Ich verlasse eine Firma, bei der ich gearbeitet habe, weil die Chefin verschiedene Versprechen, Prämien usw. nicht eingehalten hat. Nachdem sie Gegenangebote und andere Anreize abgelehnt hatte, wurde die Chefin mir gegenüber feindselig und forderte jetzt die Herausgabe des Kontos Zugangsdaten für verschiedene Unternehmenskonten (Drittanbieterdienste für Codespeicherung, Versionskontrolle usw.), die sie alle einfach zurücksetzen kann, indem sie sich als Administrator anmeldet. Sie hat auch verlangt, dass ich die Anmeldeinformationen für mein privates E-Mail-Konto herausgebe, um sicherzustellen, dass ich keine Firmen-E-Mails oder IP habe.
Ich antwortete, dass meine persönliche E-Mail mein Eigentum ist und dass sie nie im Büro oder für meine Arbeit verwendet wurde. Ich habe auch darauf hingewiesen, dass die jeweiligen Passwörter der anderen Konten einfach mit den "Administrator-Tools" zurückgesetzt werden können und dass ich die Logins nicht bereitstellen werde, da ich bereits den rechtlichen Nutzungsbedingungen für diese anderen Websites zugestimmt habe, die verlangen, dass ich meine Anmeldeinformationen nicht weitergebe. Schließlich bemerkte ich, dass sie sich an die jeweiligen Websites wenden kann, um Hilfe beim Zurücksetzen der Passwörter zu erhalten, und dass dabei keine Daten verloren gehen würden.
Habe ich mich professionell verhalten? Gibt es Umstände, unter denen ich diese Kontodaten angeben sollte (außer meiner persönlichen E-Mail-Adresse)? Soll ich ihr schließlich einfach direkt sagen: "Ich kann dir die nicht geben, weil der einzige Grund, warum du sie brauchen könntest, darin besteht, dich als mich auszugeben".
Dies ist in Ostkanada.
Jeder Sicherheitsexperte würde das Offensichtliche sagen: Wenn es sich um ein persönliches Konto handelt, geben Sie ihm NICHT Ihre Anmeldeinformationen.
Sie ist in der Lage, die Passwörter für Ihre Arbeitsmaschine per IT zurückzusetzen, und sie kann legal eine Vorladung erwirken, wenn sie beschließen, Sie wegen des Besitzes vertraulicher Dokumente vor Gericht zu bringen. Wenn sie diesen Schritt nicht gehen wollen, brauchen sie Ihre persönlichen Anmeldeinformationen nicht. Wenn sie befürchten, dass Sie über vertrauliche Informationen verfügen, ist es ihre Aufgabe, die rechtlichen Unterlagen und die Genehmigung zum Erhalt dieser Informationen einzuholen.
Wenn sie befürchten, dass Sie auf Code von Drittanbietern zugreifen können, können sie (a) die Anmeldeinformationen auf ihrer Seite ändern und/oder (b) den legalen Weg gehen, wenn sie glauben, dass Sie dort drin waren. Da sich die Dokumente in einem Drittanbieter-Repository befinden, bezweifle ich, dass sich die Organisation durch die Zusammenarbeit mit schändlichen Aktivitäten gefährden würde.
Beschuldige sie NICHT, auch nicht am Rande, des Fehlverhaltens. Nennen Sie einfach die Fakten und belassen Sie es dabei. Sie müssen keine Gründe angeben, um Ihre personenbezogenen Daten aufzubewahren. Sogar die Passwörter, die Sie für Ihr Arbeitskonto verwenden, können manchmal als private Informationen angesehen werden, da Benutzer routinemäßig gemeinsame Passwörter für ihre Konten wiederverwenden. Wenn sie die Möglichkeit haben, sie zurückzusetzen, sollten sie sich um nichts Sorgen machen.
Nein niemals. Nicht einmal Arbeitspasswörter.
Passwörter sind privat. Wir Systemadministratoren und Softwareanbieter unternehmen große Anstrengungen, um sicherzustellen, dass sie von niemandem außer dem Inhaber des Passworts eingesehen werden können, und das aus gutem Grund.
Wenn sie Zugriff auf Konten benötigt, kann sie diese von der IT zurücksetzen lassen. Dies ist der (einzige) legitime Weg, um beim Ausscheiden des Mitarbeiters an Passwörter zu gelangen. Sie sollten sie auf jeden Fall sowieso ändern, da Sie dort nicht mehr arbeiten werden.
Was Ihr persönliches E-Mail-Passwort betrifft, so ist eine solche Anfrage absurd. Sagen Sie ihr, dass sie dafür zurückkommen kann, wenn sie eine gerichtliche Vorladung in der Hand hat.
Wenn Ihr Unternehmen über eine Kennwortrichtlinie und/oder eine Richtlinie zur akzeptablen Nutzung von Computerressourcen verfügt, ist jetzt ein guter Zeitpunkt, diese zu überprüfen.
Persönliche Konten – Sie hat kein Recht, nach diesen Zugangsdaten zu fragen, und die Weitergabe an jemanden, der nicht Sie sind, kann einen Verstoß gegen die Nutzungsbedingungen für diese Dienste darstellen.
Arbeitskonten – das Unternehmen sollte über Mechanismen verfügen, um diese Anmeldeinformationen nach Beendigung Ihres Arbeitsverhältnisses zurückzusetzen (und aus Ihrem Beitrag geht hervor, dass dies der Fall ist). Diese Prozesse sollten die Protokollierung beinhalten, wer es wann und aus welchem Grund (aus welchen Gründen) getan hat. Es sollte nicht erforderlich sein, dass Ihr Manager Ihr tatsächliches Passwort erhält – und hier kommen die oben genannten Richtlinien ins Spiel. In vielen Organisationen ist dies ein Verstoß gegen diese Richtlinie mit Folgen, die möglicherweise so schwerwiegend sind wie die Kündigung, wenn festgestellt wird, dass ein Mitarbeiter die Anmeldeinformationen einer anderen Person verwendet oder seine Anmeldeinformationen mit anderen teilt.
Das E-Mail-Konto kann zwar Eigentum des Unternehmens sein, aber das gibt Ihrem Vorgesetzten keinen Freibrief , sich alles darin anzusehen. Beispielsweise kann die Kommunikation zwischen Ihnen und der Personalabteilung als vertraulich angesehen werden und ihr nicht zur Verfügung stehen – wenn sie jedoch Zugriff auf Ihr Konto hat, würde diese Vertraulichkeit gebrochen. Lassen Sie die IT und die Personalabteilung das „archivierte“ Konto verwalten (Ihr E-Mail-Konto sollte deaktiviert sein und keine neuen Nachrichten mehr annehmen, wenn Sie kündigen) und verwenden Sie die ihnen zur Verfügung stehenden Tools, um bestimmte Nachrichten zu finden, die Ihr Manager möglicherweise benötigt – sie sollte nicht gehen dürfen auf einem Angelausflug mit Ihrer E-Mail, nur um zu sehen, was sie finden kann.
In der Praxis müssen Sie möglicherweise die Kennwörter der Arbeitskonten aufgeben, um daran vorbeizukommen. Bleiben Sie jedoch standhaft bei Ihren persönlichen Konten. Wenn sie wirklich glaubt, dass sie etwas zu suchen hat, kann sie die entsprechenden Unterlagen einreichen, um sie durch das Rechtssystem zu verfolgen.
Gibt es Umstände, unter denen ich diese Kontoanmeldeinformationen angeben sollte?
Nur zur Strafverfolgung aufgrund einer gerichtlichen Anordnung (und unter Zwang).
Die Konten können dem Unternehmen gehören, Passwörter sind jedoch persönlich. Ende der Diskussion. Wenn sie sicherstellen möchte, dass Sie keine Firmen-IP in Ihrer persönlichen E-Mail haben, kann sie ein Unternehmen für Computerforensik beauftragen.
Die kann ich Ihnen nicht geben, weil Sie sie nur brauchen könnten, um sich als mich auszugeben
Auf den Punkt.
Bearbeiten : Verwandte Frage zu Security.SE: Ist es in Ordnung, Ihr Passwort dem Systemadministrator Ihres Unternehmens mitzuteilen?
Es hört sich so an, als ob Sie besorgt sind, dass sie Ihnen eine Sünde anhängen will. Wenn dem so ist, solltest du auf keinen Fall sagen „Der einzige Grund, warum du sie brauchen könntest, ist, mich auszugeben“, denn das könnte sie dazu bringen, einen Fall für Zorn aufzubauen.
Andere haben großartige Ratschläge für das allgemeinere Problem gegeben, aber wenn sie entschlossen ist, Fehler zu finden, könnte die einfachste Lösung darin bestehen, sie stattdessen einen Fall für Faultier aufbauen zu lassen:
Das Zurücksetzen des Passworts für ein altes Konto wird empfohlen, da es garantiert, dass ich auf nichts mehr zugreifen kann, was ich nicht sollte. Es bedeutet auch, dass ich in Zukunft ähnliche Passwörter woanders verwenden kann.
Offensichtlich sollten Sie Passwörter niemals wirklich wiederverwenden. Aber indem Sie den Identitätswechsel schräg erwähnen und die Diskussion dann auf eine hypothetische „sichere“ Sünde lenken, können Sie ihr Raum geben, die Lücken für sich selbst zu füllen.
Wenn Ihr Chef darauf besteht, Passwörter für Ihre Arbeitskonten zu erhalten, und Sie diese Passwörter hier nicht angeben möchten (z. B. weil Sie dasselbe Passwort für private Konten verwendet haben), können Sie dies tun, anstatt mit ihm/ihr zu streiten ändern Sie alle Ihre Passwörter zu Password123. Oder bitten Sie die IT, ein Passwort vorzuschlagen, und ändern Sie alle Ihre Passwörter in das vorgeschlagene Passwort. Und gib das Passwort weiter.
dfundako
IDrinkandIKnowThings
Chris E
Benutzer8365
Neo
dlb
Gaius