrôles en place pour vérifier chaque demande.

Les questions soulevées au sujet de la responsabilité sont également un peu préoccupantes.

Ce n'est certainement pas une bonne pratique.

6
RobertRay

Il y a aussi un autre problème avec le partage de mot de passe.

Si quelque chose arrive à votre compte ou par votre compte alors que quelqu'un d'autre est connecté, c'est vous qui serez blâmé. Même si à l'intérieur de l'entreprise, vous pouvez partager votre mot de passe par politique de sécurité, légalement (par la loi; au moins dans mon pays), vous êtes celui qui sera accusé.

6
StupidOne

La question centrale posée est: "Est-il jamais nécessaire qu'un administrateur demande un mot de passe?" De toute évidence, il ne devrait pas être nécessaire. Mais définissons "nécessaire" comme "nécessaire pour accomplir quelque chose de critique".

Avec ces paramètres, en cas de défauts graves/cassants dans l'infrastructure de sécurité, il peut être nécessaire d'exposer un mot de passe pour accomplir des tâches critiques. J'ai vu des systèmes encrassés dans les grandes entreprises et le gouvernement qui étaient gérés comme ça pendant des années avant de les rencontrer. Et du point de vue du maintien de l'opération en cours, oui, il était nécessaire de continuer à avoir ce type d'exposition de mot de passe pendant que les correctifs étaient faits.

La clé dans chaque cas était de documenter le problème, de documenter et de communiquer clairement les risques de fonctionner dans cette situation de sécurité imparfaite, d'obtenir une déclaration de politique du leadership indiquant dans quelles circonstances l'exposition du mot de passe devrait se produire pendant la correction, puis de documenter tout mot de passe l'exposition nécessaire pour continuer à fonctionner pendant la correction du système de sécurité.

Bref, cela ne devrait jamais être nécessaire. Mais si c'est le cas, protégez-vous en déplaçant le risque de responsabilité de vous-même vers la partie responsable des décisions/de l'infrastructure qui l'ont rendu indûment nécessaire. Et bien sûr, s'il n'y a aucun mouvement pour résoudre le problème, vous voudrez peut-être envisager de passer à autre chose.

0
HumanJHawkins