Vriendin moet wachtwoord afgeven aan IT-afdeling - Persoonlijke financiën, studie en loopbaan

zaterdag 21 maart 2015 11:38

Acties:

0 Henk 'm!

Topicstarter

Beste tweakers, ik ben benieuwd hoe jullie tegen de onderstaande situatie aankijken:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen.
Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om "De telefoon te koppelen aan haar account". Ze was een beetje perplex van de vraag en gaf aan dat ze geen goed gevoel had bij het afgeven van haar wachtwoord. Hierop ontstond een kleine discussie waarbij de werknemer van de IT-afdeling aangaf dat hij 'beroepsgeheim' had en dat ze het rustig af kon geven. Mijn vriendin hield echter voet bij stuk en ze hebben uiteindelijk afgesproken dat zij het wachtwoord zelf in kon typen bij het ophalen.
Bij het ophalen werd haar wederom gevraagd om haar wachtwoord 'even op te schrijven' na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij 'helemaal niet hield van dit soort praktijken'. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.
Uiteindelijk is het allemaal goed gekomen (Ik heb het verhaal natuurlijk van haar gehoord, dus ik weet niet precies wat er gekoppeld moest worden, maar als ik haar telefoon bekijk heb ik het idee dat het enkel om de koppeling met de exchange server gaat)

Uit navraag onder collega's blijkt dat deze het allemaal de normaalste zaak van de wereld vinden om het wachtwoord af te geven.

Nu ben ik zelf werkzaam in de IT (niet als systeembeheerder, dus ik zie het vanaf de andere kant) en voor zover ik kan zien is er één gouden regel met wachtwoorden en dat is dat je ze nooit afgeeft (zie alle anti-phishingmails. Ik zou ook verwachten dat als het systeembeheer goed is opgezet een persoonlijk wachtwoord niet nodig zou zijn om een account te koppelen aan een telefoon. Dat zou een beheerder onder zijn eigen account moeten kunnen doen.
Ik heb mijn vriendin dan ook gesteund in haar weigering om het wachtwoord af te geven.

Gezien ik geen expert ben op het gebied van systeembeheer, ben ik benieuwd naar jullie mening. Zijn wij principiële zeikerds en had zij gewoon haar wachtwoord moeten geven? Of zijn jullie het met ons eens?

zaterdag 21 maart 2015 11:50

Acties:

0 Henk 'm!

Tito129

Vaag. Toen bij ons de telefoon werden uitgerold kon iedereen hem ophalen. Zelf wachtwoord intypen en de rest werd waar je bij zat ingesteld.
Ookal kan ICT bij ons gewoon je wachtwoord veranderen. Dus als iemand kwaad wil is inloggen natuurlijk geen probleem.

zaterdag 21 maart 2015 11:51

Acties:

0 Henk 'm!

nicxz

Vergelijkbare situatie hier: vrouw arts, zelf werkzaam in de IT. En ik vind dat jullie groot gelijk hebben. Het is mijn vrouw ook overkomen, die heeft toen maar meegewerkt omdat ze anders de werktelefoon niet mee zou krijgen. Het lijkt wel of IT binnen de zorg een jaar of 20 achterloopt op de rest van de wereld, denk ik af en toe als ik de verhalen hoor van mijn vrouw.

Eigenlijk geven dit soort ervaringen aan dat de zorgsector nog niet volwassen genoeg is op IT gebied (en dan vooral op het bewustzijn op gebied van veiligheid, identiteitsgebruik, machtigingen, etc) voor EPD achtige constructies.

"Honesty may be the best policy, but it’s important to remember that apparently, by elimination, dishonesty is the second-best policy." George Carlin

zaterdag 21 maart 2015 11:52

Acties:

0 Henk 'm!

Raven

Marion Raven fan

Misschien een idee om http://www.arnoud.engelfriet.net/ te vragen naar de juridische kant van dit? Lijkt mij iig niet normaal om zomaar je wachtwoord af te geven.
edit: Heb hem maar even de link naar dit topic gestuurd, ben wel benieuwd hoe hij er over denkt.

Daarnaast zeg je dat ze werkzaam is als arts, dan zit ze toch met het dokter-patiëntengeheim (hoe dat in NL dan ook mag heten) en dan mág ze die gegevens toch niet eens afgeven mocht de telefoon gebruikt worden om over patiënten te spreken/mailen?

[ Voor 10% gewijzigd door Raven op 21-03-2015 11:57 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

zaterdag 21 maart 2015 12:00

Acties:

0 Henk 'm!

Headshot_NL

het is inderdaad waar dat IT'ers een geheimhoudingsverklaring hebben. Dit soort situaties komen vaak voor maar zijn zelden een probleem.
Soms is het gewoon makkelijker om een wachtwoord aan te nemen en alles rustig voor elkaar te maken, anders staat de klant/collega soms te wachten.
Wanneer het een probleem is laat ik de gebruiker zelf een wachtwoord intypen of hem achteraf aanpassen.

Ik snap het probleem niet zo want wanneer een beheerder toegang wil hebben tot mail of bestanden kan hij zichzelf eigenlijk altijd toegang geven.

🚗 Hyundai Ioniq electric premium 28kWh | ☀️ 4350Wp oost, 1005Wp zuid, 2940Wp west | 🌡️ LG 3,5kW + 2,5kW warmtepomp | 🔋 Marstek Venus 5,12kWh v151 + HW P1

zaterdag 21 maart 2015 12:01

Acties:

0 Henk 'm!

OgWok

U.N.C.L.E.

De medewerker van de IT afdeling laat al zien wat een onvriendelijke blauwbaard hij is. Deze man zou eigenlijk snel een andere baan moeten zoeken. Typisch een "al die lastige gebruikers" figuur.
Zelf zou ik een klacht indienen over iemand met dit soort "manieren". Prima dat je vriendin voet bij stuk heeft gehouden.

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

zaterdag 21 maart 2015 12:09

Acties:

0 Henk 'm!

pacificocean

Headshot_NL schreef op zaterdag 21 maart 2015 @ 12:00:
het is inderdaad waar dat IT'ers een beroepsgeheim hebben. Dit soort situaties komen vaak voor maar zijn zelden een probleem.
Soms is het gewoon makkelijker om een wachtwoord aan te nemen en alles rustig voor elkaar te maken, anders staat de klant/collega soms te wachten.
Wanneer het een probleem is laat ik de gebruiker zelf een wachtwoord intypen of hem achteraf aanpassen.

Ik snap het probleem niet zo want wanneer een beheerder toegang wil hebben tot mail of bestanden kan hij zichzelf eigenlijk altijd toegang geven.

IT'ers hebben geen beroepsgeheim in NL. Dat zijn alleen artsen advocaten etc. Het kan wel zijn dat een IT' er een geheimhoudings verklaring heeft getekend. Het is niet zo dat de geheimhouding van een IT'er gekoppeld is aan zijn beroep.

zaterdag 21 maart 2015 12:14

Acties:

0 Henk 'm!

sonna

Ik zou zelf ook mijn wachtwoord nooit afgeven, maar ik merk wel dat het vaak gebeurd op een IT support afdeling. Hoewel het vaak ook niet eens nodig is omdat sommige mensen hun wachtwoord gewoon op een post-it hebben staan die op hun laptop zit geplakt.. zucht..

Voor het gemak van inrichten van een account op een laptop of pc kan het wel handig zijn om in te kunnen loggen onder de gebruikersnaam. Gewoon een kwestie van bij het uitleveren, change password on first login. Een smartphone kan je echter al bijna helemaal inrichten, bij het uitgeven mensen even hun wachtwoord laten invullen voor evt. exchange synchronisatie oid. of een handleiding meegeven over waar ze hun wachtwoord kunnen invoeren in de telefoon. In principe hebben ze je wachtwoord echt niet nodig. Mocht dat wel zo zijn dan zou ik zeggen reset hem maar, en nooit je huidige wachtwoord afstaan. Dan zit je ook veilig voor het geval iemand belt die zegt dat die van de IT afdeling is, maar dat in werkelijkheid niet is bijvoorbeeld.

Verder kan een beheerder met admin rechten natuurlijk alsnog eventueel bij je data komen, echter is dit dan te traceren naar dit beheer account. Wanneer een beheerder ook met andere accounts kan inloggen wordt het traceren al een stuk lastiger.

zaterdag 21 maart 2015 12:18

Acties:

0 Henk 'm!

Mythio

Bij ons is het verboden voor IT beheerders en support personeel om naar wachtwoorden te vragen. Persoonlijke accounts zijn persoonlijk en moeten ook als zo behandeld worden. In geval een IT beheerder kwaad wil of het voor een geldige reden noodzakelijk is in de account van een gebruiker te komen dan wordt altijd het wachtwoord gereset en nooit om het wachtwoord gevraagd. Dit om discussies te voorkomen over wie er bepaalde acties met een account heeft uitgevoerd; wachtwoord resets zijn namelijk altijd in de audit logs terug te vinden. Als het wachtwoord is afgegeven, en dus bij meerdere mensen bekend is, krijg je altijd discussies als er iets gebeurd en valt er niks meer te bewijzen.

zaterdag 21 maart 2015 12:20

Acties:

0 Henk 'm!

treslem

Bij ons wordt ook de gebruiker gevraagd het password in te typen bij het ophalen van de telefoon.
Vragen om een password lijkt me een no-go, ongeacht de geheimhoudingsverklaring die ik heb..

Aparte manier van werken, zeker gezien het commentaar wat er gegeven wordt door de IT-er..

La dolce vita - non farmi ridere

zaterdag 21 maart 2015 12:20

Acties:

0 Henk 'm!

The Realone

Hoe het juridisch zit weet ik niet, maar waarom zou je er zo'n probleem van moeten maken? Ik vraag ook met enige regelmaat aan de gebruikers of ze hun wachtwoord willen geven of dat ze liever hebben dat ik het reset en het hun later weer aan laat passen. Die keuze laat ik dan aan hun. Er zijn best wel wat beheertaken die het veel makkelijker maken (zo niet nodig) om aan te melden met de account van de gebruiker. Het toevoegen van een Exchange account zou ik daar nou niet direct onder scharen, want dat is echt niet meer dan 10 seconden werk en kan samen met de gebruiker ter plekke.

zaterdag 21 maart 2015 12:24

Acties:

0 Henk 'm!

Ircghost

Honeybadger doesn't care!

Ik vraag nooit gebruikers om hun wachtwoord, als ze een nieuwe telefoon (iphone) krijgen dan komen ze langs en loop ik alles zelf door en waar ze hun wachtwoord moeten invoeren geef ik de telefoon even aan hen. Sterker nog, vaak zijn er gebruikers die hun wachtwoord aan mij willen geven om het makkelijker te maken.. dat weiger ik juist altijd.

zaterdag 21 maart 2015 12:28

Acties:

0 Henk 'm!

Gamebuster

The Realone schreef op zaterdag 21 maart 2015 @ 12:20:
Hoe het juridisch zit weet ik niet, maar waarom zou je er zo'n probleem van moeten maken? Ik vraag ook met enige regelmaat aan de gebruikers of ze hun wachtwoord willen geven of dat ze liever hebben dat ik het reset en het hun later weer aan laat passen. Die keuze laat ik dan aan hun. Er zijn best wel wat beheertaken die het veel makkelijker maken (zo niet nodig) om aan te melden met de account van de gebruiker. Het toevoegen van een Exchange account zou ik daar nou niet direct onder scharen, want dat is echt niet meer dan 10 seconden werk en kan samen met de gebruiker ter plekke.

Geen "Inloggen-als" functie?

Let op: Mijn post bevat meningen, aannames of onwaarheden

zaterdag 21 maart 2015 12:28

Acties:

0 Henk 'm!

Blue-eagle

Ik herinner me nog dat wij ooit UZI-passen moesten integreren in onze software. Dat is het Unieke Zorgverlener Identificatienummer. Bij die pas kreeg iedere zorgverlener ook een pincode die ze geheim moesten houden. Want alle acties in het systeem, zoals het opvragen van dossiers van patiënten, werd gelogged in het systeem met de ingelogde zorgverlener zijn/haar UZI-pas.

Resultaat: Overal sticky-notes met pincodes erop geschreven. Passen met de pincodes erop geschreven.

Je kon dus de pas van een doctor makkelijk jatten en inloggen en iedereen zijn gegevens opvragen, ook als je zelf geen zorgverlener bent.

Waar ik heen wil: Dit soort IT-mensen zijn de kern van het probleem. Deze mensen zijn de zwakste schakels in het systeem. Er gaan mensen dood omdat medische gegevens niet landelijk snel kunnen worden uitgewisseld omdat er privacy bezwaren zijn.

En helaas zijn die terecht. Want dat zie je in dit topic terug.

Erg goed dat je het wachtwoord beschermt.

zaterdag 21 maart 2015 12:34

Acties:

0 Henk 'm!

Mephisteus

Mythio schreef op zaterdag 21 maart 2015 @ 12:18:
Bij ons is het verboden voor IT beheerders en support personeel om naar wachtwoorden te vragen. Persoonlijke accounts zijn persoonlijk en moeten ook als zo behandeld worden. In geval een IT beheerder kwaad wil of het voor een geldige reden noodzakelijk is in de account van een gebruiker te komen dan wordt altijd het wachtwoord gereset en nooit om het wachtwoord gevraagd. Dit om discussies te voorkomen over wie er bepaalde acties met een account heeft uitgevoerd; wachtwoord resets zijn namelijk altijd in de audit logs terug te vinden. Als het wachtwoord is afgegeven, en dus bij meerdere mensen bekend is, krijg je altijd discussies als er iets gebeurd en valt er niks meer te bewijzen.

Hier kan ik me alleen maar bij aansluiten.

Als het goed is worden beheer acties geregistreerd op een zodanige manier dat de beheerder er zelf niet administratief bij kan. Geef je als gebruiker je wachtwoord af kan de beheerder zich voordoen als de gebruiker, en acties op het bedrijfsnetwerk uitvoeren als de gebruiker.

Er zijn vrij veel gevens, waarbij het medische beroep een goed voorbeeld is, waar een beheerder helemaal niet zomaar bij mag. En als dat opgevraagd wordt, moet er een audit kunnen plaatsvinden, iets wat niet kan als het onder het account van de arts is opgevraagd. Dat gaat ook op voor iets als wachtwoord resets.

Ja gebruikers zijn een zwakke schakel, maar als je je wachtwoord voor jezelf houdt valt dat ook wel weer mee. De volgende zwaktste schakel is de beheerder die zonder blikken of blozen zegt overal bij te kunnen, en dat je maar niet zo moeilijk moet doen.

Om over beheerders die actief vragen om wachtwoorden maar niks te zeggen...

zaterdag 21 maart 2015 13:05

Acties:

0 Henk 'm!

The Realone

Gamebuster schreef op zaterdag 21 maart 2015 @ 12:28:
[...]

Geen "Inloggen-als" functie?

Daar heb je lang niet altijd wat aan. Nou moet ik zeggen dat ik alleen om een wachtwoord vraag als ik daadwerkelijk als de gebruiker wat moet testen en dan nog heeft hij/zij de keuze. Bijvoorbeeld als ze onduidelijk problemen ondervinden tijdens dagelijkse werkzaamheden. Dan moet je gewoon, uit praktisch oogpunt, onder dezelfde omstandigheden als de gebruiker werken.

Veel mensen die het vragen om het wachtwoord in het algemeen hier zo beoordelen denken blijkbaar dat hun "perfecte IT systeem" bij alle bedrijven gemeengoed is. Dat men nooit afwijkt van deze regels uit praktisch oogpunt. Ja, in een perfect IT landschap is dat allemaal te doen, maar een perfect IT landschap bestaat nu eenmaal niet.

Praktijkvoorbeeld: Ik kom bij een bedrijf over de vloer met zo'n 300 werknemers. Ik ben er 1 van de 4 beheeders. Wij hebben geen infrastructuur-, security- of helpdeskafdeling, met zijn vieren zijn wij die afdelingen. Als een gebruiker vervolgens bij ons binnen komt lopen met zijn laptop met de klacht:
"Als ik één van deze 10 taken uitvoer met of 1 meer van deze programma's open doet ie iets vreemds. Ik kan hem niet missen maar ik heb nu een meeting, dus kunnen jullie ondertussen even kijken?"

Het makkelijkste is onder deze account in te loggen, of dat nu met zijn eigen wachtwoord is of het wachtwoord dat ik vervolgens zelf instel is natuurlijk lood om oud ijzer.

Ik log in, los het probleem op en uur later wordt de laptop opgehaald. Wij blij, gebruiker blij.

Wil hij niet dat wij inloggen onder zijn account is dat ook geen probleem, maar dan valt niet te garanderen dat problemen zo snel op te lossen zijn.

Audit logs zijn dan leuk, maar als ik kwaad wil heb ik daar zelf ook toegang tot.

Is dit security-technisch de beste methode? Doen we het dan exact volgens het boekje? Nee, dat ben ik met jullie eens. Maar dit is wel de meest effeciënte in veel omgevingen.

zaterdag 21 maart 2015 13:13

Acties:

0 Henk 'm!

pacificocean

The Realone schreef op zaterdag 21 maart 2015 @ 12:20:
Hoe het juridisch zit weet ik niet, maar waarom zou je er zo'n probleem van moeten maken? Ik vraag ook met enige regelmaat aan de gebruikers of ze hun wachtwoord willen geven of dat ze liever hebben dat ik het reset en het hun later weer aan laat passen. Die keuze laat ik dan aan hun. Er zijn best wel wat beheertaken die het veel makkelijker maken (zo niet nodig) om aan te melden met de account van de gebruiker. Het toevoegen van een Exchange account zou ik daar nou niet direct onder scharen, want dat is echt niet meer dan 10 seconden werk en kan samen met de gebruiker ter plekke.

Het probleem is dat een arts wel een beroepsgeheim heeft andere geen toegang mag verlenen tot haar emails.

zaterdag 21 maart 2015 13:16

Acties:

0 Henk 'm!

twilightschild

Topicstarter

Bedankt voor de input allemaal!

Headshot_NL schreef op zaterdag 21 maart 2015 @ 12:00:
het is inderdaad waar dat IT'ers een beroepsgeheim hebben. Dit soort situaties komen vaak voor maar zijn zelden een probleem.
Soms is het gewoon makkelijker om een wachtwoord aan te nemen en alles rustig voor elkaar te maken, anders staat de klant/collega soms te wachten.
Wanneer het een probleem is laat ik de gebruiker zelf een wachtwoord intypen of hem achteraf aanpassen.

Ik snap het probleem niet zo want wanneer een beheerder toegang wil hebben tot mail of bestanden kan hij zichzelf eigenlijk altijd toegang geven.

Volgens mij is het niet zo dat IT'ers een beroepsgeheim hebben. Wel is het zo dat het misbruik van bijvoorbeeld een wachtwoord strafbaar is (voor iedereen). We zijn er op zich niet bang voor dat hij dit zou doen. Het is wel zo dat via de account van mijn vriendin wel wat meer gedaan kan worden dan enkel gevoelige mail bekijken. Het zou bijvoorbeeld ook gebruikt kunnen worden om opiaten te verkrijgen. Misschien heeft hij die toegang nu ook wel al als hij kwaadwillend is, maar ik weet dat niet en mijn vriendin al helemaal niet.

Voor mij is het gewoon een principekwestie; ik kan me niet voorstellen dat je als IT'er een persoonlijk wachtwoord van iemand vraagt. Hoogstens, zoals hier ook een paar keer vermeld, geef je aan dat het makkelijker is op die manier en dat je het daarna weer kan resetten. Wat mij het meest tegen de borst stuit is dat beide heren erg 'op hun pik getrapt' waren omdat ze het niet wilde afgeven. Vreemde instelling voor iemand die werkzaam is in de IT (in mijn ogen).

OgWok schreef op zaterdag 21 maart 2015 @ 12:01:
De medewerker van de IT afdeling laat al zien wat een onvriendelijke blauwbaard hij is. Deze man zou eigenlijk snel een andere baan moeten zoeken. Typisch een "al die lastige gebruikers" figuur.
Zelf zou ik een klacht indienen over iemand met dit soort "manieren". Prima dat je vriendin voet bij stuk heeft gehouden.

Ik moet eerlijk zeggen dat ik ook best trots op haar ben. Normaal is ze een beetje bang om tegen de stroom in te gaan. Gelukkig leggen ze in de geneeskunde-opleiding (vooral nu met de EPD-discussie) wat meer nadruk over het belang van veiligheid in de IT.

Ircghost schreef op zaterdag 21 maart 2015 @ 12:24:
Ik vraag nooit gebruikers om hun wachtwoord, als ze een nieuwe telefoon (iphone) krijgen dan komen ze langs en loop ik alles zelf door en waar ze hun wachtwoord moeten invoeren geef ik de telefoon even aan hen. Sterker nog, vaak zijn er gebruikers die hun wachtwoord aan mij willen geven om het makkelijker te maken.. dat weiger ik juist altijd.

Zo ging het bij ons op het werk ook. Bij haar was het zelfs zo dat de beste man haar boos toebeet dat zij dan maar eens moest vertellen hoe hij zijn werk moest doen zonder haar wachtwoord

The Realone schreef op zaterdag 21 maart 2015 @ 12:20:
Hoe het juridisch zit weet ik niet, maar waarom zou je er zo'n probleem van moeten maken? Ik vraag ook met enige regelmaat aan de gebruikers of ze hun wachtwoord willen geven of dat ze liever hebben dat ik het reset en het hun later weer aan laat passen. Die keuze laat ik dan aan hun. Er zijn best wel wat beheertaken die het veel makkelijker maken (zo niet nodig) om aan te melden met de account van de gebruiker. Het toevoegen van een Exchange account zou ik daar nou niet direct onder scharen, want dat is echt niet meer dan 10 seconden werk en kan samen met de gebruiker ter plekke.

In haar geval was dat omdat ze hetzelfde wachtwoord ook privé gebruikt (niet heel handig, weet ik). Maar ook omdat ze dat geleerd heeft. Zoals ik hierboven al aangeef geeft haar account toegang tot heel wat dingen. Misschien kan die man beste man daar nu ook wel al bij als hij dat wil (en los daarvan denken we helemaal niet dat hij dat wil), maar dat betekent niet dat zij het gemakkelijk hoeft te maken.

In mijn geval zou het puur principieel zijn. Wij krijgen geregeld anti-phishingmailtjes, dus dan hoeft dezelfde beheerder mij niet alsnog om mijn wachtwoord te vragen.
Daarnaast kan ik me bijna niet voorstellen dat het nodig is als je je zaken op orde hebt. Ik heb nog nooit mijn wachtwoord hoeven af te geven. Ik heb tot nu toe bij 4 bedrijven gewerkt variërend in omvang van enkele tientallen werknemers tot tienduizenden werknemers. Geen een keer is mijn wachtwoord nodig geweest terwijl ik toch heel wat migraties en invoeringen van nieuwe systemen, laptops en smartphones heb meegemaakt.

Mephisteus schreef op zaterdag 21 maart 2015 @ 12:34:
[...]

Hier kan ik me alleen maar bij aansluiten.

Als het goed is worden beheer acties geregistreerd op een zodanige manier dat de beheerder er zelf niet administratief bij kan. Geef je als gebruiker je wachtwoord af kan de beheerder zich voordoen als de gebruiker, en acties op het bedrijfsnetwerk uitvoeren als de gebruiker.

Er zijn vrij veel gevens, waarbij het medische beroep een goed voorbeeld is, waar een beheerder helemaal niet zomaar bij mag. En als dat opgevraagd wordt, moet er een audit kunnen plaatsvinden, iets wat niet kan als het onder het account van de arts is opgevraagd. Dat gaat ook op voor iets als wachtwoord resets.

Ja gebruikers zijn een zwakke schakel, maar als je je wachtwoord voor jezelf houdt valt dat ook wel weer mee. De volgende zwaktste schakel is de beheerder die zonder blikken of blozen zegt overal bij te kunnen, en dat je maar niet zo moeilijk moet doen.

Om over beheerders die actief vragen om wachtwoorden maar niks te zeggen...

Exact dit dus $_/-\o_$

zaterdag 21 maart 2015 13:25

Acties:

0 Henk 'm!

pacificocean

@TS Gaat je vriendin nog verdere stappen ondernemen? Anders veranderd er nog niks.

zaterdag 21 maart 2015 13:25

Acties:

0 Henk 'm!

twilightschild

Topicstarter

The Realone schreef op zaterdag 21 maart 2015 @ 13:05:
[...]

Daar heb je lang niet altijd wat aan. Nou moet ik zeggen dat ik alleen om een wachtwoord vraag als ik daadwerkelijk als de gebruiker wat moet testen en dan nog heeft hij/zij de keuze. Bijvoorbeeld als ze onduidelijk problemen ondervinden tijdens dagelijkse werkzaamheden. Dan moet je gewoon, uit praktisch oogpunt, onder dezelfde omstandigheden als de gebruiker werken.

Veel mensen die het vragen om het wachtwoord in het algemeen hier zo beoordelen denken blijkbaar dat hun "perfecte IT systeem" bij alle bedrijven gemeengoed is. Dat men nooit afwijkt van deze regels uit praktisch oogpunt. Ja, in een perfect IT landschap is dat allemaal te doen, maar een perfect IT landschap bestaat nu eenmaal niet.

Praktijkvoorbeeld: Ik kom bij een bedrijf over de vloer met zo'n 300 werknemers. Ik ben er 1 van de 4 beheeders. Wij hebben geen infrastructuur-, security- of helpdeskafdeling, met zijn vieren zijn wij die afdelingen. Als een gebruiker vervolgens bij ons binnen komt lopen met zijn laptop met de klacht:
"Als ik één van deze 10 taken uitvoer met of 1 meer van deze programma's open doet ie iets vreemds. Ik kan hem niet missen maar ik heb nu een meeting, dus kunnen jullie ondertussen even kijken?"

Het makkelijkste is onder deze account in te loggen, of dat nu met zijn eigen wachtwoord is of het wachtwoord dat ik vervolgens zelf instel is natuurlijk lood om oud ijzer.

Ik log in, los het probleem op en uur later wordt de laptop opgehaald. Wij blij, gebruiker blij.

Wil hij niet dat wij inloggen onder zijn account is dat ook geen probleem, maar dan valt niet te garanderen dat problemen zo snel op te lossen zijn.

Audit logs zijn dan leuk, maar als ik kwaad wil heb ik daar zelf ook toegang tot.

Is dit security-technisch de beste methode? Doen we het dan exact volgens het boekje? Nee, dat ben ik met jullie eens. Maar dit is wel de meest effeciënte in veel omgevingen.

De situatie die je nu schetst is in mijn ogen een totaal andere situatie om een paar redenen
- De gebruiker kan zelf inloggen in jou laten werken onder zijn/haar account. Dit vind ik anders dan een wachtwoord afgeven. Ja, je kan een wachtwoord ook weer veranderen, maar juist als het IT-landschap niet zo mooi is, kan het een crime zijn om dit in alle systemen te doen.
- Het is op het verzoek van de gebruiker. Als hij/zij er problemen mee had gehad om jou ongelimiteerde toegang tot haar account te geven, dan had hij/zij er ook bij kunnen blijven staan terwijl jij jouw onderzoek deed. Zoals dit ook vaak gebeurt bij hulp op afstand.

zaterdag 21 maart 2015 13:30

Acties:

0 Henk 'm!

twilightschild

Topicstarter

pacificocean schreef op zaterdag 21 maart 2015 @ 13:25:
@TS Gaat je vriendin nog verdere stappen ondernemen? Anders veranderd er nog niks.

Ik verwacht helaas van niet. Zij heeft haar wachtwoord uiteindelijk niet hoeven af te geven en daarmee is voor haar de kous af. Misschien dat de twee vervelende gesprekken die ze heeft gehad wel iemand daar aan het denken zet over de gang van zaken, maar ik verwacht eerlijk gezegd ook van niet.
Het punt is dat zij helemaal geen affiniteit met de IT heeft en als het op prioriteren aankomt dat zet ze liever in op problemen die ze ziet in de patientenzorg.

zaterdag 21 maart 2015 13:34

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Mythio schreef op zaterdag 21 maart 2015 @ 12:18:
altijd het wachtwoord gereset en nooit om het wachtwoord gevraagd. Dit om discussies te voorkomen over wie er bepaalde acties met een account heeft uitgevoerd; wachtwoord resets zijn namelijk altijd in de audit logs terug te vinden. Als het wachtwoord is afgegeven, en dus bij meerdere mensen bekend is, krijg je altijd discussies als er iets gebeurd en valt er niks meer te bewijzen.

Dat. Er is geen enkele valide reden om het wachtwoord te vragen en beveiliging / privacy / protocollering zijn reden genoeg om het niet te doen.

Ik snap best dat het soms lekker makkelijk is om andermans password te gebruiken, maar niet in omgevingen waar sprake is van ook medische gegevens (of bijv jeugdzorg oid). Je kunt IMHO prima stellen dat het wachtwoord afgeven schending van het medisch beroepsgeheim is omdat bewust toegang wordt gegeven tot die gegevens zonder enige vorm van toezicht.
Max een jaar gevangenisstraf.

Het is ook niet relevant of de beheerder beroepsgeheim heeft (nee) of een geheimhoudingsverklaring heeft getekend. Ook dan mag het niet worden gedeeld.

In haar geval was dat omdat ze hetzelfde wachtwoord ook privé gebruikt (niet heel handig, weet ik). Maar ook omdat ze dat geleerd heeft. Zoals ik hierboven al aangeef geeft haar account toegang tot heel wat dingen.

Dat is ook wel schandalig eigenlijk, tijd voor een fatsoenlijk en uniek wachtwoord dat nog af en toe wijzigt ook

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 21 maart 2015 13:35

Acties:

0 Henk 'm!

CyBeR

💩

Ik ben it'er en ik heb nog nooit iemand om z'n persoonlijke wachtwoord gevraagd. Als 't nodig is dat ik zelfstandig in kan loggen laat ik 't altijd veranderen naar iets wat we wel beide weten. Dat is niet vaak, maar 't is wel 's voorgekomen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 21 maart 2015 13:35

Acties:

0 Henk 'm!

TweakMDS

Wat mij betreft onacceptabel en zéér onprofessioneel van de IT medewerker om dit te doen.

In mijn geval zouden er twee acceptabele situaties zijn om dit te doen;
Als er langer dan een paar minuten toegang tot haar account nodig is: het wachtwoord veranderen (na toestemming) en de medewerker de kans geven dit weer terug te veranderen of een nieuw wachtwoord te hebben.
Als er alleen maar kort iets gedaan moet worden: onder haar toezicht doen en ook haar de wachtwoorden in laten typen.

zaterdag 21 maart 2015 13:37

Acties:

0 Henk 'm!

spone

Ik zie het op mijn werk wel vaker gebeuren dat een gebruiker gevraagd wordt een wachtwoord af te geven. De gedachte erachter is dat alles ingesteld en configureerd kan worden (of het nou gaat om een mobiele telefoon, computer met account of iets anders) zodat de gebruiker deze alleen nog maar aan hoeft te zetten en te gebruiken, en er verder zo min mogelijk tijd aan kwijt is.

Dat in gedachten houdend wil ik niet zeggen dat ik het er mee eens ben, maar het grootste deel van de gebruikers heeft absoluut geen moeite met de werkwijze van even wachtwoord afstaan. Zelf zou ik het overigens nooit doen (afstaan), maar ik heb dan ook zelf de kunde om dingen in te kunnen stellen.

Edit: de route die ik persoonlijk volg is hierboven al genoemd, of gebruiker wachtwoord in laten typen of wijzigen naar een tijdelijk wachtwoord wat bij beiden bekend is.

[ Voor 11% gewijzigd door spone op 21-03-2015 13:38 ]

zaterdag 21 maart 2015 13:42

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

spone schreef op zaterdag 21 maart 2015 @ 13:37:
maar het grootste deel van de gebruikers heeft absoluut geen moeite met de werkwijze van even wachtwoord afstaan. Zelf zou ik het overigens nooit doen (afstaan), maar ik heb dan ook zelf de kunde om dingen in te kunnen stellen.

Sja. Het grootste deel van de gebruikers heeft er ook geen probleem mee om nooit meer te updaten en om iedere mail attachment te openen en ja-ja-ja te klikken. Dat moedig je hopelijk ook niet aan

En: dat je users blind ja zeggen moet reden te meer zijn om het niet te willen. Een week later gebeurt het dan dat iemand zegt een collega van je te zijn om het wachtwoord te krijgen. Social engineering FTW.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 21 maart 2015 13:50

Acties:

0 Henk 'm!

spone

Aan de andere kant denk ik ook dat we dit soort dingen ook vanuit een ander perspectief moeten bekijken. Voor een IT'er is een wachtwoord iets persoonlijks/heiligs. Voor een hoop mensen is een wachtwoord van een werkaccount iets als "de sleutel in het laatje", eenvoudigweg een noodzakelijk kwaad om op de computer te kunnen.

En als dan vervolgens de IT-afdeling/partij met het verzoek komt om dat tijdelijk even te kunnen gebruiken voor werkzaamheden waar de gebruiker zelf (of diens leidinggevende) om gevraagd heeft, en het de gebruiker gedoe bespaart, dan is de drempel niet zo hoog meer.

zaterdag 21 maart 2015 13:55

Acties:

0 Henk 'm!

twilightschild

Topicstarter

spone schreef op zaterdag 21 maart 2015 @ 13:50:
Aan de andere kant denk ik ook dat we dit soort dingen ook vanuit een ander perspectief moeten bekijken. Voor een IT'er is een wachtwoord iets persoonlijks/heiligs. Voor een hoop mensen is een wachtwoord van een werkaccount iets als "de sleutel in het laatje", eenvoudigweg een noodzakelijk kwaad om op de computer te kunnen.

En als dan vervolgens de IT-afdeling/partij met het verzoek komt om dat tijdelijk even te kunnen gebruiken voor werkzaamheden waar de gebruiker zelf (of diens leidinggevende) om gevraagd heeft, en het de gebruiker gedoe bespaart, dan is de drempel niet zo hoog meer.

Ik heb dan ook geen groot probleem met de vraag (wel een klein principieel probleem), maar wel een groot probleem met de reactie op haar weigering. Beide heren leken het als een persoonlijke aanval te zien dat ze het niet af wilde geven. En vooral het feit dat de laatste aangaf dat ze dan maar lekker de hele rest van het installeren ook zelf moest doen vond ik zeer onprofessioneel.

zaterdag 21 maart 2015 13:56

Acties:

0 Henk 'm!

St@m

@ Your Service

Als IT-er kun je het best vragen imho. Zeker als je werk moet doen onder de ander z'n account (en een paar keer opnieuw moet opstarten) en diegene heeft geen tijd om een uur bij je te wachten. Of je vraagt even toestemming om het wachtwoord te wijzigen en je zet hem daarna op "wachtwoord wijzigen bij eerste keer inloggen".
Wil de gebruiker dit niet, ook prima natuurlijk, maar dan blijf je er maar bij om zelf je wachtwoord in te typen.

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

zaterdag 21 maart 2015 14:21

Acties:

0 Henk 'm!

Soulfix

Wat ook wel een gevaar is van dergelijke praktijken is dat het zo normaler wordt gevonden om je wachtwoord af te geven. Nu is het nog aan een IT-medewerker die (hopelijk) niks kwaads in de zin heeft, maar de volgende keer is het een phishing-email in de huisstijl van het bedrijf.

zaterdag 21 maart 2015 14:23

Acties:

0 Henk 'm!

zork

twilightschild schreef op zaterdag 21 maart 2015 @ 11:38:
Gezien ik geen expert ben op het gebied van systeembeheer, ben ik benieuwd naar jullie mening. Zijn wij principiële zeikerds en had zij gewoon haar wachtwoord moeten geven? Of zijn jullie het met ons eens?

Jullie hebben absoluut gelijk! Dit komt namelijk heel erg vreemd over, terwijl het mogelijk betrekking heeft op patientengegevens.

Ik zou een klacht indienen tegen deze praktijken. College Bescherming Persoonsgegevens: https://cbpweb.nl

zaterdag 21 maart 2015 14:38

Acties:

0 Henk 'm!

twilightschild

Topicstarter

zork schreef op zaterdag 21 maart 2015 @ 14:23:
[...]

Jullie hebben absoluut gelijk! Dit komt namelijk heel erg vreemd over, terwijl het mogelijk betrekking heeft op patientengegevens.

Ik zou een klacht indienen tegen deze praktijken. College Bescherming Persoonsgegevens: https://cbpweb.nl

Dat lijkt me dan weer een beetje een overtrokken reactie. We zijn er wel redelijk van overtuigd dat er geen kwaad in de zin was.

zaterdag 21 maart 2015 14:53

Acties:

0 Henk 'm!

Antique

twilightschild schreef op zaterdag 21 maart 2015 @ 14:38:
[...]

Dat lijkt me dan weer een beetje een overtrokken reactie. We zijn er wel redelijk van overtuigd dat er geen kwaad in de zin was.

Maakt dat de klacht minder geldig? Laatste keer dat ik het nakeek zijn dit soort vormen van nalatigheid en het ontbreken van goede procedures ook ernstige privacykwesties. Als het gaat om medische data hebben organisaties gewoon een verantwoordelijkheid om daar goed mee om te gaan.

zaterdag 21 maart 2015 15:40

Acties:

0 Henk 'm!

co2301

Tja, 9 van de 10 klanten waarbij ik aan geef om met hun account even te moeten inloggen, geven ze liever het wachtwoord af dan dat ik het reset voor ze. Denk voornamelijk omdat ze geen zin hebben om weer een wachtwoord te verzinnen (enforced password history zal hier ook een grote rol in spelen).

Vaak willen gebruikers ook de tijd niet vrij maken om diverse keren opnieuw in te loggen, aangezien ik niet ga wachten tot zij tijd hebben, stel ik bovenstaande altijd voor.

Maar door drammen dat een gebruiker het wachtwoord moet afgeven is echt not done.

[ Voor 8% gewijzigd door co2301 op 21-03-2015 15:41 ]

zaterdag 21 maart 2015 15:41

Acties:

0 Henk 'm!

President

Je vriendin heeft prima gehandeld, moet ook niet raar zijn om te weigeren.

Privacy is nou eenmaal een belangrijk goed. Mocht de ICT'er van je vriendin werkelijk de telefoon goed zelf willen instellen (wat ik ook begrijp, genoeg digibeten) dan had hij dit echt wel op andere manieren kunnen regelen

[ Voor 57% gewijzigd door President op 21-03-2015 19:03 . Reden: privacy, niet terug vinden ]

zaterdag 21 maart 2015 15:43

Acties:

0 Henk 'm!

President

co2301 schreef op zaterdag 21 maart 2015 @ 15:40:
Tja, 9 van de 10 klanten waarbij ik aan geef om met hun account even te moeten inloggen, geven ze liever het wachtwoord af dan dat ik het reset voor ze. Denk voornamelijk omdat ze geen zin hebben om weer een wachtwoord te verzinnen (enforced password history zal hier ook een grote rol in spelen).

Vaak willen gebruikers ook de tijd niet vrij maken om diverse keren opnieuw in te loggen, aangezien ik niet ga wachten tot zij tijd hebben, stel ik bovenstaande altijd voor.

Maar door drammen dat een gebruiker het wachtwoord moet afgeven is echt not done.

Toch snap ik deze gebruikers ook niet, je geeft toch ook niet zomaar even je huissleutel af als er iemand een reparatie moet verrichten in je huis? Dan blijf je toch zelf thuis terwijl hij/zij de reparatie verricht?

Een 'reset' en eenvoudige manier om weer zelf een wachtwoord in te stellen lijkt mij 'als klant' slimmer.

Ook als ICT'er lijkt het mij niet handig om naar wachtwoorden te gaan vragen. Mocht er iets gebeuren dan word jij er straks op aangekeken...

zaterdag 21 maart 2015 15:48

Acties:

0 Henk 'm!

co2301

tweakerdennis schreef op zaterdag 21 maart 2015 @ 15:43:
[...]

Toch snap ik deze gebruikers ook niet, je geeft toch ook niet zomaar even je huissleutel af als er iemand een reparatie moet verrichten in je huis? Dan blijf je toch zelf thuis terwijl hij/zij de reparatie verricht?

Een 'reset' en eenvoudige manier om weer zelf een wachtwoord in te stellen lijkt mij 'als klant' slimmer.

Ook als ICT'er lijkt het mij niet handig om naar wachtwoorden te gaan vragen. Mocht er iets gebeuren dan word jij er straks op aangekeken...

Vind ik een beetje appels en peren. De meeste gebruikers zullen (inmiddels) slim genoeg zijn om verschillende wachtwoorden te gebruiken (dus een ander voor werk). En wat heeft een gebruiker te verbergen? Ze weten dat ze geen prive documenten op de PC moeten gooien, waar ze aan werken (documenten etc) zijn eigendom van het bedrijf.

Vragen doe ik ook zeker niet, ik stel de reset voor. Wat zou er moeten gebeuren waarop ik aangekeken word? Ik ben degene die alles beheerd, verpest ik iets, kan ik het zelf weer terug zetten. En door middel van goede logging zal ik altijd mijn onschuld kunnen bewijzen (klinkt meteen alsof ik dat dagelijks moet doen, het is gelukkig nog nooit voorgekomen).

zaterdag 21 maart 2015 15:54

Acties:

0 Henk 'm!

Teckna

Mooi om te zien dat je vriendin in ieder geval niet meegaat in social engineering, of het nu wel of niet gebruikelijk is, eigenlijk zouden alle gebruikers zo moeten zijn.

zaterdag 21 maart 2015 16:03

Acties:

0 Henk 'm!

GSOD

Normaalste zaak tegenwoordig. Het zal je verbazen welke instanties dat allemaal weggeven, want ik kan het namelijk weten. Als een persoon toch de voorkeur heeft om het zelf in te typen dan laat je dat gewoon toe. Belemmerd totaal niet het goed instellen ervan is misschien een paar sec vertraging.

zaterdag 21 maart 2015 16:07

Acties:

0 Henk 'm!

co2301

Als IT-er kan je sowieso doen en laten wat je wilt, een wachtwoord stelt ook niks voor eigenlijk. Integriteit is daarom één van de belangrijkste eigenschappen als IT-er.

Maar alsnog blijft het verre van netjes zoals er dwingend gevraagd wordt om het wachtwoord op te schrijven.

zaterdag 21 maart 2015 16:09

Acties:

0 Henk 'm!

Koos Werkloos

co2301 schreef op zaterdag 21 maart 2015 @ 15:48:
[...]

Vind ik een beetje appels en peren. De meeste gebruikers zullen (inmiddels) slim genoeg zijn om verschillende wachtwoorden te gebruiken (dus een ander voor werk). En wat heeft een gebruiker te verbergen? Ze weten dat ze geen prive documenten op de PC moeten gooien, waar ze aan werken (documenten etc) zijn eigendom van het bedrijf.

Ingevulde beoordelingsformulieren, mailwisseling met HR over salariskwesties e.d., mails met collega's die niet iedereen hoeft te lezen etc. etc. etc. Zakelijk of niet, ik wil gewoon niet dat iemand in mijn mail en bestanden gaat zitten koekeloeren en al helemaal niet als dat niet te traceren is omdat hij/zij dat doet onder mijn naam.

En door middel van goede logging zal ik altijd mijn onschuld kunnen bewijzen (klinkt meteen alsof ik dat dagelijks moet doen, het is gelukkig nog nooit voorgekomen).

Het probleem is dus dat als jij onder mijn account iets doet, dat ik daar op aangekeken word. Doet een systeembeheerder onder mijn naam iets illegaals of zo, dan heb ik dus wat uit te leggen: ik moet dan aannemelijk maken dat het iemand anders was en dat dat kon komen omdat ik tegen de regels in mijn wachtwoord had afgegeven.

Vragen om een wachtwoord vind ik gewoon niet professioneel. Het hele idee van een wachtwoord is nou juist dat alleen de gebruiker die kent. Met een admin-account moet een beheerder in principe overal bij kunnen komen. En als die beheerder echt onder mijn account moet inloggen, dan typ ik het wachtwoord wel in en blijf ik er wel bij staan verder. Ik kan immers toch niet aan het werk en zo kan ik ook nog vragen beantwoorden van de systeembeheerder. En weet ik zeker dat hij geen dingen op mijn laptop doet die hij niet zou moeten doen.

zaterdag 21 maart 2015 16:16

Acties:

0 Henk 'm!

co2301

Koos Werkloos schreef op zaterdag 21 maart 2015 @ 16:09:
[...]

Ingevulde beoordelingsformulieren, mailwisseling met HR over salariskwesties e.d., mails met collega's die niet iedereen hoeft te lezen etc. etc. etc. Zakelijk of niet, ik wil gewoon niet dat iemand in mijn mail en bestanden gaat zitten koekeloeren en al helemaal niet als dat niet te traceren is omdat hij/zij dat doet onder mijn naam.

[...]

Het probleem is dus dat als jij onder mijn account iets doet, dat ik daar op aangekeken word. Doet een systeembeheerder onder mijn naam iets illegaals of zo, dan heb ik dus wat uit te leggen: ik moet dan aannemelijk maken dat het iemand anders was en dat dat kon komen omdat ik tegen de regels in mijn wachtwoord had afgegeven.

Vragen om een wachtwoord vind ik gewoon niet professioneel. Het hele idee van een wachtwoord is nou juist dat alleen de gebruiker die kent. Met een admin-account moet een beheerder in principe overal bij kunnen komen. En als die beheerder echt onder mijn account moet inloggen, dan typ ik het wachtwoord wel in en blijf ik er wel bij staan verder. Ik kan immers toch niet aan het werk en zo kan ik ook nog vragen beantwoorden van de systeembeheerder. En weet ik zeker dat hij geen dingen op mijn laptop doet die hij niet zou moeten doen.

Als een beheerder kwaad in de zin heeft, hoeft 'ie jouw wachtwoord helemaal niet te hebben. Formulieren en documenten trek je bijvoorbeeld zo uit een backup. En hiermee zeg ik niet dat dat de juiste gang van zaken is, of dat het gebeurt, maar probeer aan te geven dat het allemaal veel eenvoudiger is dan jij momenteel denkt.

Het vragen is ook zeker niet professioneel, maar (helaas) is het allemaal vele malen makkelijker dan gedacht wordt. Zoals ik al meerdere keren gezegd heb, het is totaal niet professioneel en absoluut niet op z'n plaats om zo dwingend te doen over een wachtwoord. Je moet simpelweg vertrouwen hebben, want een IT-er kan zo verschikkelijk veel 'achter de schermen'.

[ Voor 6% gewijzigd door co2301 op 21-03-2015 16:19 ]

zaterdag 21 maart 2015 16:26

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Wachtwoorden geven zou nergens voor nodig moeten zijn.

Trouwens zijn er doorgaans genoeg probleempunten bij informatiebeveiliging in de zorg ook zonder 'wachtwoordproblematiek'.

co2301 schreef op zaterdag 21 maart 2015 @ 16:16:
...
Als een beheerder kwaad in de zin heeft, hoeft 'ie jouw wachtwoord helemaal niet te hebben. Formulieren en documenten trek je bijvoorbeeld zo uit een backup. En hiermee zeg ik niet dat dat de juiste gang van zaken is, of dat het gebeurt, maar probeer aan te geven dat het allemaal veel eenvoudiger is dan jij momenteel denkt.
...

Als het om gevoelige documenten gaat zouden die natuurlijk binnen en buiten een backup versleuteld moeten zijn, waarbij de sleutel alleen rust bij degene(n) die hem ook moeten hebben.

[ Voor 12% gewijzigd door begintmeta op 21-03-2015 16:28 ]

zaterdag 21 maart 2015 16:28

Acties:

0 Henk 'm!

twilightschild

Topicstarter

co2301 schreef op zaterdag 21 maart 2015 @ 16:16:
[...]

Als een beheerder kwaad in de zin heeft, hoeft 'ie jouw wachtwoord helemaal niet te hebben. Formulieren en documenten trek je zo uit een backup. En hiermee zeg ik niet dat dat de juiste gang van zaken is, of dat het gebeurt, maar probeer aan te geven dat het allemaal veel eenvoudiger is dan jij momenteel denkt.

Het vragen is ook zeker niet professioneel, maar (helaas) is het allemaal vele malen makkelijker dan gedacht wordt.

Maar dan heb je het wel over data die ergens lokaal staat. Het is als je het heel puristisch gaat bekijken al jammer dat je daar bijkan, maar dat is lastig te voorkomen denk ik.

Het hebben van iemands wachtwoord is nog wel een laag daar bovenop; je kunt je voordoen als de ander. Dit geeft je ook toegang tot alle externe bronnen waar diegene toegang tot heeft. Bijvoorbeeld het beheer van rekeningen, of (als het al was ingevoerd) het inzien van een EPD. Dat zijn dingen die je nu niet kunt.

Ik ben in grote lijnen eens met wat je zegt. Integriteit is belangrijk. En het misbruiken van de mogelijkheden die je als systeembeheerder hebt is ook al gewoon strafbaar natuurlijk.

zaterdag 21 maart 2015 16:29

Acties:

0 Henk 'm!

ninjazx9r98

Het is schrikbarend hoeveel mensen (mag hopen dat het niet of nauwelijks beheerders zijn) het normaal vinden om een gebruiker naar zijn/haar wachtwoord te vragen. Kan er niet veel anders van maken dat beheerders die dat doen een schande voor het vak zijn.
De eerste de beste die dat aan mij zou vragen op het werk heeft meteen een security incident te pakken, kan een en ander uitleggen aan een security officer en staat vermoedelijk per direct op straat.

Met grote regelmaat worden al die domme gebruikers vervloekt op de frontpage als er weer eens ergens iets aan de hand is (cryptovirus?) maar uit luiheid een gebruiker om zijn/haar wachtwoord vragen omdat je de boel simpelweg niet goed voor elkaar hebt is dan ineens weer doodnormaal.
Het kwam al een paar keer voorbij maar gebruikers op deze manier opvoeden door ze te leren dat het normaal is dat een beheerder (of een willekeurige persoon aan de telefoon die zich daarvoor uitgeeft) om een wachtwoord vraagt is de deur wagenwijd openzetten voor allerlei vormen van social engineering waarna je uiteraard weer met z'n allen kunt schelden op die o zo domme gebruiker.

zaterdag 21 maart 2015 16:39

Acties:

0 Henk 'm!

co2301

begintmeta schreef op zaterdag 21 maart 2015 @ 16:26:
Wachtwoorden geven zou nergens voor nodig moeten zijn.

Trouwens zijn er doorgaans genoeg probleempunten bij informatiebeveiliging in de zorg ook zonder 'wachtwoordproblematiek'.

[...]

Als het om gevoelige documenten gaat zouden die natuurlijk binnen en buiten een backup versleuteld moeten zijn, waarbij de sleutel alleen rust bij degene(n) die hem ook moeten hebben.

Dat zal (is) bij de meeste bedrijven (althans het MKB) niet van toepassing, dat kan ik je uit ervaring vertellen.

twilightschild schreef op zaterdag 21 maart 2015 @ 16:28:
[...]

Maar dan heb je het wel over data die ergens lokaal staat. Het is als je het heel puristisch gaat bekijken al jammer dat je daar bijkan, maar dat is lastig te voorkomen denk ik.

Het hebben van iemands wachtwoord is nog wel een laag daar bovenop; je kunt je voordoen als de ander. Dit geeft je ook toegang tot alle externe bronnen waar diegene toegang tot heeft. Bijvoorbeeld het beheer van rekeningen, of (als het al was ingevoerd) het inzien van een EPD. Dat zijn dingen die je nu niet kunt.

Ik ben in grote lijnen eens met wat je zegt. Integriteit is belangrijk. En het misbruiken van de mogelijkheden die je als systeembeheerder hebt is ook al gewoon strafbaar natuurlijk.

Dat is op bovenstaande opmerking van Begintmeta na niet te voorkomen. Dan valt het resetten van wachtwoorden daar toch ook onder, dan heb je ook alle mogelijkheden om uit te vreten wat je wilt.

Strafbaar is het sowieso, maar het gaat nu meer om de ethiek als ik alle reacties zo lees.

ninjazx9r98 schreef op zaterdag 21 maart 2015 @ 16:29:
[verhaal]

Dat vind ik nogal flink overtrokken, je hebt het over Security Officers, dus neem aan dat je bij een flinke multinational werkt. Bij de meeste MKB zal deze situatie de normaalste gang van zaken zijn.

zaterdag 21 maart 2015 16:48

Acties:

0 Henk 'm!

ninjazx9r98

co2301 schreef op zaterdag 21 maart 2015 @ 16:39:
[...]

Dat vind ik nogal flink overtrokken, je hebt het over Security Officers, dus neem aan dat je bij een flinke multinational werkt. Bij de meeste MKB zal deze situatie de normaalste gang van zaken zijn.

Waar je werkt doet er niet toe en zou er niet toe moeten doen, een beheerder hoort dit gewoon niet te vragen aangezien het nergens voor nodig is en er zat andere manieren zijn om je werk op een goede manier uit te voeren.
En inderdaad werk ik bij een groot bedrijf en zijn er security officers maar ook bij het MKB zou wat mij betreft een beheerder die om wachtwoorden vraagt per direct een schop onder z'n kont mogen krijgen en daar is niets overtrokken aan.
Groot of klein doet er niet, het is nooit maar dan ook nooit de normaalste gang van zaken (beter gezegd zou het niet moeten/mogen zijn)

zaterdag 21 maart 2015 16:52

Acties:

0 Henk 'm!

TweakMDS

co2301 schreef op zaterdag 21 maart 2015 @ 16:39:
[...]

Dat vind ik nogal flink overtrokken, je hebt het over Security Officers, dus neem aan dat je bij een flinke multinational werkt. Bij de meeste MKB zal deze situatie de normaalste gang van zaken zijn.

Valt wel mee, bij een ziekenhuis denk ik dat je wel een SO moet hebben. Wij hebben er als software bedrijf met 40 man ook eentje. Ligt er vooral aan met wat voor gegevens dat je werkt. Wij werken met vrij veel gevoelige data (telecom / persoonsgegevens) en in de zorg denk ik dat dit ook wel zo zal zijn. Misschien geen fulltime functie, maar zeker een rol die ergens in de organisatie belegd moet zijn. Volgens mij is dat hoe dan ook een vereiste van een ISO 9001 / 27001 certificering.

@OP: misschien verstandig dat je vriendin eens nagaat of de IT organisatie ISO 27001 gecertificeerd is (claimt te zijn). In dat geval ben je organisatorisch min of meer verplicht om van dit soort zaken een melding te maken, tenzij dit proces letterlijk zo is vastgelegd, maar dat lijkt me stug.

zaterdag 21 maart 2015 17:29

Acties:

0 Henk 'm!

twilightschild

Topicstarter

co2301 schreef op zaterdag 21 maart 2015 @ 16:39:
[...]

Dat is op bovenstaande opmerking van Begintmeta na niet te voorkomen. Dan valt het resetten van wachtwoorden daar toch ook onder, dan heb je ook alle mogelijkheden om uit te vreten wat je wilt.

Strafbaar is het sowieso, maar het gaat nu meer om de ethiek als ik alle reacties zo lees.

Als je het lokale wachtwoord reset geeft dat jou geen toegang tot die externe bronnen waar hetzelfde wachtwoord is gebruikt (toegegeven, dat kan je waarschijnlijk wel verkrijgen door daar dan weer een wachtwoordreset aan te vragen en dat uit de mail te vissen).

zaterdag 21 maart 2015 18:28

Acties:

0 Henk 'm!

PZOOO

Ik vraag ook naar wachtwoorden, maar alleen als laatste redmiddel, soms typen mensen ze namelijk verkeerd in of staat hun keyboard taal verkeerd. Ik laat het wachtwoord daarna door de user veranderen waardoor het weer een veilig wachtwoord is.

Uiteindelijk zou ik door mijn toegang overal in en bij kunnen. Maar dat doe ik niet. Net als het geld in een kassa interesseert het me niet.

Het valt me op dat mensen altijd de andere kant opkijken als je een wachtwoord in typt, alsof je al die toetsaanslagen kunt zien

ICT & Reizen

zaterdag 21 maart 2015 18:31

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

twilightschild schreef op zaterdag 21 maart 2015 @ 13:30:
[...]
Ik verwacht helaas van niet. Zij heeft haar wachtwoord uiteindelijk niet hoeven af te geven en daarmee is voor haar de kous af. Misschien dat de twee vervelende gesprekken die ze heeft gehad wel iemand daar aan het denken zet over de gang van zaken, maar ik verwacht eerlijk gezegd ook van niet.
Het punt is dat zij helemaal geen affiniteit met de IT heeft en als het op prioriteren aankomt dat zet ze liever in op problemen die ze ziet in de patientenzorg.

Misschien is het wel een verstandig idee dit verhaal door te geven aan de OR, voor zover ze die heeft natuurlijk. Als je een beetje een verstandige OR hebt, dan stelt die dit aan de orde bij de bestuurder. Wachtwoorden afgeven is natuurlijk absurd in een medische omgeving.

... en gaat over tot de orde van de dag

zaterdag 21 maart 2015 18:34

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Blue-eagle schreef op zaterdag 21 maart 2015 @ 12:28:
Waar ik heen wil: Dit soort IT-mensen zijn de kern van het probleem. Deze mensen zijn de zwakste schakels in het systeem. Er gaan mensen dood omdat medische gegevens niet landelijk snel kunnen worden uitgewisseld omdat er privacy bezwaren zijn.

Ben ik niet met je eens. Je kunt beter de vraag stellen WAAROM mensen hun pincode opschrijven. Misschien is het beter om als IT'ers de oorzaak bij onszelf te zoeken. Waarom hebben we zo'n achterlijk systeem van authenticatie dat er pincodes nodig zijn? Hadden wij (wij, als in: IT industrie) niet een betere manier moeten bedenken? Een manier die geen pincodes vereist?

IT is er om mensen te ondersteunen, maar in veel gevallen hebben mensen er meer last dan gemak van.

... en gaat over tot de orde van de dag

zaterdag 21 maart 2015 18:45

Acties:

0 Henk 'm!

twilightschild

Topicstarter

P_Tingen schreef op zaterdag 21 maart 2015 @ 18:31:
[...]

Misschien is het wel een verstandig idee dit verhaal door te geven aan de OR, voor zover ze die heeft natuurlijk. Als je een beetje een verstandige OR hebt, dan stelt die dit aan de orde bij de bestuurder. Wachtwoorden afgeven is natuurlijk absurd in een medische omgeving.

Dat zou wellicht handig zijn, maar ik weet helaas vrij zeker dat deze kwestie zeer laag op haar prioriteitenlijst staat

zaterdag 21 maart 2015 20:50

Acties:

0 Henk 'm!

ninjazx9r98

PZOOO schreef op zaterdag 21 maart 2015 @ 18:28:
Ik vraag ook naar wachtwoorden, maar alleen als laatste redmiddel, soms typen mensen ze namelijk verkeerd in of staat hun keyboard taal verkeerd. Ik laat het wachtwoord daarna door de user veranderen waardoor het weer een veilig wachtwoord is.

Al typen ze duizendmaal een verkeerd wachtwoord, jij hebt dat wachtwoord toch helemaal niet nodig om ze te helpen?
Laat de gebruiker zijn/haar wachtwoord typen op de plek van de gebruikersnaam en ze kunnen zelf controleren of het overeen komt met wat ze denken. Verkeerde keyboard taal heb je hiermee direct getackeld.
Vervolgens reset je het wachtwoord naar "Geheim123" of een ander simpel iets wat voldoet aan het wachtwoorden beleid als het nog steeds niet wil en stelt het zo in dat het wachtwoord bij de eerste login gewijzigd moet worden.
Daar waar jij het hebt over een laatste redmiddel wat heel dramatisch en bofh klinkt laat ik je zien dat het dat helemaal niet is en dat het simpel op te lossen is zonder ook maar één keer naar een wachtwoord te vragen.
Als beheerder heb je voldoende tools en mogelijhkheden tot je beschikking om nooit naar een password te hoeven vragen.

[ Voor 5% gewijzigd door ninjazx9r98 op 21-03-2015 20:52 ]

zaterdag 21 maart 2015 21:10

Acties:

0 Henk 'm!

rc5proxy

nicxz schreef op zaterdag 21 maart 2015 @ 11:51:
Vergelijkbare situatie hier: vrouw arts, zelf werkzaam in de IT. En ik vind dat jullie groot gelijk hebben. Het is mijn vrouw ook overkomen, die heeft toen maar meegewerkt omdat ze anders de werktelefoon niet mee zou krijgen. Het lijkt wel of IT binnen de zorg een jaar of 20 achterloopt op de rest van de wereld, denk ik af en toe als ik de verhalen hoor van mijn vrouw.

Eigenlijk geven dit soort ervaringen aan dat de zorgsector nog niet volwassen genoeg is op IT gebied (en dan vooral op het bewustzijn op gebied van veiligheid, identiteitsgebruik, machtigingen, etc) voor EPD achtige constructies.

Ik snap het helemaal niet wij hebben voor dit soort installatie's gewoon "blondie" proef handleidingen gemaakt elke gebruiker krijgt handleiding en mag zelf alles uitvoeren.

niet uit luiheid gebeurt dit maar onze ervaring is als een gebruiker het zelf instelt dat hij/zij ook minder vaak problemen heeft.

komen ze er niet uit ondersteunen we ze dus wel.

zaterdag 21 maart 2015 21:28

Acties:

0 Henk 'm!

Onbekend

...

Vaak zijn problemen gebruiker specifiek. Inloggen onder een ander account werkt vaak wel, maar niet met bepaalde instellingen van die gebruiker.
En wanneer probeer je die problemen op te lossen? Juist, als die gebruiker naar huis is zodat je op je gemak de oorzaak van dat probleem kunt uitzoeken en hiervoor heb je dus het wachtwoord van de betreffende gebruiker nodig.
Wij hebben als systeembeheer daarom ook van bijna alle gebruikers de wachtwoorden genoteerd. We kunnen toch overal bij elk bestand komen, en het resetten van een wachtwoord duurt gewoon wat langer dan direct een bekend wachtwoord intikken. Natuurlijk is het een vertrouwensrelatie, en in de jaren dat ik er werk heeft niemand er een probleem van gemaakt.
Als ze per sé iets willen verbergen, maken ze maar een rar-file aan met een wachtwoord er op.

Nu is in het voorbeeld van de TS wel vreemd dat gebruiker zelf niet het wachtwoord voor Exchange in mocht typen. Dit moet een gebruiker zelf kunnen doen en het zou de beheerder waarschijnlijk ook zelfs tijd kunnen schelen als gebruikers zelf dat mogen doen.

Edit:
Ter aanvulling: Wij (mijn collega's) werken niet met gezondheidsgegevens maar zeer veel informatie die wij hebben mogen niet in andere handen vallen.

[ Voor 6% gewijzigd door Onbekend op 21-03-2015 21:57 ]

Speel ook Balls Connect en Repeat

zaterdag 21 maart 2015 21:51

Acties:

0 Henk 'm!

dr.dunno

Zelf ben ik zowel arts als jurist met gezondheidsrechtelijke specialisatie en ik kan bevestigen dat IT'ers geen beroepsgeheim kennen, althans geen geheimhoudingsplicht die anders dan civielrechtelijk ligt. Doorgaans heb je dezelfde loginnaam en wachtwoord voor je email en het EPD en inzage in medische gegevens is dus bij een ieder die beschikt over deze gegevens. Artsen is verboden deze gegevens aan derden te verstrekken, zelfs al is het ziekenhuisbeleid andersluidend, dit is een zelfstandige plicht die men heeft uit hoofde van de BIG/WGBO/etc. en is zelfs niet op instructie van de medisch direct leidinggevende (bv de superviserende specialist boven een assistent) af te dwingen.

Dus ja, de IT'er mag er feitelijk wel naar vragen, maar is erg naïef en in mijn ogen ook onbehoorlijk en onprofessioneel als hij dat toch doet, laat staan aandringt. Bovendien snap ik het probleem niet van zelf een wachtwoord intikken. Tot slot moet je je afvragen of je op een moderne smartphone überhaupt wel een loginnaam en wachtwoord wilt opslaan incl. kopie in cloud omgevingen, die naar aan zekerheid grenzende waarschijnlijkheid toch ten grabbel ligt bij allerlei derden inclusief inlichtingenpartijen, maar dit vindt de praktijk tot op heden kennelijk nog geen issue.

zaterdag 21 maart 2015 23:22

Acties:

0 Henk 'm!

Ardana

Moderator General Chat

Mens

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Zo, iig even voorkomen dat Google kan indexeren

Steun het recht op abortus, teken de petitie! My Voice, My Choice!

zondag 22 maart 2015 08:00

Acties:

0 Henk 'm!

ninjazx9r98

Onbekend schreef op zaterdag 21 maart 2015 @ 21:28:
En wanneer probeer je die problemen op te lossen? Juist, als die gebruiker naar huis is zodat je op je gemak de oorzaak van dat probleem kunt uitzoeken en hiervoor heb je dus het wachtwoord van de betreffende gebruiker nodig.
Wij hebben als systeembeheer daarom ook van bijna alle gebruikers de wachtwoorden genoteerd. We kunnen toch overal bij elk bestand komen, en het resetten van een wachtwoord duurt gewoon wat langer dan direct een bekend wachtwoord intikken. Natuurlijk is het een vertrouwensrelatie, en in de jaren dat ik er werk heeft niemand er een probleem van gemaakt.

Dat is dan wel weer 'grappig', je gaat op je gemak een probleem proberen op te lossen maar het resetten van een wachtwoord wat qua tijdsbesteding helemaal niks voorstelt duurt dan ineens (te) lang.
Daarnaast vraag ik me af hoe (on)veilig je de wachtwoorden van alle users hebt opgeslagen als ze zoveel sneller op te zoeken en in te tikken zijn in vergelijking met een wachtwoord reset.
Dat kan haast geen keepass achtig iets zijn en de wachtwoorden moeten ook simpel genoeg zijn om snel over te kunnen tikken.
Dat er nooit iemand een probleem van heeft gemaakt kan ik me op zich best voorstellen, het zijn gebruikers van een stuk gereedschap maar wat mij betreft moet je dit gewoon niet willen als beheerder en is het ook een stukje opvoeding van de gebruiker dat hij/zij weet dat een wachtwoord persoonlijk is en moet blijven.

Overigens vraag ik me af of je je als beheerder niet op heel erg glad ijs begeeft en zelfs strafbaar bent omdat je computervredebreuk pleegt als je de inloggegevens van een ander gebruikt.
http://www.wetboek-online.nl/wet/Sr/138a.html

Artikel 138a
1 Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a door het doorbreken van een beveiliging,
b door een technische ingreep,
c met behulp van valse signalen of een valse sleutel, of
d door het aannemen van een valse hoedanigheid.

zondag 22 maart 2015 08:12

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

Onbekend schreef op zaterdag 21 maart 2015 @ 21:28:
Vaak zijn problemen gebruiker specifiek. Inloggen onder een ander account werkt vaak wel, maar niet met bepaalde instellingen van die gebruiker.
En wanneer probeer je die problemen op te lossen? Juist, als die gebruiker naar huis is zodat je op je gemak de oorzaak van dat probleem kunt uitzoeken en hiervoor heb je dus het wachtwoord van de betreffende gebruiker nodig.
Wij hebben als systeembeheer daarom ook van bijna alle gebruikers de wachtwoorden genoteerd. We kunnen toch overal bij elk bestand komen, en het resetten van een wachtwoord duurt gewoon wat langer dan direct een bekend wachtwoord intikken. Natuurlijk is het een vertrouwensrelatie, en in de jaren dat ik er werk heeft niemand er een probleem van gemaakt.
Als ze per sé iets willen verbergen, maken ze maar een rar-file aan met een wachtwoord er op.

Nu is in het voorbeeld van de TS wel vreemd dat gebruiker zelf niet het wachtwoord voor Exchange in mocht typen. Dit moet een gebruiker zelf kunnen doen en het zou de beheerder waarschijnlijk ook zelfs tijd kunnen schelen als gebruikers zelf dat mogen doen.

Edit:
Ter aanvulling: Wij (mijn collega's) werken niet met gezondheidsgegevens maar zeer veel informatie die wij hebben mogen niet in andere handen vallen.

Hier sta ik dus echt versteld van. Als it afdeling de wachtwoorden opschrijven van je gebruikers?

Nou je security audits zijn in ieder geval geen klap waard nu. Een situatie als deze moet je mijn inziens echt nooit willen. Je zegt het zelf, de toegang heb je toch al dmv admin rechten. Waarom in godsnaam het wachtwoord van gebruikers vragen en zelfs opslaan.

Aanvulling, als ze iets geheim willen houden slaan ze het maar op in een verlseutelde rar file? Als jij zonder toestemming in een gebruikers mailbox of homedir loopt rond te snuffelen ben je niet alleen heel stom bezig, volgens mij is het ook nog eens strafbaar.

[ Voor 7% gewijzigd door @r!k op 22-03-2015 08:17 ]

Een hele rij microsoft certificeringen.

zondag 22 maart 2015 08:37

Acties:

0 Henk 'm!

jongetje

Ik ben van mening dat een systeem/applicatie-beheerder nooit om een wachtwoord moet vragen. Alleen maar om ervoor te zorgen om de schijn niet tegen zich te krijgen. Wie zegt niet dat de gebruiker dingen doet die niet door de beugel kunnen, er data op straat komen te liggen die eigenlijk alleen toegankelijk waren via dat account? Hoe ga jij als beheerder dan bewijzen dat jij het account niet hebt misbruikt?

In mijn ogen moet je er altijd voor zorgen dat je zelfs de schijn al nooit tegen je hebt. Ik ben daarom, ook voor mijn eigen bescherming, dat ik de rechten heb die ik nodig heb om mijn werk te doen. Ik kijk via Lync gewoon mee met een eindgebruiker of loop even langs. En als de gebruiker zelfs zijn wachtwoord wil geven dan accepteer ik dat niet, om mezelf (en de gebruiker) te beschermen.

zondag 22 maart 2015 09:51

Acties:

0 Henk 'm!

Onbekend

...

ninjazx9r98 schreef op zondag 22 maart 2015 @ 08:00:
[...]

Dat is dan wel weer 'grappig', je gaat op je gemak een probleem proberen op te lossen maar het resetten van een wachtwoord wat qua tijdsbesteding helemaal niks voorstelt duurt dan ineens (te) lang.

Het is niet alleen het knopje "reset password" indrukken, maar ook de vervolgstappen eromheen. Overal moet dat nieuwe wachtwoord ingevoerd worden, en bij een wachtwoord reset kan die persoon 's avonds niet meer inloggen. Daarnaast moet je het nieuwe wachtwoord toch op 1 of andere manier bij aan de gebruiker doorgeven, en dat zou dan alleen kunnen d.m.v. zo'n post-it-velletje op de monitor.....

Daarnaast vraag ik me af hoe (on)veilig je de wachtwoorden van alle users hebt opgeslagen als ze zoveel sneller op te zoeken en in te tikken zijn in vergelijking met een wachtwoord reset.
Dat kan haast geen keepass achtig iets zijn en de wachtwoorden moeten ook simpel genoeg zijn om snel over te kunnen tikken.

Sommige wachtwoorden zijn inderdaad lastig om over te tikken en kost ons soms ook een aantal pogingen. En de lijst met wachtwoorden (het zijn opgedeelde lijsten trouwens) zit netjes in een rar-file met een voldoende sterk wachtwoord. De rechten op deze mappen zijn ook sterk gelimiteerd.

Dat er nooit iemand een probleem van heeft gemaakt kan ik me op zich best voorstellen, het zijn gebruikers van een stuk gereedschap maar wat mij betreft moet je dit gewoon niet willen als beheerder en is het ook een stukje opvoeding van de gebruiker dat hij/zij weet dat een wachtwoord persoonlijk is en moet blijven.

Het is ook niet de bedoeling dat mensen onderling wachtwoorden met elkaar uitwisselen.

Overigens vraag ik me af of je je als beheerder niet op heel erg glad ijs begeeft en zelfs strafbaar bent omdat je computervredebreuk pleegt als je de inloggegevens van een ander gebruikt.
http://www.wetboek-online.nl/wet/Sr/138a.html

Gebruikers komen zelf aan met een probleem en gaan akkoord dat wij dat probleem buiten hun werktijd oplossen. Wij zullen nooit e-mails verzenden uit de naam van de betreffende gebruiker, want dat is inderdaad jezelf voordoen als een ander. Maar wat wij doen is totaal niet tegen de wet in aangezien de gebruiker hier gewoon toestemming voor geeft.

Speel ook Balls Connect en Repeat

zondag 22 maart 2015 09:58

Acties:

0 Henk 'm!

Aikon

Ik vraag wel degelijks soms wachtwoorden van gebruikers als systeembeheerder, die heb ik nu eenmaal soms nodig om iets fatsoenlijk te kunnen testen. Echter daarna wijzig ik het wachtwoord altijd samen met de gebruiker om eventuele problemen te voorkomen voor ons beiden.

In het geval van toegang tot medische gegevens zoals TS zou ik als gebruiker geen wachtwoorden afgeven, of enkel kortdurend aan een hoofd IT als er zeer dringende redenen voor zijn. Het voorbeeld uit de TS is alles behalve dat. M.i. schendt je je beroepsgeheim als je je wachtwoord (zomaar) afgeeft als arts.

zondag 22 maart 2015 10:10

Acties:

0 Henk 'm!

OgWok

U.N.C.L.E.

Onbekend schreef op zondag 22 maart 2015 @ 09:51:
[...]......

Wij zullen nooit e-mails verzenden uit de naam van de betreffende gebruiker, want dat is inderdaad jezelf voordoen als een ander. Maar wat wij doen is totaal niet tegen de wet in aangezien de gebruiker hier gewoon toestemming voor geeft.

Dat jullie dat niet doen wil ik best geloven. Het gaat om de gevallen waar geen goed zicht op is of de beveiliging niet goed geregeld is. Het kan bv. gaan over gevallen waar bepaalde informatie veel geld kan opleveren/uitmaken of bv. "crime passionel". Dan komen niet altijd de beste karaktereigenschappen van mensen boven.

[offtopic] Overigens denk ik dat de manne bij de NSA geen moeite hebben jouw mail te lezen als er een "dringende reden" is. Staatsgesanctioneerd hacken.

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

zondag 22 maart 2015 10:17

Acties:

0 Henk 'm!

RemcoDelft

ninjazx9r98 schreef op zaterdag 21 maart 2015 @ 16:29:
Het is schrikbarend hoeveel mensen (mag hopen dat het niet of nauwelijks beheerders zijn) het normaal vinden om een gebruiker naar zijn/haar wachtwoord te vragen.

En schrikbarend veel mensen geven dit ook gewoon! Met name als het iemand "met macht" is die het vraagt. En degene die het vraagt staat met z'n oren te klapperen als 1 gebruiker per jaar het weigert...

Valt het weggeven van vertrouwelijke logins niet in dezelfde categorie als het schenden van het beroepsgeheim? En is dat niet gewoon strafbaar voor de overgrote meerderheid die hier blijkbaar aan meewerkt? Is het werkelijk te moeilijk om privacy serieus te nemen?
Of hangt dit samen met de enorme doofpotcultuur in de zorg, waarbij er zelden iemand gestraft wordt voor de tienduizenden ernstige (medische) fouten die ze jaarlijks maken?

[ Voor 31% gewijzigd door RemcoDelft op 22-03-2015 10:27 ]

zondag 22 maart 2015 10:20

Acties:

0 Henk 'm!

Wmm

@r!k schreef op zondag 22 maart 2015 @ 08:12:
[...]

Hier sta ik dus echt versteld van. Als it afdeling de wachtwoorden opschrijven van je gebruikers?

Nou je security audits zijn in ieder geval geen klap waard nu. Een situatie als deze moet je mijn inziens echt nooit willen. Je zegt het zelf, de toegang heb je toch al dmv admin rechten. Waarom in godsnaam het wachtwoord van gebruikers vragen en zelfs opslaan.

Aanvulling, als ze iets geheim willen houden slaan ze het maar op in een verlseutelde rar file? Als jij zonder toestemming in een gebruikers mailbox of homedir loopt rond te snuffelen ben je niet alleen heel stom bezig, volgens mij is het ook nog eens strafbaar.

Je bent niet de enige, ik vind dat ook bijzonder. Sinds wanneer is een beetje meer moeite doen (het resetten van het wachtwoord) belangrijker dan het schenden van iemands privacy en/of beroepsgeheim? Hoe zit het met stagiairs of tijdelijke werknemers op de IT afdeling? Die zullen ook toegang hebben (al dan niet illegaal) tot het bestand. De enige persoon die kennis hoort te hebben van een wachtwoord is de eigenaar. Als dat rar bestand op straat komt te liggen, hoe ga je dat dan uitleggen? Je kunt er niet vanuit gaan dat het wachtwoord van dat bestand nooit gekraakt wordt dus je moet door het hele bedrijf wachtwoorden resetten...

En inderdaad, ook in zakelijke email mag je niet zomaar rondsnuffelen als werkgever zijnde b.v., dat is schending van de privacy. Daar zijn al zaken over geweest (b.v. werknemer die ontslagen is nadat werkgever onbevoegd in de zakelijke email keek en daar dingen vond die werkgever niet aanstonden).

zondag 22 maart 2015 10:26

Acties:

0 Henk 'm!

matthijst

Blue-eagle schreef op zaterdag 21 maart 2015 @ 12:28:

Resultaat: Overal sticky-notes met pincodes erop geschreven. Passen met de pincodes erop geschreven.

Je kon dus de pas van een doctor makkelijk jatten en inloggen en iedereen zijn gegevens opvragen, ook als je zelf geen zorgverlener bent.

Waar ik heen wil: Dit soort IT-mensen zijn de kern van het probleem.

Kwestie van geduld?
Was het niet de IT-er die er een stickynote op plakte dan was het later wel de dokter lijkt me zo.
Het blijven mensen heh

[ Voor 20% gewijzigd door matthijst op 22-03-2015 10:28 ]

zondag 22 maart 2015 10:29

Acties:

0 Henk 'm!

HollowGamer

Heb niet alle posts gelezen, maar zie op het eerste gezicht al veel reacties met: belachelijk, juridisch.., geheimhouding, etc.

Ik snap het nut niet zo van dit topic. Waarom? Omdat het uiteindelijk allemaal is goed gekomen en wij toch niet kunnen kijken op de IT-afdeling daar.

Zelf ben ik ook voorstander van een wachtwoord reset, waarna de gebruiker vervolgens het wachtwoord weer aanpast.
Als je gebruikt maakt van AD is dit zelfs heel eenvoudig te doen (user must reset password on first login.. Of zoiets

).

Wat is dus nu het nut geweest van dit topic? Wat zijn de acties van TS?

zondag 22 maart 2015 10:38

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

In het verlengde van het vragen van wachtwoorden: hoe kijkt men aan tegen toegangslogs die door de beheerders kunnen worden gemodificeerd?

zondag 22 maart 2015 11:01

Acties:

0 Henk 'm!

OgWok

U.N.C.L.E.

begintmeta schreef op zondag 22 maart 2015 @ 10:38:
In het verlengde van het vragen van wachtwoorden: hoe kijkt men aan tegen toegangslogs die door de beheerders kunnen worden gemodificeerd?

Dat is helemaal niet best natuurlijk. Heb je daar een voorbeeld van?

[ Voor 5% gewijzigd door OgWok op 22-03-2015 11:02 ]

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

zondag 22 maart 2015 11:40

Acties:

0 Henk 'm!

HollowGamer

begintmeta schreef op zondag 22 maart 2015 @ 10:38:
In het verlengde van het vragen van wachtwoorden: hoe kijkt men aan tegen toegangslogs die door de beheerders kunnen worden gemodificeerd?

Mij lijkt me het beste om geen computer(s) meer te gebruiken.
De IT-beheerders zijn niet te vertrouwen of we moeten robots kunnen neerzetten.

Het beste lijkt me dat we terug gaan naar papier, dit kan moeilijker worden aangepast.

zondag 22 maart 2015 13:06

Acties:

0 Henk 'm!

Zoijar

Because he doesn't row...

Aikon schreef op zondag 22 maart 2015 @ 09:58:
Ik vraag wel degelijks soms wachtwoorden van gebruikers als systeembeheerder, die heb ik nu eenmaal soms nodig om iets fatsoenlijk te kunnen testen. Echter daarna wijzig ik het wachtwoord altijd samen met de gebruiker om eventuele problemen te voorkomen voor ons beiden.

Waarom heb je wachtwoorden nodig? Snap ik niet. De gouden regel die we mensen proberen in te prenten is 'geef nooit je wachtwoord af', en dan ga je als systeembeheer dat juist aanmoedigen? Dus volgende keer belt er iemand met een vaag verhaal dat Aikon ziek is maar remote even iets moet doen, en dan geven ze ook vrolijk hun wachtwoord?

zondag 22 maart 2015 13:10

Acties:

0 Henk 'm!

Koos Werkloos

Het hele idee van een wachtwoord is nou juist dat alleen de betreffende gebruiker die kent. Dan is het een beetje vreemd om die dan te delen met anderen.

zondag 22 maart 2015 14:17

Acties:

0 Henk 'm!

ninjazx9r98

Onbekend schreef op zondag 22 maart 2015 @ 09:51:
[...]

Het is niet alleen het knopje "reset password" indrukken, maar ook de vervolgstappen eromheen. Overal moet dat nieuwe wachtwoord ingevoerd worden, en bij een wachtwoord reset kan die persoon 's avonds niet meer inloggen. Daarnaast moet je het nieuwe wachtwoord toch op 1 of andere manier bij aan de gebruiker doorgeven, en dat zou dan alleen kunnen d.m.v. zo'n post-it-velletje op de monitor.....

Met andere woorden, jullie hebben geen SSO en ondanks dat men overal en nergens pogingen doet om gebruikers aan te leren om voor verschillende logins ook verschillende wachtwoorden te laten gebruiken kiezen jullie er gewoon voor om overal waar een wachtwoord nodig is voor dezelfde te kiezen?
Ook knap vervelend dat er geen telefoon, whatsapp, sms of wat dan ook beschikbaar is en een post-it-velletje de enige methode is om een wachtwoord over te dragen.

[...]

Het is ook niet de bedoeling dat mensen onderling wachtwoorden met elkaar uitwisselen.

En systeembeheerders zijn geen mensen?

Wat je doet is een soort van if-then structuur aanleren aan je gebruikers waarbij ze dus zelf de keuze moeten maken wanneer het wel of niet de bedoeling is om een wachtwoord uit te wisselen.

[...]

Gebruikers komen zelf aan met een probleem en gaan akkoord dat wij dat probleem buiten hun werktijd oplossen. Wij zullen nooit e-mails verzenden uit de naam van de betreffende gebruiker, want dat is inderdaad jezelf voordoen als een ander. Maar wat wij doen is totaal niet tegen de wet in aangezien de gebruiker hier gewoon toestemming voor geeft.

Gaan ze akkoord, weten ze niet beter of hebben ze geen keuze omdat het nu eenmaal zo werkt?
Is een en ander ook vastgelegd in een personeelshandboek of iets dergelijks dat alle gebruikers wachtwoorden bekend zijn bij systeembeheer?
Inloggen onder andermans naam is uiteraard net zo goed jezelf voordoen als een ander, daar hoef je geen mail voor te sturen.

zondag 22 maart 2015 14:52

Acties:

0 Henk 'm!

twilightschild

Topicstarter

HollowGamer schreef op zondag 22 maart 2015 @ 10:29:
Heb niet alle posts gelezen, maar zie op het eerste gezicht al veel reacties met: belachelijk, juridisch.., geheimhouding, etc.

Ik snap het nut niet zo van dit topic. Waarom? Omdat het uiteindelijk allemaal is goed gekomen en wij toch niet kunnen kijken op de IT-afdeling daar.

Zelf ben ik ook voorstander van een wachtwoord reset, waarna de gebruiker vervolgens het wachtwoord weer aanpast.
Als je gebruikt maakt van AD is dit zelfs heel eenvoudig te doen (user must reset password on first login.. Of zoiets ).

Wat is dus nu het nut geweest van dit topic? Wat zijn de acties van TS?

Het nut? Dat is wel een moeilijke, haast filosofische vraag die je daar stelt. Wanneer is iets precies nuttig?

Ik kan je vertellen met welk doel ik het topic geplaatst heb. Wellicht dat dat afdoende is?

Er heeft zich een situatie voorgedaan op het werk van mijn eega, die ik opmerkelijk vind. Mijn mening lijkt hierin loodrecht te staan op de mening van haar collega's en deIT-afdeling aldaar. In zo'n geval ben ik benieuwd naar de mening van anderen. Het feit dat er hier ook nog mensen zitten met ter zake doende kennis omtrent systeembeheer is dan ook nog van toegevoegde waarde. Ik kan mijn eigen mening dan weer afzetten tegen de mening van anderen en dat doet mij wellicht tot nieuwe inzichten komen. Of misschien sterkt het mijn originele mening wel.

Nogmaals, of het nut heeft of niet, daar durf ik niet over te oordelen. Dan moet je denk ik zelf inschatten. Ik heb in ieder geval mijn best gedaan om mijn beweegredenen voor het openen van dit topic duidelijk te maken. Ik hoop dat het jouw goedkeuring weg kan dragen. Zo niet, dan hoor ik het graag en zal ik trachten om die informatie mee te nemen in mijn verdere levensloop.

zondag 22 maart 2015 15:26

Acties:

0 Henk 'm!

26779

En inderdaad, ook in zakelijke email mag je niet zomaar rondsnuffelen als werkgever zijnde b.v., dat is schending van de privacy. Daar zijn al zaken over geweest (b.v. werknemer die ontslagen is nadat werkgever onbevoegd in de zakelijke email keek en daar dingen vond die werkgever niet aanstonden).

Dit ligt iets genuanceerder. Ok, het mag niet 'zomaar', maar er zijn echt redenen te vinden waarbij de werkgever wel degelijk in de mailbox van een werknemer mag kijken zonder zijn toestemming.

https://www.security.nl/p...ger+weigert+inzage+e-mail

zondag 22 maart 2015 15:44

Acties:

0 Henk 'm!

Anoniem: 39993

Wat een non discussie.. Ik vraag gebruikers ook weleens om hun wachtwoord. Hoeven ze niet te geven, maar dan stellen ze zelf hun telefoon maar in. Hoef ik het niet te doen en stoppen ze er hun eigen tijd maar in. Ze weten inmiddels toch wel dat ik hun wachtwoord niet nodig heb om ergens bij te kunnen. Daar hebben ze ook voor getekend en ik heb getekend voor geheimhouding.

zondag 22 maart 2015 16:14

Acties:

0 Henk 'm!

Koos Werkloos

Dat vind ik toch een raar argument dat hier steeds genoemd wordt om je wachtwoord af te geven, dat de systeembeheerder toch overal wel bij kan. Want als de systeembeheerder toch overal al bij kan, waarom dan nog om het wachtwoord vragen? Eerder dus een reden om je wachtwoord NIET af te geven. Bovendien, als de systeembeheerder vanuit zijn eigen account bij iets van een andere gebruiker komt, dan laat hij (normaalgesproken) een spoor achter dat naar hem wijst (log files, een wachtwoord dat gereset is, etc.). En als je een helpdeskmedewerker of zo je wachtwoord geeft, dan geef je hem/haar waarschijnlijk meer mogelijkheden dan hij/zij eerst had, want normaalgesproken kan zo iemand helemaal niet overal bij. Dus ook dan is het absoluut geen goed idee.

Ik vind dat je er gewoon consequent in moet zijn: je password is van jezelf en van niemand anders. Je neemt echt een risico (misbruik, social engineering, etc.) als je daar van af gaat wijken.

zondag 22 maart 2015 16:33

Acties:

0 Henk 'm!

RemcoDelft

Anoniem: 39993 schreef op zondag 22 maart 2015 @ 15:44:
Ze weten inmiddels toch wel dat ik hun wachtwoord niet nodig heb om ergens bij te kunnen. Daar hebben ze ook voor getekend en ik heb getekend voor geheimhouding.

Medisch gaat dat een stap verder: de arts heeft beroepsgeheim, de systeembeheerder mag patientendata helemaal niet eens te zien krijgen. Ook niet "met geheimhouding".

zondag 22 maart 2015 22:51

Acties:

0 Henk 'm!

Anoniem: 39993

RemcoDelft schreef op zondag 22 maart 2015 @ 16:33:
[...]

Medisch gaat dat een stap verder: de arts heeft beroepsgeheim, de systeembeheerder mag patientendata helemaal niet eens te zien krijgen. Ook niet "met geheimhouding".

Met mijn systeembeheerder pet kan ik natuurlijk ook niet bij alle data. Maarja... onze organisatie is niet zo groot, dus dan zet ik toch gewoon mijn applicatiebeheerder pet op. En anders heb ik nog wel een paar petten....

Als ik in een grotere organisatie zou werken, zou dat natuurlijk ook niet mogelijk zijn. Daar heb je meestal geen voorraadje verschillende petten op de plank liggen.

En dat je medische gegevens niet even zomaar opslaat in een mapje op je home-dir of ergens in een shared folder, dat is natuurlijk alleen maar een goede zaak. Maar aan de andere kant vraag ik me weleens af of we hierin niet een beetje tever doorslaan. In het geval van problemen met een systeem met patientendata zal er toch iemand "support" moeten gaan verlenen. Die ziet dan toch wat er op het scherm staat.

Wat ik me dan wel afvraag: Hoe belangrijk is een Windows-login nog, als de systeembeheerder (die dus gewoon een password kan resetten en kan inloggen, als hij kwaad in de zin zou hebben) niet bij zulke data mag kunnen komen? Ik neem aan dat er dan dus ook geen SSO plaatsvindt voor de applicaties die deze informatie bevatten. En als dat zo is, kun je dus met een Windows-login nog steeds niet bij deze data en zul je deze data dus ook niet in een e-mail op een Exchange server gaan vinden. Want daar kunnen natuurlijk weer teveel beheerders bij, al dan niet via een gereset password.

Maar om eerlijk te zijn: liever een gebruiker die mij zijn password niet wil geven, dan een gebruiker die het even ergens invult omdat hij een e-mail had ontvangen van "de e-mail helpdesk" waarin stond dat hij even zijn password ergens op een website in moest vullen.

maandag 23 maart 2015 07:48

Acties:

0 Henk 'm!

RemcoDelft

Anoniem: 39993 schreef op zondag 22 maart 2015 @ 22:51:
Maar aan de andere kant vraag ik me weleens af of we hierin niet een beetje tever doorslaan. In het geval van problemen met een systeem met patientendata zal er toch iemand "support" moeten gaan verlenen. Die ziet dan toch wat er op het scherm staat.

In dat geval kan je je ook afvragen of een papieren dossier niet beter is. De grote weerstand tegen een elektronisch patientendossier is juist dat privacy in het geding kan komen. En als jij als IT-er dan zegt: "we slaan te ver door" mis je het belang van privacy. Dat zou niet ondergeschikt moeten zijn aan de technische uitvoering van een systeem.

maandag 23 maart 2015 08:30

Acties:

0 Henk 'm!

MrSleeves

You'll thank me later.

Om ook maar even te reageren: ook IT'er en hoewel mijn vriendin het niet gevraagd wordt (heeft verder geem mobiele telefoon o.i.d. nodig) gebeurt het bij mij op het werk wel regelmatig.
De reden is eigenlijk meer om een telefoon voor iemand alvast op te zetten: om mail te ontvangen en dat account op de telefoon te zetten, heb je het wachtwoord nodig. Je mag het natuurlijk best zelf doen (handleiding staat op het intranet), maar de meeste gebruikers zijn lui en a-technisch (het is een ingenieursbureau

). Daarnaast wordt ook nog gevraagd om het Blackberry wachtwoord om contactpersonen e.d. over te zetten op de nieuwe telefoon.

Voorheen kwam het volgens mij ook nog voor met Lotus Notes wachtwoord en Windows wachtwoord voor het opzetten van een laptop.
Eigenlijk heb ik niet het idee dat er veel mensen over klagen (ben zelf ook nog OR-lid en hoor het aan die kant ook niet) al geef ik zelf eigenlijk nooit wachtwoorden af. Maar ik krijg dan ook alle benodigde hardware en zoek het zelf uit.

30Drie Web Design & IT Consultancy | Raven Consultancy Services

maandag 23 maart 2015 08:36

Acties:

0 Henk 'm!

Aikon

Zoijar schreef op zondag 22 maart 2015 @ 13:06:
[...]

Waarom heb je wachtwoorden nodig? Snap ik niet. De gouden regel die we mensen proberen in te prenten is 'geef nooit je wachtwoord af', en dan ga je als systeembeheer dat juist aanmoedigen?

Zoals ik al aangeef heb ik wachtwoorden nodig om eea te testen. Er zijn situaties waarbij je niet zomaar een testaccount kan aanmaken, met name als er derde partijen zijn betrokken. Dan is het vele malen effectiever om het wachtwoord te vragen, te testen, en dan het wachtwoord door de gebruiker te laten wijzigen. Er moet namelijk ook gewerkt worden. Dit gebeurd hoogstens enkele malen per jaar.

Dus volgende keer belt er iemand met een vaag verhaal dat Aikon ziek is maar remote even iets moet doen, en dan geven ze ook vrolijk hun wachtwoord?

Wellicht ja. Denk in elk geval niet dat de uitkomst anders zou zijn als ik niet enkele malen per jaar persoonlijk iemand om een wachtwoord had gevraagd.

maandag 23 maart 2015 08:44

Acties:

0 Henk 'm!

celshof

Ik vind het toch wel schokkend. We hebben het hier over toegang tot patientgegevens en daar moet je nooit makkelijk mee omspringen. Nou weet ik uit de praktijk (heb gewerkt op een support afdeling van een bedrijf dat IT deed voor oa. huisartsenpraktijken) dat er op de werkvloer soms wat soepel met wachtwoorden wordt omgesprongen, maar dat betekent niet dat je als Support daar ook maar zo soepel mee om moet gaan.

En je geheimhoudingsclausule vergelijken met beroepsgeheim? Wauw.

maandag 23 maart 2015 08:48

Acties:

0 Henk 'm!

weebl

YARR!

Ik heb zelf een tijdje als servicedesker gewerkt en leverde ook telefoons uit. Wij lieten gebruiker ALTIJD zelf hun wachtwoord invullen. Sterker nog: mocht een gebruiker per ongeluk toch zijn wachtwoord aan ons vertellen (ja, die zijn er ook) dan waren we verplicht deze meteen te resetten met het vinkje aan dat ie zelf meteen een nieuwe moet invullen.

Hoewel ik begrijp dat het lekker makkelijk is om de telefoon alvast in te stellen als je het wachtwoord van de gebruiker weet vind ik het toch een kwalijke zaak. Privacy (zeker in de zorg) is imho erg belangrijk. Dan duurt het afhalen en instellen van een nieuw toestel maar wat langer.

maandag 23 maart 2015 10:24

Acties:

0 Henk 'm!

chime

Een beheerder hoeft een wachtwoord van een gebruiker niet te weten.
Daar is geen enkele noodzaak aan.

Integendeel zelfs, je voegt de kans tot misbruik toe.
Zeker als dat wachtwoord neergepend wordt.

Een beheerder kan altijd een wachtwoord resetten (of zou dat toch moeten kunnen) om zo toegang te krijgen tot welbepaalde data.
Maar zelfs dat lijkt me eerder iets voor uitzonderlijke omstandigheden.

Want zo gauw iemand anders dat wachthoofd heeft wordt het vrij moeilijk om objectief te bepalen wie nu een bepaalde actie met een bepaald account heeft uitgevoerd.

@TS
Als de beheerder daar achter vraagt, laat hem dan eerst een papiertje ondertekenen waarbij die:
- Persoonlijk aansprakelijk gesteld wordt voor elke actie die met dat account gebeurd - ongeacht wie die actie effectief uitvoert.
- Je vrouw niet meer aansprakelijk gesteld kan worden.

Want ja ... hij wilt het wachtwoord en dan ook nog eens op papier.
(Dus iedereen die toegang heeft tot die documenten kan aan dat wachtwoord)

Beetje het motto van:
"Jij wilt een paraplu gebruiken - mag hoor, maar die van mij is groter

maandag 23 maart 2015 10:35

Acties:

0 Henk 'm!

ninjazx9r98

Anoniem: 39993 schreef op zondag 22 maart 2015 @ 22:51:
[...]

Met mijn systeembeheerder pet kan ik natuurlijk ook niet bij alle data. Maarja... onze organisatie is niet zo groot, dus dan zet ik toch gewoon mijn applicatiebeheerder pet op. En anders heb ik nog wel een paar petten....

Allemaal petten die bij je functie en werkzaamheden horen. In logfiles zijn die petten ook weer terug te vinden en dan klopt het plaatje weer.
Als je een gebruiker om zijn wachtwoord vraagt en vervolgens zelfstandig inlogt (of al deze wachtwoorden ergens op een papiertje of in een document hebt staan) dan doe je de pet van die gebruiker op en valt uit de logfiles niet meer op te maken dat het om een systeembeheerder gaat/ging met de pet van een gebruiker.

Beetje gechargeerd maar het valt me wel op dat in dit topic (net als regelmatig in het systeembeheers en hun problemen topic) een sfeer heerst van de superieure systeembeheerder die een soort God is (ik kan toch bij alle data) en al die luie en a-technische gebruikers wel even zal helpen en als ze het in hun hoofd halen om God tegen te spreken (je krijgt mijn wachtwoord niet) dan zoeken ze het maar lekker uit en mogen ze alles lekker zelf doen.

maandag 23 maart 2015 10:40

Acties:

0 Henk 'm!

DiedX

Voor de vriendin van de TS: Hulde. Zo zouden we er meer moeten hebben.

Ik heb ook met dit bijltje moeten hakken, en ben tot de conclusie gekomen dat ík het wachtwoord van de klant níet wíl weten. Immers: mocht ik zijn wachtwoord weten, dan kan hij ook zeggen dat ik acties heb ondernomen.

Dat je dat in sommige gevallen wat meer werk zal geven: so be it. Of zoals ik dan zeg: "had ik maar een vak moeten leren".

Ik geef mijn wachtwoord niet, en ik wíl het wachtwoord niet wete van mijn klanten of collegae.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 23 maart 2015 10:45

Acties:

0 Henk 'm!

Anoniem: 311786

Het is heel simpel: wachtwoorden zijn persoonlijk, punt. Wachtwoorden afgeven is gewoon simpelweg not done, hoe je het ook bekijkt. Gebruikers zullen zelf, bijvoorbeeld met behulp van een handleiding, dergelijke zaken als e-mail in moeten stellen op hun mobile device. Als ze daar ondersteuning bij willen hebben dan moet dat natuurlijk geboden worden in de vorm van een systeembeheerder, helpdesker, etc. Deze systeembeheerder/helpdesker hoeft verder niet het wachtwoord van een gebruiker te weten en de gebruiker hoeft deze dan ook niet af te geven (vrijwillig, dan wel op aanvraag).

Dit zorgt soms natuurlijk voor wat lastige situaties, want gebruikers willen soms dat je alles voor ze doet. Dat ze dan je wachtwoord nodig hebben vinden ze dan meestal niet zo erg, er wordt immers voor gezorgd dat jij lekker mail kan ontvangen en versturen met je mobile device. Desalniettemin is en blijft een wachtwoord persoonlijk (hoe simpel je wachtwoord ook mag zijn).

Uiteindelijk is het natuurlijk ook nog es zo dat de ICT-afdeling niet de core business van een bedrijf is. Deze afdeling moet faciliteren, want het bestaansrecht van een dergelijke afdeling is nou juist deze core business. Zonder deze core business is er ook geen behoefte aan een ICT-afdeling. Dat maakt zo'n afdeling natuurlijk niet ondergeschikt, maar het is en blijft een afdeling die moet faciliteren. Dat betekend echter niet dat zo'n afdeling het recht heeft om jouw wachtwoord te weten. Als zo'n afdeling dan aangeeft dat je het zelf maar lekker moet uitvogelen, dan ben je dubbel fout bezig: 1) je vraagt om iemands wachtwoord, wat je niks aangaat en 2) je faciliteert niet, terwijl je wel op een faciliterende afdeling werkzaam bent.

In de praktijk zie ik bij mijn klanten eigenlijk altijd hetzelfde. Een gebruiker heeft een mobile device en wil daarop mail kunnen ontvangen en versturen. Daar gaat een aanvraag aan vooraf en bij toestemming van bijvoorbeeld een manager wordt zo'n gebruiker toegevoegd aan een bepaalde AD groep. Vervolgens wordt met de gebruiker een afspraak gemaakt om alles in te stellen (soms komt de gebruiker langs bij de beheerder, soms komt de beheerder langs bij de gebruiker, alles is mogelijk). Wachtwoorden van de gebruiker worden vervolgens door de gebruiker zelf ingetoetst, terwijl de beheerder de andere kant op kijkt.

Zo moeilijk hoeft het toch niet te zijn?

maandag 23 maart 2015 10:48

Acties:

0 Henk 'm!

RemcoDelft

chime schreef op maandag 23 maart 2015 @ 10:24:
@TS
Als de beheerder daar achter vraagt, laat hem dan eerst een papiertje ondertekenen waarbij die:
- Persoonlijk aansprakelijk gesteld wordt voor elke actie die met dat account gebeurd - ongeacht wie die actie effectief uitvoert.
- Je vrouw niet meer aansprakelijk gesteld kan worden.

En dat kan (gelukkig) niet: medisch beroepsgeheim kan je niet op een ander afschuiven. Het zou best goed zijn om eens te inventariseren hoeveel medici (en er werken er 1.4 miljoen in de zorg) het niet zo nauw nemen met de privacyregels. En die dan allemaal te beboeten, ik verwacht dat het eigen risico kan worden afgeschaft

maandag 23 maart 2015 11:02

Acties:

0 Henk 'm!

Paul

nicxz schreef op zaterdag 21 maart 2015 @ 11:51:
Het lijkt wel of IT binnen de zorg een jaar of 20 achterloopt op de rest van de wereld, denk ik af en toe als ik de verhalen hoor van mijn vrouw.

N=1... Ik kraak jouw sector toch ook niet af op basis van de ervaring van één persoon?

Ik ben zelf ook systeembeheerder in de zorg en wij vragen nooit om iemands wachtwoord. Als iemand niet beschikbaar is om de PC over te (laten) nemen dan wachten we gewoon tot men dat wel is. In de afgelopen 2 jaar kan ik me één keer herinneren dat de medewerker specifiek vroeg om het op te lossen / testen zonder dat die medewerker aanwezig was; dat is met een wachtwoord-reset gegaan en alsnog konden we niet in het EPD want dat is een separate inlog.

We lopen hier ook regelmatig door het ziekenhuis om post-it's te verzamelen en ritueel te verbranden (inclusief melding richting leidinggevende)

Dat gezegd hebbende is er geloof ik geen enkele secretaresse hier die het wachtwoord van haar leidinggevende niet kent

Van sommige externe leveranciers kennen we wel een aantal wachtwoorden, vooral omdat ze die vaak vergeten maar het wel als service account hebben gebruikt voor wat services waar we nu niet meer aan mogen komen

En ja, in de ideale wereld zorg je dat die leverancier het probleem oplost, helaas is het geen ideale wereld... De accounts van die leveranciers mogen (gelukkig) nergens bij, hooguit local admin op hun applicatieserver, maar geen rechten in (andere) applicaties of fileshares.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 23 maart 2015 11:45

Acties:

0 Henk 'm!

Abom

Dit probleem is niet de schuld van de IT medewerker, maar het IT beleid en ligt dus bij de manager.

Ik zie dit bij verschillende sectoren. Vorige klant zat in de bouw en daar vond iedereen het de normaalste zaak om het wachtwoord af te staan aan IT mensen. Ik heb zelfs gezien dat gebruikers privé wachtwoorden afstonden aan IT medewerkers (voor bijvoorbeeld iTunes, Google Drive of andere cloud diensten).

In de bouw zie ik het probleem niet zo (maar het is wel onprofessioneel), maar in de zorg met veel gevoelige informatie is het not done.

Ik werk nu in de zorg en hier gebeurt het dus helemaal niet.

maandag 23 maart 2015 11:48

Acties:

0 Henk 'm!

nicxz

Paul schreef op maandag 23 maart 2015 @ 11:02:
[...]
N=1... Ik kraak jouw sector toch ook niet af op basis van de ervaring van één persoon?

Er zullen zeker ook plekken zijn binnen de sector waar het wel goed geregeld is, maar ik heb in de loop der jaren veel van dit soort verhalen aan mogen horen. Van mijn vrouw, die door de opleidingsstructuur bij artsen meerdere werkplekken meegemaakt heeft, en van haar vrienden en collega's. Dat blijft een beperkte steekproef, maar het is meer dan N=1. Vandaar mijn stelling dat IT bij de zorg een ondergeschoven kindje is, dat het wel lijkt dat men flink achterloopt.

Wat er volgens mij achter zit, is dat IT en de core business van de zorg gewoon erg ver van elkaar vandaan staan. Daarom is er minder aandacht voor IT, en worden dingen niet altijd zo netjes geregeld worden als eigenlijk nodig is. Tel daarbij op bezuinigingen op gezette tijden (verkiezingen), bekostigingsmodellen die veranderen, en je hebt een flinke uitdaging als je als ITer het leven van een arts wat moeilijker wil maken omdat je graag wil dat vanaf nu geen accounts meer gedeeld worden (bijvoorbeeld).

Een vergelijking met mijn eigen (IT) omgeving is daarom misschien wat oneerlijk, want daar IT de core business is en iedereen zich bewust is van het belang van dit soort zaken. Maar ik blijf er bij dat, als je als zorgsector stappen wil zetten op gebied van electronische gedeelde patientendossiers, je eerst die mindset aan moet pakken.

Overigens was 'mijn' sector in het verleden IT bij de overheid, en ja die was ook om de haverklap aan de beurt als er ergens een IT project bij de overheid de mist in ging

[ Voor 5% gewijzigd door nicxz op 23-03-2015 11:51 ]

"Honesty may be the best policy, but it’s important to remember that apparently, by elimination, dishonesty is the second-best policy." George Carlin

maandag 23 maart 2015 13:57

Acties:

0 Henk 'm!

Qwerty-273

Meukposter

***** ***

Ach dat is zorg en IT, in met extra lekkere botte harries op de IT afdeling.

Ik heb het nog wel vreemder mee gemaakt, persoon op langdurig ziekte verlof. Werkgever eist wachtwoord van werknemer om de laptop weer te kunnen gebruiken (is niet nodig want in domein en beheerder heeft gewoon toegang + iedereen kan gewoon met domein account inloggen), werkgever is onbenul op gebied van IT (understatement). Na het weigeren van het vrijgeven van wachtwoord, en de daarop volgende officiele dreigementen, dan toch maar op advies van advocaat wachtwoord afgegeven (om verdere stress te voorkomen, zeker met de bewoordingen van de werkgever van het blokeren van de bedrijfsprocessen door het weigeren van het afgeven van het wachtwoord, waar je echt niet over wil gaan discusseren in een rechtzaal met de kans op een IT onbenul van een rechter).

Security awareness is een big issue in de meeste bedrijven tegenwoordig (op zijn minst de bedrijven waar een degelijk security team is/gevormd wordt). Heel goed van jouw vriendin om daar niet zo makkelijk in mee te gaan. Dat ze daarbij tegen een botte hark aanloopt is dan jammer.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

maandag 23 maart 2015 14:05

Acties:

0 Henk 'm!

fluffy1

Dit heb ik ook eens bij mij op het werk aan de hand gehad.
Tegenwoordig wordt het niet meer gedaan though. (na verandering van systeembeheerder)
Ipv. met die gast in discussie te treden deed ik het volgende:
1) Ik nam een woordenboek.
2) Ik sloeg hem op een random pagina open
3) Ik koos een random woord
4) Ik veranderde mijn wachtwoord in dat woord.
5) Mailde dit dan door naar de sysadmin
6) Nadat hij zijn ding had gedaan, zette ik mijn eigen wachtwoord weer terug. (of een ander wachtwoord in dit geval wegens password history beperkingen)

Ik blij. Sysadmin blij. Iedereen blij.

Hij kon gedurende die tijd wel acties doen in mijn naam. Maar dat kan hij altijd als hij het password zou resetten.

maandag 23 maart 2015 14:34

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

fluffy1 schreef op maandag 23 maart 2015 @ 14:05:
... Maar dat kan hij altijd als hij het password zou resetten.

Dan wordt waarschijnlijk nog wel geprotocolleerd wie de paswoordreset uitvoerd, dat kan men dan achteraf eventueel nader onderzoeken. Als je zelf je wachtwoord veranderd, wordt niet vastgelegd op wiens verzoek dat is. (dat kan ook worden onderzocht, maar dan zijn er net wat minder gegevens om mee te beginnen.

maandag 23 maart 2015 14:36

Acties:

0 Henk 'm!

Koos Werkloos

fluffy1 schreef op maandag 23 maart 2015 @ 14:05:
Hij kon gedurende die tijd wel acties doen in mijn naam. Maar dat kan hij altijd als hij het password zou resetten.

Maar dan wordt als het goed is wel gelogd dat het password gereset is (en door wie). Bovendien merkt de gebruiker van wie het password gereset is dan ook dat zijn of haar password is gereset. Dus ook dat is geen reden om een systeembeheerder onder jouw naam te laten inloggen.

[ Voor 5% gewijzigd door Koos Werkloos op 23-03-2015 14:37 ]

maandag 23 maart 2015 15:18

Acties:

0 Henk 'm!

Anoniem: 39993

Ik denk dat men bij (niet al te grote) commerciele bedrijven er gewoon wat anders mee omgaat dan in de publieke sectoren. In een commercieel bedrijf wil men gewoon zoveel mogelijk geld verdienen met zo weinig mogelijk moeite. Als onze CEO erachter komt dat we kostbare tijd aan het verspillen zijn met het omzeilen / resetten van passwords, dan gaat hij niet blij zijn. Sterker nog; als ik hem nu mail om zijn wachtwoord, heb ik het voor 4 uur.

maandag 23 maart 2015 15:33

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Waarom überhaupt wachtwoorden gebruiken?

maandag 23 maart 2015 15:36

Acties:

0 Henk 'm!

Anoniem: 109640

Qwerty-273 schreef op maandag 23 maart 2015 @ 13:57:
Ach dat is zorg en IT, in met extra lekkere botte harries op de IT afdeling.

Ik heb het nog wel vreemder mee gemaakt, persoon op langdurig ziekte verlof. Werkgever eist wachtwoord van werknemer om de laptop weer te kunnen gebruiken (is niet nodig want in domein en beheerder heeft gewoon toegang + iedereen kan gewoon met domein account inloggen)

En dat kon je hem gewoon niet laten zien?

Pagina: 1 2 Volgende Laatste

Reageer