Die Chefin fragt nach Kontopasswörtern, die sie zurücksetzen kann, bevor ich kündige

Ich verlasse eine Firma, bei der ich gearbeitet habe, weil die Chefin verschiedene Versprechen, Prämien usw. nicht eingehalten hat. Nachdem sie Gegenangebote und andere Anreize abgelehnt hatte, wurde die Chefin mir gegenüber feindselig und forderte jetzt die Herausgabe des Kontos Zugangsdaten für verschiedene Unternehmenskonten (Drittanbieterdienste für Codespeicherung, Versionskontrolle usw.), die sie alle einfach zurücksetzen kann, indem sie sich als Administrator anmeldet. Sie hat auch verlangt, dass ich die Anmeldeinformationen für mein privates E-Mail-Konto herausgebe, um sicherzustellen, dass ich keine Firmen-E-Mails oder IP habe.

Ich antwortete, dass meine persönliche E-Mail mein Eigentum ist und dass sie nie im Büro oder für meine Arbeit verwendet wurde. Ich habe auch darauf hingewiesen, dass die jeweiligen Passwörter der anderen Konten einfach mit den "Administrator-Tools" zurückgesetzt werden können und dass ich die Logins nicht bereitstellen werde, da ich bereits den rechtlichen Nutzungsbedingungen für diese anderen Websites zugestimmt habe, die verlangen, dass ich meine Anmeldeinformationen nicht weitergebe. Schließlich bemerkte ich, dass sie sich an die jeweiligen Websites wenden kann, um Hilfe beim Zurücksetzen der Passwörter zu erhalten, und dass dabei keine Daten verloren gehen würden.

Habe ich mich professionell verhalten? Gibt es Umstände, unter denen ich diese Kontodaten angeben sollte (außer meiner persönlichen E-Mail-Adresse)? Soll ich ihr schließlich einfach direkt sagen: "Ich kann dir die nicht geben, weil der einzige Grund, warum du sie brauchen könntest, darin besteht, dich als mich auszugeben".

Dies ist in Ostkanada.

Sie haben professionell gehandelt. Schreiben Sie ein Übergangsdokument darüber, wie sie mit ihrem Admin-Element das Passwort für alle Konten ändern kann, für die ein Passwort zurückgesetzt werden muss. Geben Sie Ihre Passwörter nicht weiter. Was wird sie tun, wenn du es nicht tust? Dich feuern?
Habe ich mich professionell verhalten? - Ist sehr meinungsbasiert. Sie haben die Situation bereits gehandhabt. Ich bin mir nicht sicher, was Sie von uns verlangen, was zum Thema gehört.
Fast alle Arbeitsplätze sind meinungsbasiert.
@ChristopherEstep - Ich würde sagen, es basiert auf professionellen Meinungen.
Tun Sie, was @dfundako vorgeschlagen hat, und kopieren Sie auch ihren Chef. Auf diese Weise ist es schwieriger zu sagen, wo Sie während Ihres Übergangs nicht kooperativ waren. Geben Sie NIEMALS Ihr persönliches Kontopasswort weiter.
Ich habe noch nie in einer Umgebung gearbeitet, in der es keine Sicherheitsverletzung darstellte, jemandem, einschließlich eines Vorgesetzten, persönlich zugewiesene Anmeldeinformationen zu geben. Wenn der Chef einen berechtigten Bedarf an Zugriff hat, sollte es Möglichkeiten geben, wie er ohne Ihre Mitarbeit Zugriff erhalten kann. Was das persönliche Konto betrifft, nein, sie haben keine derartigen Rechte, aber beachten Sie, dass interne Software diese Anmeldeinformationen aufgezeichnet haben könnte, wenn Sie jemals von Firmencomputern aus auf diese Konten zugegriffen haben. Wenn dies der Fall ist, haben einige Gerichtsbarkeiten entschieden, dass auf sie zugegriffen werden kann, um zu überprüfen, ob Sie keine Sicherheitsverletzungen begangen haben.
Mit einem Admin-Zugang könnte Ihr Chef Ihr Passwort einfach zurücksetzen – aber es würde ein Protokoll darüber geben, dass er dies getan hat. Der EINZIGE Grund, warum jemand Ihr Passwort haben wollte, wenn er diese Macht hatte, war, dass er vorhatte, sich als Sie anzumelden und Ihnen etwas anzuhängen. Seien Sie sehr, sehr vorsichtig, um sich zu bedecken.

Antworten (6)

Jeder Sicherheitsexperte würde das Offensichtliche sagen: Wenn es sich um ein persönliches Konto handelt, geben Sie ihm NICHT Ihre Anmeldeinformationen.

Sie ist in der Lage, die Passwörter für Ihre Arbeitsmaschine per IT zurückzusetzen, und sie kann legal eine Vorladung erwirken, wenn sie beschließen, Sie wegen des Besitzes vertraulicher Dokumente vor Gericht zu bringen. Wenn sie diesen Schritt nicht gehen wollen, brauchen sie Ihre persönlichen Anmeldeinformationen nicht. Wenn sie befürchten, dass Sie über vertrauliche Informationen verfügen, ist es ihre Aufgabe, die rechtlichen Unterlagen und die Genehmigung zum Erhalt dieser Informationen einzuholen.

Wenn sie befürchten, dass Sie auf Code von Drittanbietern zugreifen können, können sie (a) die Anmeldeinformationen auf ihrer Seite ändern und/oder (b) den legalen Weg gehen, wenn sie glauben, dass Sie dort drin waren. Da sich die Dokumente in einem Drittanbieter-Repository befinden, bezweifle ich, dass sich die Organisation durch die Zusammenarbeit mit schändlichen Aktivitäten gefährden würde.

Beschuldige sie NICHT, auch nicht am Rande, des Fehlverhaltens. Nennen Sie einfach die Fakten und belassen Sie es dabei. Sie müssen keine Gründe angeben, um Ihre personenbezogenen Daten aufzubewahren. Sogar die Passwörter, die Sie für Ihr Arbeitskonto verwenden, können manchmal als private Informationen angesehen werden, da Benutzer routinemäßig gemeinsame Passwörter für ihre Konten wiederverwenden. Wenn sie die Möglichkeit haben, sie zurückzusetzen, sollten sie sich um nichts Sorgen machen.

Wenn es sich um ein persönliches Konto handelt, geben Sie ihr NICHT Ihre Anmeldeinformationen. Leichte Meinungsverschiedenheit: Ich würde sagen, geben Sie Ihre Anmeldeinformationen einfach NICHT als allgemeinen Rat an, unabhängig davon, ob das Konto persönlich ist oder nicht, der einfache Grund dafür ist, dass Benutzer dazu neigen, Passwörter wiederzuverwenden.
Verdammt, mir gefällt deine Antwort besser als meine. Es ist vollständiger und erklärt es besser. Gut gemacht.
Sie geben niemals Passwörter heraus. Ein Teil meiner Arbeit ist der stellvertretende Systemadministrator in meinem Unternehmen, und jedes Mal, wenn ich Zugriff auf ein Konto benötige, bekomme ich ihn. Ich brauche oder will niemandes Passwort wissen und jeder Sysadmin, der behauptet, es zu brauchen, ist sein Salz nicht wert.
Wenn ich meinen vorherigen Arbeitgeber verlasse, setze ich alle Passwörter für alle Arbeitgeberkonten auf ein allgemeines 10-stelliges Passwort zurück, das ich meinem Chef an meinem letzten Tag hinterlassen habe. Ich habe es aus Höflichkeit getan, weil sie nette Leute sind und ich NIEMALS genaue persönliche Informationen verwende, um ein Arbeitskonto außerhalb meines Arbeitgebers zu sichern.
@DLS3141 Bei den meisten meiner früheren Jobs hatte ich keine Wahl. Nicht viele Leute geben Programmierern die Möglichkeit, nach der Beendigung auf ein System zuzugreifen, da sie die "Schlüssel zum Königreich" haben und Chaos anrichten können, wenn sie das Bedürfnis haben. Ich würde nicht, weil ich allergisch darauf bin, wegen Unternehmenssabotage inhaftiert zu werden, aber einige könnten / würden.
@SliderBlackrose Ich habe freiwillig gekündigt, nicht gekündigt
@rath Ja, das habe ich im letzten Absatz gesagt. Persönlich bekommen sie nie etwas. Zurücksetzen und weitermachen, einen Hacker beauftragen, um es herauszufinden, oder vor Gericht gehen und mich dazu zwingen, es zu geben ... und seien Sie versichert, dass sich jedes andere Passwort ändern wird, bevor irgendetwas davon passiert.
Und geben Sie ihnen NIEMALS NIEMALS Zugriff auf persönliche Konten

Nein niemals. Nicht einmal Arbeitspasswörter.

Passwörter sind privat. Wir Systemadministratoren und Softwareanbieter unternehmen große Anstrengungen, um sicherzustellen, dass sie von niemandem außer dem Inhaber des Passworts eingesehen werden können, und das aus gutem Grund.

Wenn sie Zugriff auf Konten benötigt, kann sie diese von der IT zurücksetzen lassen. Dies ist der (einzige) legitime Weg, um beim Ausscheiden des Mitarbeiters an Passwörter zu gelangen. Sie sollten sie auf jeden Fall sowieso ändern, da Sie dort nicht mehr arbeiten werden.

Was Ihr persönliches E-Mail-Passwort betrifft, so ist eine solche Anfrage absurd. Sagen Sie ihr, dass sie dafür zurückkommen kann, wenn sie eine gerichtliche Vorladung in der Hand hat.

das ist meiner meinung nach die richtige antwort.

Wenn Ihr Unternehmen über eine Kennwortrichtlinie und/oder eine Richtlinie zur akzeptablen Nutzung von Computerressourcen verfügt, ist jetzt ein guter Zeitpunkt, diese zu überprüfen.

Persönliche Konten – Sie hat kein Recht, nach diesen Zugangsdaten zu fragen, und die Weitergabe an jemanden, der nicht Sie sind, kann einen Verstoß gegen die Nutzungsbedingungen für diese Dienste darstellen.

Arbeitskonten – das Unternehmen sollte über Mechanismen verfügen, um diese Anmeldeinformationen nach Beendigung Ihres Arbeitsverhältnisses zurückzusetzen (und aus Ihrem Beitrag geht hervor, dass dies der Fall ist). Diese Prozesse sollten die Protokollierung beinhalten, wer es wann und aus welchem ​​Grund (aus welchen Gründen) getan hat. Es sollte nicht erforderlich sein, dass Ihr Manager Ihr tatsächliches Passwort erhält – und hier kommen die oben genannten Richtlinien ins Spiel. In vielen Organisationen ist dies ein Verstoß gegen diese Richtlinie mit Folgen, die möglicherweise so schwerwiegend sind wie die Kündigung, wenn festgestellt wird, dass ein Mitarbeiter die Anmeldeinformationen einer anderen Person verwendet oder seine Anmeldeinformationen mit anderen teilt.

Das E-Mail-Konto kann zwar Eigentum des Unternehmens sein, aber das gibt Ihrem Vorgesetzten keinen Freibrief , sich alles darin anzusehen. Beispielsweise kann die Kommunikation zwischen Ihnen und der Personalabteilung als vertraulich angesehen werden und ihr nicht zur Verfügung stehen – wenn sie jedoch Zugriff auf Ihr Konto hat, würde diese Vertraulichkeit gebrochen. Lassen Sie die IT und die Personalabteilung das „archivierte“ Konto verwalten (Ihr E-Mail-Konto sollte deaktiviert sein und keine neuen Nachrichten mehr annehmen, wenn Sie kündigen) und verwenden Sie die ihnen zur Verfügung stehenden Tools, um bestimmte Nachrichten zu finden, die Ihr Manager möglicherweise benötigt – sie sollte nicht gehen dürfen auf einem Angelausflug mit Ihrer E-Mail, nur um zu sehen, was sie finden kann.

In der Praxis müssen Sie möglicherweise die Kennwörter der Arbeitskonten aufgeben, um daran vorbeizukommen. Bleiben Sie jedoch standhaft bei Ihren persönlichen Konten. Wenn sie wirklich glaubt, dass sie etwas zu suchen hat, kann sie die entsprechenden Unterlagen einreichen, um sie durch das Rechtssystem zu verfolgen.

Guter Punkt zur HR-Kommunikation. Aus diesem Grund sollte der Manager keinen Zugriff auf das Konto haben. Es sollte sich an HR und IT wenden, die geschult sind, mit der Situation umzugehen und wichtige Informationen zu bewahren (normalerweise vertraulich, aber ich spreche nicht mit allen Unternehmen).
@SliderBlackrose gute Ergänzung. IT wird in der Lage sein, nach bestimmten Informationen in diesem Konto zu suchen (der Manager müsste angeben, wonach er sucht) und nicht nur auf eine Angelexpedition gehen .
Selbst wenn Sie die Passwörter für Arbeitskonten aufgeben müssen, können Sie den Chef einfach fragen, wie das Passwort geändert werden soll, bevor Sie ihm „das Passwort mitteilen“. Der schwierige Teil herauszufinden, wenn das Unternehmen nichts prüft, ist, wie man feststellt, dass es nicht mehr Ihr Konto ist, sondern das Ihres Chefs.
@alroc, als IT-Sicherheitsexperte liebe ich die sicherheitsorientierte Art Ihrer Antwort. +1 für die Erwähnung von Richtlinien und geringsten Privilegien

Gibt es Umstände, unter denen ich diese Kontoanmeldeinformationen angeben sollte?

Nur zur Strafverfolgung aufgrund einer gerichtlichen Anordnung (und unter Zwang).

Die Konten können dem Unternehmen gehören, Passwörter sind jedoch persönlich. Ende der Diskussion. Wenn sie sicherstellen möchte, dass Sie keine Firmen-IP in Ihrer persönlichen E-Mail haben, kann sie ein Unternehmen für Computerforensik beauftragen.

Die kann ich Ihnen nicht geben, weil Sie sie nur brauchen könnten, um sich als mich auszugeben

Auf den Punkt.

Bearbeiten : Verwandte Frage zu Security.SE: Ist es in Ordnung, Ihr Passwort dem Systemadministrator Ihres Unternehmens mitzuteilen?

Es ist nicht in Ordnung, Ihr Passwort jemals jemandem mitzuteilen . Keine Strafverfolgung; nicht unter Zwang.

Es hört sich so an, als ob Sie besorgt sind, dass sie Ihnen eine Sünde anhängen will. Wenn dem so ist, solltest du auf keinen Fall sagen „Der einzige Grund, warum du sie brauchen könntest, ist, mich auszugeben“, denn das könnte sie dazu bringen, einen Fall für Zorn aufzubauen.

Andere haben großartige Ratschläge für das allgemeinere Problem gegeben, aber wenn sie entschlossen ist, Fehler zu finden, könnte die einfachste Lösung darin bestehen, sie stattdessen einen Fall für Faultier aufbauen zu lassen:

Das Zurücksetzen des Passworts für ein altes Konto wird empfohlen, da es garantiert, dass ich auf nichts mehr zugreifen kann, was ich nicht sollte. Es bedeutet auch, dass ich in Zukunft ähnliche Passwörter woanders verwenden kann.

Offensichtlich sollten Sie Passwörter niemals wirklich wiederverwenden. Aber indem Sie den Identitätswechsel schräg erwähnen und die Diskussion dann auf eine hypothetische „sichere“ Sünde lenken, können Sie ihr Raum geben, die Lücken für sich selbst zu füllen.

Wenn Ihr Chef darauf besteht, Passwörter für Ihre Arbeitskonten zu erhalten, und Sie diese Passwörter hier nicht angeben möchten (z. B. weil Sie dasselbe Passwort für private Konten verwendet haben), können Sie dies tun, anstatt mit ihm/ihr zu streiten ändern Sie alle Ihre Passwörter zu Password123. Oder bitten Sie die IT, ein Passwort vorzuschlagen, und ändern Sie alle Ihre Passwörter in das vorgeschlagene Passwort. Und gib das Passwort weiter.

Die Chefin fragt nach Kontopasswörtern, die sie zurücksetzen kann, bevor ich kündige
AntwortenHierDatenschutz-Bestimmungen1y, 0v