Frage:
Der Manager fordert alle E-Mail-Passwörter - wie geht es weiter?
user109840
2019-09-13 19:02:22 UTC
view on stackexchange narkive permalink

Mein Manager hat uns heute (~ 10-köpfiges Team) alle gebeten, eine Papierliste unserer E-Mail-Passwörter für ihn zu erstellen. Jemand anderes sagte ihm, er könne es von der IT bekommen, und er sagte, die IT würde ihn nicht dazu bringen, sie zu haben. Wie soll ich / wir damit umgehen?

Wie ist die Struktur seines Unternehmens?Haben Sie einen Sicherheitsbeauftragten oder eine andere Behörde, die sicherheitsrelevante Fragen überwacht oder prüft?Können wir annehmen, dass die E-Mail-Konten mit Personen verbunden sind (d. H. [email protected]) oder generisch sind (d. H. [email protected])?
Mehrere Dinge für dieses Land benötigt?Welche E-Mails?Ist es Arbeit oder persönlich (wenn persönlich, dann nicht!).Haben Sie Ihren Manager gefragt, warum er sie benötigt, insbesondere wenn die IT Nein sagt?Haben Sie die Sicherheitsprobleme bei Papierkopien erläutert?
Viele Unternehmensrichtlinien verbieten dieses Verhalten, aber nicht ALLE.In der Tat könnten Sie wegen Insubordination diszipliniert werden, wenn das Unternehmen keine Richtlinien zum Schutz Ihres Passworts hat.
@rath stimmte zu 100% zu.Eine schriftliche Anfrage zu verlangen ist kein schlechter Rat.Die flippige Ablehnung Ihres Chefs könnte drastische Konsequenzen haben.
Haben Sie oder jemand anderes ihn gefragt, warum er Ihre Passwörter haben möchte?
ziemlich offensichtliches Duplikat von [Kann HR / Boss Ihren Benutzernamen und Ihr Passwort anfordern?] (https://workplace.stackexchange.com/questions/46608/can-hr-boss-require-your-username-and-password)
Welche Erklärung hat er gegeben, warum er sie braucht?
@gnat Die andere Frage enthält HIPAA als Teil der Frage, wodurch eine Schutzschicht hinzugefügt wird, die diese Frage nicht bietet.
"Er kann es von der IT bekommen" ist ein Sicherheitsbedenken an sich.Die IT sollte niemals Ihr Klartext-Passwort haben.
Ich würde ihm ein Passwort geben, das nicht funktioniert ... warnen Sie HR und IT, was er versucht, und gehen Sie von dort aus ... Ich habe noch nie von der IT nach meinem Passwort gefragt - sie können es trotzdem umgehen und zurücksetzen...
Als @SolarMike says: kann IT höchstwahrscheinlich Ihr Passwort umgehen, aber sie sollten Ihr Passwort niemals kennen.
Tun Sie das auf keinen Fall.Ihr Manager ist entweder das Opfer von Social Engineering oder er versucht, etwas zu ziehen.Es gibt absolut keinen legitimen Grund für Ihren Manager, Ihre Passwörter zu verlangen.Je.Aus irgendeinem Grund.Punkt.Höchstwahrscheinlich werden Sie auch wegen Verstoßes gegen die Sicherheitsrichtlinien in große Schwierigkeiten geraten, wenn Sie sie ihm geben.Ich würde ehrlich über seinen Kopf gehen und seinen Manager wissen lassen, dass sein direkter Bericht versucht, IT-Sicherheitsrichtlinien aus unbekannten Gründen zu umgehen.Ich bin sicher, sie wären sehr interessiert herauszufinden, warum.
Ich stimme dafür, diese Frage erneut zu öffnen, da es sich bei der vermeintlichen "offensichtlichen doppelten" Frage um eine HIPAA-Frage handelt.Es tut mir leid, aber das macht die Art der Frage völlig anders, da der Kontext anders ist.Außerdem fragt der Chef in der HIPAA-Frage nach diesen Informationen über unverschlüsselte E-Mails, wodurch die Anfrage noch einfacher wird oder möglicherweise von einem Hacker stammt, der sein E-Mail-Konto kompromittiert hat.
Fünf antworten:
#1
+39
Jim Horn
2019-09-13 19:05:52 UTC
view on stackexchange narkive permalink

(Knie-Ruck-Reaktion) Erhalten Sie diese Anfrage schriftlich und leiten Sie sie an die IT-Informationssicherheitsgruppe Ihres Unternehmens weiter. Wenn die IT es ihnen nicht erlaubt, sollten Sie es auch nicht tun.

Ich habe noch nie für ein Unternehmen von anständiger Größe gearbeitet, das dies zuließ. Die meisten, wenn nicht alle von ihnen haben eine jährliche Schulung, die dies abdeckt, und gemäß dieser Schulung ist das Teilen von Passwörtern ein schwerwiegender Verstoß.

Ja, ich denke ich werde dumm spielen und das versuchen.ty
Sie kennen die für Ihre Situation spezifischen Details nicht, die hier nicht veröffentlicht sind, aber ich würde zehn Dollar wetten, dass Ihre IT-Informationssicherheitsgruppe darauf reagiert, indem sie Ihrem Manager ein spezielles hochintensives Training (es ist ein Akronym) über nicht anbietetdirekte Berichte nach E-Mail-Passwörtern fragen.Viel Glück.
Dies ist theoretisch gut, aber der Manager kann es einfach ablehnen, die Anfrage schriftlich zu stellen.Wenn es sich um eine willkürliche Beschäftigung handelt, kann er die Mitarbeiter kündigen, die sich aus einem anderen Grund weigern.
In jeder kompetent geführten Organisation wird dieser Manager sofort "entlastet, umerzogen, neu zugewiesen, entfernt", weil er dies versucht hat.Es kann auch illegal sein, wenn es sich um eine Organisation handelt, die von HIPPA oder Sarbanes-Oxley in den USA abgedeckt wird. Da das OP angibt, dass es eine IT-Abteilung gibt, wette ich, dass es eine gewisse Durchsetzung gibt.
Selbst wenn er sich weigerte, die Forderung schriftlich zu stellen, wird für den betreffenden Manager mit ziemlicher Sicherheit ein spezielles hochintensives Training geplant sein, wenn die IT-Informationssicherheitsgruppe von drei oder mehr Personen hört, dass er dies auch mündlich gefordert hat.
#2
+18
Ertai87
2019-09-13 19:07:00 UTC
view on stackexchange narkive permalink

Das scheint sehr ungewöhnlich zu sein. Warum möchte Ihr Manager Ihr E-Mail-Passwort? Wenn er keinen guten Grund hat, kann dies ein Beispiel für toxisches Mikromanagement sein, bei dem Ihr Manager sich auf alles einlassen möchte, was Sie tun, und das ist schlecht. Ein weiterer Grund, warum Sie ihm Ihr Passwort nicht geben sollten, ist, dass für den Fall, dass bei Ihrer Arbeit etwas schrecklich schief geht und Sie Rechtsbeistand benötigen, die meisten Unterlagen, die Ihr Anwalt benötigt, wahrscheinlich in Ihrer Arbeits-E-Mail enthalten sind. Ihr Chef (wahrscheinlich der Angeklagte oder zumindest ein Angeklagter in einer solchen Situation) kann jetzt ohne Ihre Erlaubnis hineingehen und löschen.

NICHT geben Sie Ihre Chef Ihr E-Mail-Passwort. Wenn Ihr Chef kein Nein als Antwort akzeptiert, geben Sie ihm Ihr E-Mail-Passwort und beenden Sie sofort die Verwendung Ihrer geschäftlichen E-Mail-Adresse für alles, was auch nur von entfernter Bedeutung ist, und suchen Sie dann nach einem neuen Job. Diese Art von Mikromanagement ist nicht gesund und kann gefährlich sein.

BEARBEITEN: Ich habe gerade bemerkt, dass der Chef bereits zur IT gegangen ist und die IT gesagt hat, dass sie ihm Ihre Passwörter nicht geben werden. Sie sollten sofort selbst zur IT gehen und sie wissen lassen, dass Ihr Manager Druck auf Sie ausübt, ihm Ihre Passwörter direkt zu geben, um die IT zu umgehen und zu sehen, was sie sagen. Möglicherweise verfügt Ihr Unternehmen über interne Maßnahmen, falls ein Manager versucht, die Unternehmensprotokolle auf diese Weise zu umgehen.

#3
+10
PeteCon
2019-09-13 19:29:59 UTC
view on stackexchange narkive permalink

Geben Sie NIEMALS Passwörter heraus. Personen, die kennwortgeschützte Informationen anzeigen müssen, benötigen dazu Ihr Kennwort nicht. Wenn sie diese Freigabe nicht erhalten können, sollten Sie die Informationen nicht weitergeben.

Wenn Sie Ihrem Manager absichtlich Ihr Passwort geben oder offenlegen (nicht nur per E-Mail), sind Sie genauso schuldig wie er, wenn diese Informationen missbraucht werden. In extremen Fällen können beide gefeuert werden.

In diesem Fall sollten Sie, da die IT-Abteilung Nein gesagt hat, auch Nein sagen und ihn an die IT-Abteilung weiterleiten, wenn er weiter drückt.

Dies ist ein potenziell gefährlicher Rat, wenn Ihr Unternehmen keine Richtlinien zum Schutz Ihrer Kennwörter hat.Zumindest in den USA hat ein Mitarbeiter keine Erwartung an den Datenschutz einer Unternehmens-E-Mail-Adresse.
@Lumberjack 1. Nur weil das Unternehmen das Recht hat, alle Ihre E-Mails zu lesen, heißt das nicht, dass Ihr * Chef * dies tut.Es gibt viele professionelle Gespräche per E-Mail, die Ihr Chef unbedingt nicht sehen muss (z. B. HR).2. Es geht nicht nur um die Erwartung der Privatsphäre, sondern auch um die Rechenschaftspflicht.Wenn Ihr Chef Ihr Passwort hat, kann er sich als Sie ausgeben.Sie könnten böswillig sein und es so aussehen lassen, als würden Sie Unternehmensgeheimnisse stehlen, oder sie könnten dumm sein und eine Beziehung zu einem Kunden vermasseln.In jedem Fall sind * Sie * derjenige, der die Schuld trägt, weil es Ihr Konto war.
@DavidK Alles, was Sie sagen, ist korrekt, aber wenn Ihr Chef Ihr Passwort verlangt und die Personalabteilung auf seiner Seite steht, leiden Sie immer noch unter den Folgen.
@Lumberjack, aber in diesem Fall hat die IT bereits klargestellt, dass dies gegen die Unternehmensrichtlinien verstößt.Wenn Sie ein Passwort gegen die IT-Richtlinien vergeben, wird möglicherweise auch ein Mitarbeiter entlassen.In einer willkürlichen Beschäftigungssituation gibt es nur einen sehr begrenzten Schutz vor inkompetenten und skrupellosen Managern, aber das bedeutet nicht, dass Sie sich einfach ihren Forderungen anpassen sollten, da dies Sie ebenfalls in Schwierigkeiten bringen kann.
@Lumberjack,, was Sie sagen, ist wahr, aber wenn es innerhalb der Unternehmensrichtlinien lag, dass der Manager die E-Mails seiner Berichte sehen konnte, hätte er keine Probleme gehabt, diesen Zugriff über die IT-Abteilung zu erhalten.Sie lehnten seine Bitte ab.Der Chef versucht etwas Schattiges zu tun.
@Lumberjack Wenn Sie Ihr Passwort haben, kann der Manager jede Art von Betrug unter Ihrem Namen begehen.Sie können zehnmal mehr Ärger bekommen (wie wenn die Polizei an Ihre Tür klopft), wenn Sie Ihrem Manager Ihr Arbeitspasswort geben.
Ich bin mir ziemlich sicher, dass dieser Manager das Opfer von Social Engineering im Spiel ist
#4
+7
520 says Reinstate Monica
2019-09-13 19:55:12 UTC
view on stackexchange narkive permalink

Geben Sie unter keinen Umständen Ihr Passwort heraus.

Es gibt Gefahren, die von den anderen, zugegebenermaßen meist sehr guten Antworten nicht vollständig angesprochen wurden.

1) Gemeinsame Passwörter mit anderen (nicht arbeitsfähigen) Konten - Wir alle wissen, dass wir dies nicht tun sollten, aber die Realität ist die Mehrheit von uns. Wenn Sie Ihr Passwort für dieses Konto mit anderen Konten (z. B. Ihrem persönlichen E-Mail-Konto) geteilt haben, verfügt Ihr Manager jetzt auch über dieses Passwort.

2) Es gibt keinen legitimen Grund dafür. Überhaupt. Wenn er Ihre Daten prüfen wollte, gibt es Möglichkeiten, dies zu tun, ohne ihm Ihr Passwort zu geben. Gleiches gilt für das Versenden von Sachen in Ihrem Namen. Gleiches gilt für nahezu jede Verwaltungs- / Verwaltungsaufgabe, die Sie sich vorstellen können.

3) Sie sind für alles verantwortlich, was Sie tun, während Sie in Ihrem Konto angemeldet sind. Dies kann legal sein, wenn der Chef beschließt, Ihr Konto für illegale Aktivitäten zu verwenden. Der legitime Weg, um die Elemente in # 2 zu erledigen, hinterlässt forensisch nachvollziehbare Protokolle, die auf ihn zurückweisen. Melden Sie sich an, wie Sie es nicht tun.

4) Es kann nur einen SCHLECHTEN Grund dafür geben. Die Tatsache, dass er zur IT gegangen ist, abgelehnt wurde und versucht, sie zu umgehen, spricht Bände dafür, dass Ihr Chef nicht die Macht haben sollte, um die er bittet (siehe Nummer 3). P. >

Wenden Sie sich sofort an IT und HR.

Zu Punkt 4 sollte dieser Boss nicht einmal die Macht haben, die er jetzt hat ...
#5
+2
SemiGeek
2019-09-13 19:30:44 UTC
view on stackexchange narkive permalink

Wenn Sie die richtige Beziehung zu Ihrem Chef haben, müssen Sie zunächst erklären, warum dies eine so schreckliche, schreckliche, nicht gute, sehr schlechte Idee ist. Was auch immer er glaubt, damit lösen zu wollen, kann höchstwahrscheinlich sicherer oder schändlicher erledigt werden als das, was er tun sollte.

Ich werde auch darüber nachdenken, wie ich diese Anfragen schriftlich erhalte und mit Ihrer IT arbeite , Compliance- und / oder Personalabteilungen sollten berücksichtigt werden.

Dies ist eine rote Fahne für Ihren Chef. Es kann für die besten Absichten sein, vielleicht für den Fall, dass jemand ausfällt oder aus anderen harmlosen Gründen. Selbst das ist eine schreckliche Idee, wenn Sie in einer Branche arbeiten, die geprüft wird. Er fordert, dass sein Team die Verantwortlichkeit verliert und Sicherheitsinformationen an einem Ort platziert, an dem Angreifer leichter darauf zugreifen können.

Dies zeigt sowohl ein mangelndes Verständnis des Sicherheitsklimas als auch ein Mangel an Problemlösung und Interaktion durch Sie Boss. Die Berichterstattung könnte beispielsweise einfach mit gemeinsam genutzten Posteingängen / Distributionen oder einer Vielzahl anderer Tools für die Zusammenarbeit erfolgen.

Von da an wird die Geschichte nur noch schlimmer. Möglicherweise möchte er alle Ihre Interaktionen überprüfen oder sogar Ihre Konten verwenden, um Dinge zu tun, für die Sie nicht verantwortlich gemacht werden möchten.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...