Ich bin ein neu eingestellter Low-Level-Ingenieur bei einem großen Unternehmen in den USA. Als ich mich für mein Leistungs-/Versicherungspaket anmeldete, bemerkte ich, dass die Passwortanforderungen maximal 9 Zeichen lang waren . Unnötig zu erwähnen, dass ich mich nicht sehr wohl dabei fühle, persönliche Informationen einer so lockeren Anforderung zu unterwerfen. [1]
Ist es aufgrund meines (niedrigen) Status akzeptabel, dieses Anliegen der IT und/oder der Personalabteilung vorzubringen, oder würde das das Boot erschüttern? [2] Ich sprach es umgangssprachlich mit meinen direkten Vorgesetzten an (zu denen ich gute Beziehungen habe), und obwohl sie die schlechte Praxis anerkannten, schienen sie sich nicht allzu sehr darum zu kümmern, etwas dagegen zu unternehmen. Sie sind höchstwahrscheinlich daran gewöhnt, da sie sich vor Jahren angemeldet haben.
Ich möchte sehr ungern mit dem Strom schwimmen und (a) nicht das Gefühl haben, dass meine persönlichen Daten sicher sind, und (b) diese Praxis unbemerkt oder nicht gemeldet zulassen. Natürlich komme ich mir albern vor, wenn ich denke, dass das Unternehmen eine langjährige (und vielleicht geringfügige) Richtlinie nur für mich ändern würde. Aber schließlich ist jede schlechte Sicherheitspraxis in Ordnung, bis sie sehr schnell sehr schlecht wird.
[1] Da dies ein Arbeitsplatz und keine Sicherheits-SE ist, gehen Sie bitte davon aus, dass dies eine schlechte Sicherheitspraxis ist, die vermieden werden sollte, damit wir die vorliegende Frage diskutieren können, und keine angemessene Sicherheitsrichtlinie.
[2] Als Antwort auf einige Rückmeldungen in den Kommentaren beachten Sie bitte, dass ich nicht vorschlage, zum IT-Leiter zu gehen und einen verdammten Mord über die massive Sicherheitslücke in ihrem System zu schreien . Ich hatte eher folgendes im Sinn:Hi [IT/HR person with whom I have a relationship], I noticed there was a 9 char password limit on [...], is that something that can easily be changed to allow more secure passwords? Thanks, Me.
Ist es aufgrund meines (niedrigen) Status akzeptabel, dieses Anliegen der IT und/oder der Personalabteilung vorzubringen, oder würde das das Boot erschüttern?
Kurze Antwort: Gehen Sie mit dem Strom. ( vorerst )
Ich würde warten, bis Sie dies ansprechen, bis Sie eine Weile im Unternehmen sind (über sechs Monate). Sie haben nicht 9 Zeichen ( richtig oder falsch ) aus dem Nichts herausgesucht, und wer auch immer an der Entwicklung der Richtlinie beteiligt war, hat einige Zeit investiert, um sie zu erstellen.
Wenn Sie sich im Unternehmen etablieren, finden Sie heraus, wer die Richtlinie geschrieben hat, und bieten Sie höflich Ihre Vorschläge an, einschließlich Referenzmaterial zur Unterstützung Ihrer Vorschläge.
Also ... ich hasse es, schlechte Nachrichten zu überbringen, aber ...
Abschließend noch folgendes: Der Verantwortliche für starke Passwortanforderungen bedauert seine Richtlinien von 2003
finally
, ja, genau das versuche ich zu vermeiden, a la xkcd !Sie haben hier wirklich zwei Möglichkeiten:
Selbst im Fall von Nr. 2 oben ist das gesamte System nur so stark wie das schwächste verwendete Administratorkennwort. Realistisch gesehen wird ein großes Unternehmen nicht so schnell Änderungen an etwas vornehmen, wie Sie es beschreiben. Sie stehen wahrscheinlich zu weit unten in der Hackordnung, um einen großen Unterschied zu machen, es sei denn, Sie entdecken zufällig einen faktischen Verstoß in der Authentifizierung.
Ist es akzeptabel, dieses Anliegen der IT und/oder der Personalabteilung vorzubringen?
Generell nein - zumindest noch nicht. Nicht nur, weil Sie neu in der Organisation sind, sondern auch, weil Sie kein IT-Mitarbeiter sind. Der Hintergrund Ihrer Frage kommt mir, um es ganz deutlich zu sagen, so vor, dass Sie es "besser wissen" als die Fachleute, deren gesamte Karriere über diese Dinge entscheidet, obwohl Sie nach eigenen Angaben kein Experte auf dem Gebiet sind . Und ich interessiere mich nicht im Geringsten für Ihr Unternehmen, also stellen Sie sich vor, wie die in diesen Rollen in Ihrem Unternehmen reagieren würden.
Sobald Sie sich auf den Boden gesetzt haben, verstehen, wie die Organisation funktioniert, und die Leute kennengelernt haben, dann natürlich, wenn es Sie immer noch beschäftigt, die Frage vorsichtig an diejenigen weiterleiten, die empfänglich wären. Aber es ist keine gute Idee, sich als neuer Nicht-IT-Mitarbeiter die Sicherheit von Systemen in Frage zu stellen, die nicht in Ihren Verantwortungsbereich oder in Ihre Abteilung fallen.
Abschließend sei gesagt, dass die meisten großen Organisationen, vorausgesetzt, wir definieren groß als etwas in der Größenordnung von 10.000+ Mitarbeitern (nicht 500 Mitarbeiter oder ähnliches), über ein robustes Risikomanagementprogramm verfügen. Auf der höchsten Ebene geht es bei der Sicherheit nicht nur darum, „dies ist die beste technische Sicherheitskonfiguration, die Sie vornehmen können, also müssen Sie es tun“, sondern es kommt vielmehr darauf an, Entscheidungen der Geschäftsführung über das Abwägen von Risiken und Vorteilen zu treffen. Höchstwahrscheinlich wissen die Leute davon und haben entschieden, dass es das Risiko wert ist, eine solche Passwortrichtlinie zu befolgen.
In einer perfekten Welt würden die Menschen Ideen nach ihrem Wert und nicht nach den Referenzen der Quelle prüfen, und die Menschen würden sich freuen, darüber informiert zu werden, dass sie eine schlechte Entscheidung getroffen haben, damit sie sie korrigieren und denselben Fehler in Zukunft vermeiden könnten .
Aber in einer perfekten Welt wäre jeder ehrlich, niemand würde versuchen, Ihre Informationen zu stehlen oder sie böswillig zu verwenden, wir würden keine Passwörter brauchen und wir würden dies nicht diskutieren.
Im wirklichen Leben bekommt jemand, der erst vor ein paar Wochen im Unternehmen angefangen hat, meist sehr wenig Respekt. Du hast dich noch nicht bewiesen. Du könntest die klügste Person im Raum sein, aber das weiß niemand. Und so werden die Leute, die schon eine Weile dabei sind und sich bewährt haben, Kritik von Ihnen wahrscheinlich nicht gut vertragen.
Natürlich nicht immer. Aber oft.
Wenn ich du wäre, würde ich es jetzt einfach so machen. Gewinnen Sie Respekt, indem Sie Qualitätsarbeit leisten. Arbeit, bei der man nicht sagt, dass die Arbeit eines anderen schlecht war. Dann, wenn Sie sich etabliert haben, werden Sie genügend Respekt haben, so dass die Leute vielleicht bereit sind, zuzuhören, wenn Sie höflich sagen, dass eine frühere Entscheidung eine schlechte Idee war.
Wenn Sie der Meinung sind, dass dies ein wichtiges Thema ist (ich folge Ihrem Hinweis, meine Sichtweise dazu nicht zu kommentieren), sollten Sie es der Personalabteilung vortragen. Es hört sich so an, als stünden Sie noch am Anfang Ihrer Karriere – Sie werden ständig mit solchen Problemen konfrontiert. Es ist Ihre Aufgabe als Ingenieur, Probleme zu finden und sie zu melden/beheben.
Wenn Sie sich an die Personalabteilung (und nicht an die IT) wenden, sollten diese in der Lage sein, Ihr Feedback entgegenzunehmen und entsprechend weiterzuleiten. Es kann sein, dass nichts getan wird – dann liegt es an Ihnen zu entscheiden, ob Sie es annehmen oder nicht (Sie können den Job kündigen oder die Sozialleistungen ablehnen, wenn die Angelegenheit für Sie wichtig genug ist). Die Personalabteilung wird nicht revanchieren, und vorausgesetzt, Sie präsentieren Ihr Problem professionell, sollte dies für Sie keine Probleme bereiten. Wer weiß? Vielleicht sind Sie die 100. Person, die sich beschwert, und sie werden es endlich beheben. In jedem Fall werden Sie ein wertvollerer Mitarbeiter und ein besserer Ingenieur, wenn Sie das Thema nicht fallen lassen.
Jane S