Vriendin moet wachtwoord afgeven aan IT-afdeling

Anoniem: 39993 schreef op maandag 23 maart 2015 @ 15:18:
Ik denk dat men bij (niet al te grote) commerciele bedrijven er gewoon wat anders mee omgaat dan in de publieke sectoren. In een commercieel bedrijf wil men gewoon zoveel mogelijk geld verdienen met zo weinig mogelijk moeite. Als onze CEO erachter komt dat we kostbare tijd aan het verspillen zijn met het omzeilen / resetten van passwords, dan gaat hij niet blij zijn. Sterker nog; als ik hem nu mail om zijn wachtwoord, heb ik het voor 4 uur.

Tot er eens een werknemer misbruikt van maakt ... dan sta je daar.

Vaak gaan kleine commerciele bedrijven ten onder aan stomme beslissingen (die op dat moment geld lijken te besparen)
- veiligheid is er zo eentje
- backups is een andere
- ...

Is ook weer niet de bedoeling om er een fort knox van te maken - want dan ben je effectief kostbare tijd aan het verspillen en gaan mensen actief op zoek naar omwegen die het allemaal wat sneller (en veel onveiliger) maken.

Trouwens ... een wachtwoord reset moet echt niet lang duren.
Als je dat nodig hebt kan je dat nu uitvoeren en ben je binnen in zijn account om 15:40 ... lees 20 minuten sneller dan jou "ik vraag om het wachtwoord mailtje"

Anoniem: 39993 schreef op maandag 23 maart 2015 @ 15:18:
Ik denk dat men bij (niet al te grote) commerciele bedrijven er gewoon wat anders mee omgaat dan in de publieke sectoren. In een commercieel bedrijf wil men gewoon zoveel mogelijk geld verdienen met zo weinig mogelijk moeite. Als onze CEO erachter komt dat we kostbare tijd aan het verspillen zijn met het omzeilen / resetten van passwords, dan gaat hij niet blij zijn. Sterker nog; als ik hem nu mail om zijn wachtwoord, heb ik het voor 4 uur.

Ik denk dat het meer iets zegt over het amateuristische karakter van het bedrijf waar jij voor werkt. Als bij jouw bedrijf blijkbaar de mentaliteit heerst om gewoon je wachtwoord af te geven, wat moet er dan wel niet gebeuren zodra er een phisingmail rondgaat of wanneer iemand email adressen gaat spoofen? Oh, Hallo CEO account en vast wel 1 of meer administrator accounts, oh wat hebben we hier? Domain admin accounts omdat het anders 'meer tijd kost om telkens om te loggen naar local admin'.

Dit kun je toch niet serieus nemen?

Koos Werkloos schreef op maandag 23 maart 2015 @ 14:36:
[...]

Maar dan wordt als het goed is wel gelogd dat het password gereset is (en door wie). Bovendien merkt de gebruiker van wie het password gereset is dan ook dat zijn of haar password is gereset. Dus ook dat is geen reden om een systeembeheerder onder jouw naam te laten inloggen.

True, maar hij kan ook gewoon die log entry verwijderen en het vinkje aanzetten bij "User must change password at next logon" en vijnzen dat het password vervallen was.

Begrijp me niet verkeerd, ik ben het er mee eens dat je paswoord afgeven een slecht idee is.
Maar als je dan toch eens met je rug tegen de muur staat, is dit nog het beste alternatief. En dan stuur je je tijdelijk password liefst nog via een mail wat je ook nog eens offline opslaat. Als er dan toch misbruik wordt gemaakt, kan je bewijzen aan wie en waarom je je password hebt afgestaan. En zo staat je echt wachtwoord ook niet ergens plain text rond te slingeren.

Anoniem: 109640 schreef op maandag 23 maart 2015 @ 15:36:
En dat kon je hem gewoon niet laten zien?

Het was niet mijn werkgever, en de persoon op langdurig ziekte verlof had echt geen zin om naar werkplek te gaan en de kleinerende uitlatingen van de werkgever aan te horen.

fluffy1 schreef op maandag 23 maart 2015 @ 15:48:
True, maar hij kan ook gewoon die log entry verwijderen en het vinkje aanzetten bij "User must change password at next logon" en vijnzen dat het password vervallen was.

Zover ik weet kun je op een Windows systeem niet zomaar een log entry verwijderen. Daarvoor moet je het hele log wissen en dat wordt dan weer gelogd. Ofwel: Het log is leeg, behalve een entry die vermeldt dat het log gewist is. Bij ons zou dat reden zijn voor onderzoek waarom die beheerder het log gewist heeft.

Overigens is het alleen maar gunstig als je verplicht wordt om je password te geven. Op die manier kan er ook niet meer naar jou gewezen worden als het password uitlekt of als iemand misbruik maakt van jou account, er zijn nu immers meerdere mensen die (potentieel) toegang tot dat account hebben.

Dito met die beheerder die passwords in een encrypted RAR file bijhoudt. Gefeliciteerd, elke poging om gebruikers aan te spreken op misbruik van IT-middelen of iets dergelijks kan nu afgewimpeld worden met een verwijziging naar dat bestand. Nee, ik heb niks gedaan, maar de beheerder zal het wel gedaan hebben want die heeft van iedereen het password en zal dat wel misbruikt hebben.

[ Voor 36% gewijzigd door downtime op 23-03-2015 15:57 ]

fluffy1 schreef op maandag 23 maart 2015 @ 15:48:
[...]


True, maar hij kan ook gewoon die log entry verwijderen en het vinkje aanzetten bij "User must change password at next logon" en vijnzen dat het password vervallen was.

Begrijp me niet verkeerd, ik ben het er mee eens dat je paswoord afgeven een slecht idee is.
Maar als je dan toch eens met je rug tegen de muur staat, is dit nog het beste alternatief. En dan stuur je je tijdelijk password liefst nog via een mail wat je ook nog eens offline opslaat. Als er dan toch misbruik wordt gemaakt, kan je bewijzen aan wie en waarom je je password hebt afgestaan. En zo staat je echt wachtwoord ook niet ergens plain text rond te slingeren.

Geen enkel systeem is waterdicht en alles is uiteindelijk wel te hacken of te misbruiken. Maar dat is dan nog geen reden om je wachtwoord af te geven en het anderen zo nog gemakkelijker maken misbruik te maken van jouw gegevens. Het idee van een wachtwoord is dat je ermee bewijst dat jij bent wie je zegt dat je bent. Door je wachtwoord af te geven ondermijn je dat principe.

Junia schreef op maandag 23 maart 2015 @ 15:47:
[...]


Ik denk dat het meer iets zegt over het amateuristische karakter van het bedrijf waar jij voor werkt. Als bij jouw bedrijf blijkbaar de mentaliteit heerst om gewoon je wachtwoord af te geven, wat moet er dan wel niet gebeuren zodra er een phisingmail rondgaat of wanneer iemand email adressen gaat spoofen? Oh, Hallo CEO account en vast wel 1 of meer administrator accounts, oh wat hebben we hier? Domain admin accounts omdat het anders 'meer tijd kost om telkens om te loggen naar local admin'.

Dit kun je toch niet serieus nemen?

In een perfecte wereld...... zouden we het anders doen. Wij doen gewoon wat er van ons gevraagd wordt door het management.

De afgelopen 70 jaar ging het goed, denkt men daar.

pacificocean schreef op zaterdag 21 maart 2015 @ 12:09:
... IT'ers hebben geen beroepsgeheim in NL. Dat zijn alleen artsen advocaten etc. ...

Er is wel een afgeleid verschoningsrecht/beroepsgeheim, maar dat neemt niet weg dat in mijn ogen de ITer in eerste instantie sowieso geen toegang dient te hebben tot medische gegevens, maar als hij het heeft lijkt het me voordehandliggend dat sprake is van een 'afgeleid beroepsgeheim'.

[ Voor 11% gewijzigd door begintmeta op 27-03-2015 00:21 ]

Ik heb meerdere jaren op een helpdesk gewerkt en daarbij heb ik ook weleens gevraagd om het wachtwoord om de gebruikerssituatie te simuleren. Dit wachtwoord was nuttig handig als ik aan het werk was voor remote klanten (die geen gebruik konden maken van Teamviewer, Citrix, Terminal Services, RDP, etc.)
Dat iemand zijn/haar wachtwoord niet afgeeft, dat is iemand z'n goed recht. Dat een IT medewerker daar gefrustreerd over zou worden, dan vind ik echt een schande!

Gelukkig kunnen we op het werk, intern gebruik maken van tooltjes zodat IT medewerkers met mij mee kunnen kijken.
Als ik dan toch een nieuw wachtwoord nodig heb (vanwege de policy), dan ben ik een tijdje bezig om 1 goed wachtwoord te vinden die ik op diverse werkgerelateerde platformen zou kunnen gebruiken.
Door de verschillende policies bij bedrijven, kan het betekenen dat je je wachtwoord niet eens binnen 24 uur mag aanpassen. Nou daar loop je dan met je IT-wachtwoord.
Als je daarnaast ook nog diverse wachtwoord policies hebt voor diverse programma''s, intranetsites, online tooltjes, dan kan het soms lastig zijn om ook nog een goed wachtwoord te kunnen verzinnen. Het ene platform vereist dat je bepaalde tekens moet gebruiken, in het andere platform mag je maar maximaal gebruik maken van 12 tekens (wie dat ooit heeft verzonnen en heeft geïmplementeerd moet niet goed snik zijn geweest) en soms moet het Windows wachtwoord elke 4 maanden worden vernieuwd.

Helaas kent ons bedrijf nog geen Single Sign-on voor alle werkgerelateerd sites, waardoor ik op dit moment elke 4-6 maanden op 8 locaties mijn wachtwoord moet aanpassen. Dit waren er in het verleden overigens een stuk meer dan deze 8.

Kortom, zomaar een wachtwoord resetten? Altijd overleggen met de klant en niet op eigen houtje doen! Men kan het oude wachtwoord namelijk niet meer opnieuw instellen (sterker nog, na 24 andere wachtwoorden zou het pas kunnen). Tevens is een afgeleide van je oude wachtwoord in goede IT omgevingen ook niet toegestaan.

Voor ondersteuningsdoeleinden zou je mogelijk ook van gesimuleerde gegevens en accounts, niet van echte patientgegevens gebruik kunnen maken kan ik me voorstellen.

Kiswum schreef op vrijdag 27 maart 2015 @ 09:28:
Ik heb meerdere jaren op een helpdesk gewerkt en daarbij heb ik ook weleens gevraagd om het wachtwoord om de gebruikerssituatie te simuleren. Dit wachtwoord was nuttig handig als ik aan het werk was voor remote klanten (die geen gebruik konden maken van Teamviewer, Citrix, Terminal Services, RDP, etc.)
Dat iemand zijn/haar wachtwoord niet afgeeft, dat is iemand z'n goed recht. Dat een IT medewerker daar gefrustreerd over zou worden, dan vind ik echt een schande!

Gelukkig kunnen we op het werk, intern gebruik maken van tooltjes zodat IT medewerkers met mij mee kunnen kijken.
Als ik dan toch een nieuw wachtwoord nodig heb (vanwege de policy), dan ben ik een tijdje bezig om 1 goed wachtwoord te vinden die ik op diverse werkgerelateerde platformen zou kunnen gebruiken.
Door de verschillende policies bij bedrijven, kan het betekenen dat je je wachtwoord niet eens binnen 24 uur mag aanpassen. Nou daar loop je dan met je IT-wachtwoord.
Als je daarnaast ook nog diverse wachtwoord policies hebt voor diverse programma''s, intranetsites, online tooltjes, dan kan het soms lastig zijn om ook nog een goed wachtwoord te kunnen verzinnen. Het ene platform vereist dat je bepaalde tekens moet gebruiken, in het andere platform mag je maar maximaal gebruik maken van 12 tekens (wie dat ooit heeft verzonnen en heeft geïmplementeerd moet niet goed snik zijn geweest) en soms moet het Windows wachtwoord elke 4 maanden worden vernieuwd.

Helaas kent ons bedrijf nog geen Single Sign-on voor alle werkgerelateerd sites, waardoor ik op dit moment elke 4-6 maanden op 8 locaties mijn wachtwoord moet aanpassen. Dit waren er in het verleden overigens een stuk meer dan deze 8.

Kortom, zomaar een wachtwoord resetten? Altijd overleggen met de klant en niet op eigen houtje doen! Men kan het oude wachtwoord namelijk niet meer opnieuw instellen (sterker nog, na 24 andere wachtwoorden zou het pas kunnen). Tevens is een afgeleide van je oude wachtwoord in goede IT omgevingen ook niet toegestaan.

Mooie conclusie.
Ook ik heb lang op de ICT helpdesk van een groot bedrijf gewerkt en wanneer er specifieke problemen zijn met een laptop van een medewerker is het soms nodig om de gebruikerssituatie te repliceren, waar dus het wachtwoord van de medewerker voor nodig is om in te loggen op de laptop.
Daarbij kun je kiezen voor twee opties: de medewerker om het wachtwoord vragen, of het wachtwoord resetten. Wat mij betreft leg je deze twee opties aan de medewerker in kwestie voor en geef je daarbij aan dat het begrijpelijk is als hij/zij het wachtwoord niet af wil geven omdat het ook voor andere doeleinden gebruikt wordt. En meteen toelichten wat de gevolgen zijn van een wachtwoord reset (op bepaalde apparaten opnieuw inloggen bijvoorbeeld).
Wat mij betreft een eenvoudige situatie.

Dat de IT medewerker gefrustreerd reageerde is natuurlijk niet juist, maar een beetje inleving in zijn situatie (niet vertrouwd worden met het wachtwoord en de reden proberen te begrijpen waarom dit wachtwoord nodig is) lijkt me ook wel op zijn plaats.

Kortom, een stukje miscommunicatie van beide kanten naar mijn mening.

Overigens: natuurlijk bestaat ook de optie om de medewerker bij het proces te betrekken en hem/haar zelf het wachtwoord in te laten voeren, hier is echter lang niet altijd tijd voor (bij beide kampen).

[ Voor 3% gewijzigd door Majesty op 27-03-2015 09:45 ]

Ik vind het stuitend dat er nog steeds beheerders zijn die om wachtwoorden vragen. Je bent je gebruikers aan het klaarstomen voor een succesvolle phishing / social engineering aanval, alleen omdat jij te besodemieterd bent om het goed te regelen. En dat is helemaal niet zo ingewikkeld.

Als je voor mij zou werken zou dit een reden zijn voor een officiële waarschuwing en bij herhaling ontslag. Nu gelden in het bedrijf waar ik werk misschien wat strengere regels maar je zou dan ook niet de eerste zijn die er om dit soort redenen uitvliegt (en ja, dat houdt stand voor de rechter). Zoals eerder door een jurist met medische kennis (of andersom) opgemerkt zou dit in de gezondheidszorg ook prima kunnen. Medische gegevens zijn ook wettelijk beschermd.

timag schreef op vrijdag 27 maart 2015 @ 10:03:
Ik vind het stuitend dat er nog steeds beheerders zijn die om wachtwoorden vragen. Je bent je gebruikers aan het klaarstomen voor een succesvolle phishing / social engineering aanval, alleen omdat jij te besodemieterd bent om het goed te regelen. En dat is helemaal niet zo ingewikkeld.

Ik ben benieuwd naar je 2e post, waarin je aangeeft hoe het makkelijk geïmplementeerd kan worden. Ik wacht daarom rustig af op je alternatieven, waarbij je de gebruikerservaring zou kunnen simuleren bij gevallen waarbij remote assistentie niet mogelijk is.

Een alternatief kan ook zijn: Niets doen.
De klant het e-mail/telefoon-account zelf in laten stellen of tijdens het proces er zelf bij laten blijven staan.

Kiswum schreef op vrijdag 27 maart 2015 @ 10:11:
[...]


Ik ben benieuwd naar je 2e post, waarin je aangeeft hoe het makkelijk geïmplementeerd kan worden. Ik wacht daarom rustig af op je alternatieven, waarbij je de gebruikerservaring zou kunnen simuleren bij gevallen waarbij remote assistentie niet mogelijk is.

Een alternatief kan ook zijn: Niets doen.
De klant het e-mail/telefoon-account zelf in laten stellen of tijdens het proces er zelf bij laten blijven staan.

Same here! Ben er zeer benieuwd naar.
Dat alternatief haalde ik inderdaad ook aan een paar posts hierboven. Hier is echter wel tijd voor nodig van beide kampen (IT afdeling en medewerker zelf), in mijn ervaring is die tijd er eigenlijk bijna niet.

Kiswum schreef op vrijdag 27 maart 2015 @ 10:11:
[...]


Ik ben benieuwd naar je 2e post, waarin je aangeeft hoe het makkelijk geïmplementeerd kan worden. Ik wacht daarom rustig af op je alternatieven, waarbij je de gebruikerservaring zou kunnen simuleren bij gevallen waarbij remote assistentie niet mogelijk is.

Een alternatief kan ook zijn: Niets doen.
De klant het e-mail/telefoon-account zelf in laten stellen of tijdens het proces er zelf bij laten blijven staan.

Op de telefoon: zelf laten intikken.

Voor andere supporttaken:

• remote meekijken / overnemen met toestemming gebruiker (dit kan namelijk ook heel vaak wel)
• als het niet anders kan wachtwoord resetten en de gebruiker weer laten wijzigen na afhandelen.

Ook al heeft de IT afdeling al toegang, het gaat ook om traceerbaarheid.

Als je je wachtwoord afgeeft, kun je vanuit het systeem niet zien of jij zelf inlogt of iemand anders met jouw credentials.
Als iemand zich toegang verschaft tot jouw gegevens, bijvoorbeeld een IT medewerker die een administratieve override gebruikt, dan is dat doorgaans wel te traceren.
Hij kan bijvoorbeeld je wachtwoord wel wijzigen, maar nooit je oude wachtwoord herstellen. Dus merk je meteen dat er met je account geknoeid is.

Nooit je wachtwoord afstaan dus. Ook niet aan iemand die toch al toegang heeft, want dat is nou net waar oplichters gebruik van maken.

Omgekeerd, bel de IT dienst eens op met "Hallo ik ben Pietje en ik ben mijn wachtwoord vergeten." Bij de meeste bedrijven wordt 't account binnen enkele seconden voor je aangepast en kun je inloggen, en de enige verificatie was dat je van een telefoon binnen het bedrijf gebruik maakte.

[ Voor 8% gewijzigd door cdwave op 27-03-2015 12:23 ]

Zelf heb ik 2 jaar de rol van on-site vervuld in het verleden. Hier vroeg ik vaak de mensen ook om hun wachtwoord om praktische redenen voor instellen/installeren van PC wanneer ze er niet waren of bij he tinstallen van de smartphone. De meeste mensen maken hier geen probleem van, maar ik had er ook begrip voor wanneer de mensen hun wachtwoord niet wilde geven, ook al was dat voor mij meerwerk. Het hangt er wel vanaf in welke omgeving, en sector dat je werkt. Dit was bij een middelgrote speler in de energiesector. Heb ook bij banken en verzekeringsmaatschappijen gezeten en daar is zoiets totaal not-done.

Ik zeg meestal Ik reset je Wachtwoord naar iets wat ik weet.
En als ik klaar ben geef ik ze een scherm waar ze of hun oud wachtwoord weer kunnen instellen of een nieuwe mogen maken.

Zou een collega mij om mijn wachtwoord vragen dan ben ik formeel verplicht direct een security incident te melden bij de security officer. Dan heeft die it-medewerker een probleem.

En zeker ook in de medische wereld heeft een arts een goede reden niet zijn/haar wachtwoord af te staan, dat is een schending van het beroepsgeheim.
Kan een it-afdeling niet zonder, dan hadden ze de boel maar beter in moeten regelen. Zou je het wel afgeven, dan ben je eigenlijk verplicht het direct te wijzigen. Heeft het werk van die it'er dan nog wel zin gehad?

Zelf ook een tijdje op de servicedesk gewerkt bij een bedrijf waar de beveiliging ook iets relevanter is dan in de meeste organisaties.

Daar vroeg ik ook wel eens mensen naar hun wachtwoord. Als ze dan hun wachtwoord afgaven BAM! Account gelocked...

Liep je van je PC weg zonder te locken? BAM! account gelocked.

Had je een post-it hangen met je wachtwoord? BAM! account gelocked.

Stond je gezicht me niet aan? BAM! account gelocked.

Ankona schreef op vrijdag 27 maart 2015 @ 12:49:
...
En zeker ook in de medische wereld heeft een arts een goede reden niet zijn/haar wachtwoord af te staan, dat is een schending van het beroepsgeheim.
...

Het zou me te ver gaan om enkel het afstaan van een wachtwoord direct als schending van het beroepsgeheim te zien, dan zou je eigenlijk ook het toevertrouwen aan informatie aan media waar anderen mogelijk toegang toe hebben dat eigenlijk ook zijn (papieren of elektronische dossiers, brieven, dicteerbandjes...), en dat gebeurt uit praktische noodzaak voortdurend (en heeft ook positieve effecten) (en daarom bestaat er ook een afgeleid beroepsgeheim/verschoningsrecht). Het gaat er vooral om dat niemand onnodig toegang tot informatie heeft. Zoals ik eerder had geschreven zie ik niet veel scenarios waar een ITer toegang tot patientinformatie zou moeten hebben (eigenlijk vrijwel geen), en om diverse al genoemde redenen is het afgeven van het wachtwoord algemeen ook sowieso een slecht idee en niet noodzakelijk.

[ Voor 8% gewijzigd door begintmeta op 27-03-2015 13:37 ]

Anoniem: 39993 schreef op maandag 23 maart 2015 @ 15:18:
Ik denk dat men bij (niet al te grote) commerciele bedrijven er gewoon wat anders mee omgaat dan in de publieke sectoren. In een commercieel bedrijf wil men gewoon zoveel mogelijk geld verdienen met zo weinig mogelijk moeite. Als onze CEO erachter komt dat we kostbare tijd aan het verspillen zijn met het omzeilen / resetten van passwords, dan gaat hij niet blij zijn. Sterker nog; als ik hem nu mail om zijn wachtwoord, heb ik het voor 4 uur.

Dan heeft jouw CEO nog geen fatsoenlijke analyse gedaan waarin de tijd- en kostenbesparingen van dit soort praktijken afgewogen worden tegen de risico's. Natuurlijk gaan je dagelijkse kosten omlaag als je niet moeilijk doet over je securitybeleid. Maar de kans op ernstige securityincidenten gaat ook flink omhoog. Denk daarbij aan lekken of diefstal van concurrentiegevoelige bedrijfsgegevens, op verstoring of zelfs platleggen van cruciale systemen, op aansprakelijkheid i.v.m. o.a. het niet zorgvuldig bewaren van privacygevoelige data (met boetes en slechte PR tot gevolg), etc. etc. Totaal Risico = de som van [kans x gevolgen] voor elk mogelijk incident - zonder securitybeleid zijn er heel veel incidenten mogelijk, de kans op elk is aanzienlijk, en de gevolgen van de meeste zijn ook niet mals.

Natuurlijk is een Fort Knox beleid onwerkbaar. Er bestaat ergens een optimum tussen security en werkbaarheid, en dat optimum zul je niet vinden aan de extremen. Imho zit een CEO die zomaar zijn wachtwoord over de mail stuurt volledig in het "boeit mij dat wat" extreem, en dat is net zo onverstandig als een Fort Knox beleid. Bovendien kan het, afhankelijk van wat voor gegevens jullie mee werken, illegaal zijn.

Dekaasboer schreef op vrijdag 27 maart 2015 @ 13:15:
Zelf ook een tijdje op de servicedesk gewerkt bij een bedrijf waar de beveiliging ook iets relevanter is dan in de meeste organisaties.

Daar vroeg ik ook wel eens mensen naar hun wachtwoord. Als ze dan hun wachtwoord afgaven BAM! Account gelocked...

Liep je van je PC weg zonder te locken? BAM! account gelocked.

Had je een post-it hangen met je wachtwoord? BAM! account gelocked.

Stond je gezicht me niet aan? BAM! account gelocked.

Volgens mij is dit geen HK....


Ik vind dat sommige mensen hier wel heel morele stellingen betrekken.

In ideale omstandigheden is auditing/logging en security goed geregeld. En is voor 99 % van de werkzaamheden niet de login van de user benodigd.
In veel gevallen is dat niet zo, al zou het in een medische setting (zoals gesteld door ts) wel zo moeten zijn.


er zijn zat toko's waar SSO, etc niet goed geregeld is, en daar zijn legio redenen voor.
Ik kan me dus echt wel voorstellen dat een helpdesker naar de login vraagt. Dat zal ook in 99,999% van de gevallen ter goeder trouw zijn en met de bedoeling dat het werk sneller afkomt en simpeler is, ook voor de eindgebruiker.

Dat de helpdeskers dit niet netjes aanpakten staat buiten kijf, daar moeten ze op aangesproken worden.

En trouwens als mevrouw er een slecht gevoel bij heeft, dan kan ze altijd nog zelf een password naderhand veranderen.

Antique schreef op vrijdag 27 maart 2015 @ 13:33:
[...]

Dan heeft jouw CEO nog geen fatsoenlijke analyse gedaan waarin de tijd- en kostenbesparingen van dit soort praktijken afgewogen worden tegen de risico's. Natuurlijk gaan je dagelijkse kosten omlaag als je niet moeilijk doet over je securitybeleid. Maar de kans op ernstige securityincidenten gaat ook flink omhoog. Denk daarbij aan lekken of diefstal van concurrentiegevoelige bedrijfsgegevens, op verstoring of zelfs platleggen van cruciale systemen, op aansprakelijkheid i.v.m. o.a. het niet zorgvuldig bewaren van privacygevoelige data (met boetes en slechte PR tot gevolg), etc. etc. Totaal Risico = de som van [kans x gevolgen] voor elk mogelijk incident - zonder securitybeleid zijn er heel veel incidenten mogelijk, de kans op elk is aanzienlijk, en de gevolgen van de meeste zijn ook niet mals.

Natuurlijk is een Fort Knox beleid onwerkbaar. Er bestaat ergens een optimum tussen security en werkbaarheid, en dat optimum zul je niet vinden aan de extremen. Imho zit een CEO die zomaar zijn wachtwoord over de mail stuurt volledig in het "boeit mij dat wat" extreem, en dat is net zo onverstandig als een Fort Knox beleid. Bovendien kan het, afhankelijk van wat voor gegevens jullie mee werken, illegaal zijn.

Je hebt echt helemaal gelijk. Wij als IT afdeling hameren er ook elke keer weer op. Maar in veel wat kleinere organisaties luistert men niet echt tot er iets foutgaat. Deze werkgever is daar helaas echt niet uniek in.

KillerAce_NL schreef op vrijdag 27 maart 2015 @ 14:18:
Ik kan me dus echt wel voorstellen dat een helpdesker naar de login vraagt.

Ik niet. En dat heeft niks met SSO te maken. Ik heb zelf ook een paar jaar onsite gedaan. Bevoegdheden waren gescheiden, ik had een lokaal admin account voor de PC's en meer niet, om een password te resetten moest ik zelf ook de helpdesk bellen. Maar dat gebeurde in de praktijk vrijwel nooit.

Ik maakte een afspraak met de gebruiker en vertelde vooraf dat ik verwachtte dat ze erbij bleven om eventuele vragen te beantwoorden en hun password in te voeren als het nodig was.
De meeste gebruikers snapten dat. Passwords zijn nu eenmaal vertrouwelijk. In de praktijk ging dat meestal soepel: Gebruiker ging verder met werk waar geen computer bij nodig was of haalde even koffie.

Af en toe was er eentje die daar echt geen tijd voor had. Vrijwel iedereen stelt dan zelf voor om hun password voor mij op een briefje te schrijven of ze geven het aan een directe collega. Heeft nooit problemen opgeleverd.

Als IT'er moet je laten zien dat een password vertrouwelijke informatie is. Als mensen je ermee vertrouwen dan is dat prima maar je zou er nooit zelf naar moeten vragen.

Snap ik helemaal, maar dat is een persoonlijke ervaring. Stel je er voor open dat het niet overal zo gaat als in je eigen ervaring. Daarom zeg ik ook, kom van die moral high-ground af...
Ben zelf sys-admin en doe het ook 99,9% zonder user password. Heel soms moet ik toch echt hun login gebruiken, maar dan reset ik meestal. Alleen noobs die zelfs al het veranderen van password te moeilijk vinden, géven me hun password zelf al.....
Stel je toch eens voor, mijn probleem wordt voor me opgelost, maar dan moet ik wel zelf weer een nieuw wachtwoord bedenken....pff wat een moeite...


Ik snap het hele verhaal wel, zeker als je een stapje lager werkt en je hebt constant die user-pressure. Dan is het soms toch écht makkelijker om even gauw-gauw met user password wat te doen.

downtime schreef op maandag 23 maart 2015 @ 15:53:
Dito met die beheerder die passwords in een encrypted RAR file bijhoudt. Gefeliciteerd, elke poging om gebruikers aan te spreken op misbruik van IT-middelen of iets dergelijks kan nu afgewimpeld worden met een verwijziging naar dat bestand. Nee, ik heb niks gedaan, maar de beheerder zal het wel gedaan hebben want die heeft van iedereen het password en zal dat wel misbruikt hebben.

Vandaag hier toch weer profijt van gehad. Vanwege de stroomstoring zijn een paar processen die internet nodig hebben gestopt met werken. Die had een bepaalde gebruiker deze aangezet zodat ze het hele weekend door konden draaien.

Aangezien deze persoon van wie die processen zijn een lang weekend vakantie had, heb ik dus onder zijn gebruiker in moeten loggen om de processen opnieuw te starten. Iemand die vakantie heeft hoor je niet te storen, dus heb hem dan ook niet gestoord. Het van dienst zijn van een gebruiker zodat hij dinsdag gewoon verder kan werken vinden wij nog steeds belangrijker.

downtime schreef op vrijdag 27 maart 2015 @ 17:40:
[...]
In de praktijk ging dat meestal soepel: Gebruiker ging verder met werk waar geen computer bij nodig was of haalde even 2 koffie.

Zo.... FTFY

Ik heb even gewerkt als systeembeheerder voor een vakantiejob en toen ik het wachtwoord van een gebruiker moest hebben omdat ik anders niets kon doen (het gebeurde helaas), dan stelde ik voor dat ik het wachtwoord even ging aanpassen. Achteraf vroeg ik dan het wachtwoord opnieuw te wijzigen.

Vragen achter wachtwoorden zou ik zelf nooit doen.

Onbekend schreef op vrijdag 27 maart 2015 @ 18:12:
Aangezien deze persoon van wie die processen zijn een lang weekend vakantie had, heb ik dus onder zijn gebruiker in moeten loggen om de processen opnieuw te starten. Iemand die vakantie heeft hoor je niet te storen, dus heb hem dan ook niet gestoord. Het van dienst zijn van een gebruiker zodat hij dinsdag gewoon verder kan werken vinden wij nog steeds belangrijker.

En dat kan je niet zonder user-password? "su" is hiervoor uitgevonden, mocht het een Windows-omgeving zijn dan bestaat daar vast een equivalent voor.

RemcoDelft schreef op vrijdag 27 maart 2015 @ 18:45:
[...]

En dat kan je niet zonder user-password? "su" is hiervoor uitgevonden, mocht het een Windows-omgeving zijn dan bestaat daar vast een equivalent voor.

Die is er ook, 'run as', maar Administrator is minder dan root, voor Run As heb je gewoon het wachtwoord van die gebruiker nodig...

Het ging om een Windowsomgeving en dan om een programma met een user-interface. Dus eerst netjes afsluiten om de geopende en aangevulde bestanden te bewaren, en dan opnieuw starten. En natuurlijk start ik dat programma niet onder adminrechten maar gewoon onder de rechten van diezelfde gebruiker.

Ik vraag me toch af... hoe doen ze dat bij Shell, ING, AEGON, de Rijksoverheid en noem maar op? Houden ze daar ook spreadsheets bij met wachtwoorden van de gebruikers? Want daar zullen ze toch ook wel eens een door een gebruiker (die al dan niet op vakantie is) opgestart proces moeten killen of iets onder zijn of haar user name moeten testen?

Onbekend schreef op vrijdag 27 maart 2015 @ 18:12:
[...]

Vandaag hier toch weer profijt van gehad. Vanwege de stroomstoring zijn een paar processen die internet nodig hebben gestopt met werken. Die had een bepaalde gebruiker deze aangezet zodat ze het hele weekend door konden draaien.

Aangezien deze persoon van wie die processen zijn een lang weekend vakantie had, heb ik dus onder zijn gebruiker in moeten loggen om de processen opnieuw te starten. Iemand die vakantie heeft hoor je niet te storen, dus heb hem dan ook niet gestoord. Het van dienst zijn van een gebruiker zodat hij dinsdag gewoon verder kan werken vinden wij nog steeds belangrijker.

Het is natuurlijk jouw functie, jouw verantwoordelijkheid en jouw pakkie aan om dat zo op te lossen. Prima, het is niet mijn plaats om zo'n specifieke zaak te bekritiseren. Wat ik wel kan zeggen is dat jouw voorbeeld weinig waarde heeft binnen de discussie van dit topic.Dat jij het op deze manier goed oplost (voor de gebruiker) toont namelijk niet aan dat het onder een verstandiger security beleid niet opgelost had kunnen worden.. Daar zijn wel degelijk manieren voor te bedenken.

Om maar een simpel voorbeeld te noemen: een typische beheerder in een typisch bedrijf die met deze situatie wordt geconfronteerd, had de gebruiker zijn wachtwoord tijdelijk kunnen aanpassen om in zijn account te komen. Dan had de gebruiker bij terugkomst het minimale ongemak gehad dat hij het wachtwoord even opnieuw moest instellen bij de volgende login.

Dat dat ongemak een beetje tijd en energie en dus geld kost zal ik direct toegeven. Zoals echter gezegd in mijn vorige post: een security beleid is altijd een balans tussen veiligheid en werkbaarheid. In dit geval zou je een minimale prijs aan werkbaarheid betalen voor een grote vermindering van risico. Dat is dus de moeite waard, om dezelfde reden dat bedrijven bepaalde verzekeringen afsluiten omdat de risicovermindering opweegt tegen de extra kosten. Maar misschien ligt die balans in jouw bedrijf wel anders.

Een veelgehoorde kreet is overigens dat men de ICT niet om de ICT moet doen, maar zijn rol moet kennen als ondersteunende dienst aan de gebruikers. Dat is bijna correct: de ICT staat uiteindelijk niet in dienst van de gebruikers, maar van het bedrijf. Meestal liggen die doelen natuurlijk op 1 lijn. Maar op het moment dat het leveren van extra gemak aan de gebruikers een nadelig netto effect heeft voor het bedrijf (en risicoverhoging valt daaronder ook als er dit keer niets misgaat!) schiet je je doel voorbij.

[ Voor 18% gewijzigd door Antique op 27-03-2015 20:58 ]

Koos Werkloos schreef op vrijdag 27 maart 2015 @ 20:23:
Ik vraag me toch af... hoe doen ze dat bij Shell, ING, AEGON, de Rijksoverheid en noem maar op? Houden ze daar ook spreadsheets bij met wachtwoorden van de gebruikers? Want daar zullen ze toch ook wel eens een door een gebruiker (die al dan niet op vakantie is) opgestart proces moeten killen of iets onder zijn of haar user name moeten testen?

Ik werk bij een bedrijf wat ook wel in dat rijtje past, en heb jaren geleden bij een ander bedrijf gewerkt wat er ook in past, en mijn ervaring is: No way, geen denken aan, not in your wildest dreams. Ik weet niet of je bij ons ontslagen wordt voor het bijhouden van zulke lijsten, we ontslaan mensen niet zo snel, maar er zal zeker een goed gesprek volgen.

Gebruikers starten geen (belangrijke) processen. Die draaien onder applicatieve accounts die specifiek voor dat ene proces zijn. En die passwords liggen bij een beheerder.
En aangezien er normaal gesproken niks belangrijks draait onder de username van een gebruiker is er ook geen behoefte om iets met passwords van die gebruiker te doen. Dat kan best wachten tot hij/zij terug is van vakantie.

Natuurlijk gaat er overal waar gewerkt wordt wel eens wat fout maar er wordt wel op gestuurd om bedrijfsprocessen en de persoonlijke zaken van een medewerker gescheiden te houden zodat we niet afhankelijk van die ene medewerker zijn.

Dit is niet normaal des noods maak je een nieuw account aan en geef je dat wachtwoord nooit je persoonlijk wachtwoord weg geven.

Majesty schreef op vrijdag 27 maart 2015 @ 09:41:
[...]


Dat de IT medewerker gefrustreerd reageerde is natuurlijk niet juist, maar een beetje inleving in zijn situatie (niet vertrouwd worden met het wachtwoord en de reden proberen te begrijpen waarom dit wachtwoord nodig is) lijkt me ook wel op zijn plaats.

Moest het even laten bezinken maar niet vertrouwd worden met een wachtwoord is in dit topic toch wel het vreemdste/slechtste excuus (en dan druk ik me nog heel netjes uit) om van een gebruiker het wachtwoord te vragen.
In ieder geval een mooi excuus voor social engineering, je kunt mij rustig je wachtwoord, pincode of wat dan ook geven. Dat is echt waar volledig vertrouwd want ik tik het meteen in (schrijf het niet op op echt papier, tik het niet in op notepad) en over vijf minuten ben ik het echt waar vergeten. Heb je die mooie blauwe ogen van mijn nog niet gezien?
Dit soort inleving is wat mij betreft totaal misplaatst.

Voor wat betreft social engineering wat al een aantal keren voorbij gekomen is in dit topic is het een aanrader om het boek "de kunst van het misleiden" van Kevin Mitnick eens te lezen.

[ Voor 8% gewijzigd door ninjazx9r98 op 28-03-2015 09:22 . Reden: Opmerking over boek Kevin Mitnick toegevoegd ]

ninjazx9r98 schreef op zaterdag 28 maart 2015 @ 08:58:
[...]

Moest het even laten bezinken maar niet vertrouwd worden met een wachtwoord is in dit topic toch wel het vreemdste/slechtste excuus (en dan druk ik me nog heel netjes uit) om van een gebruiker het wachtwoord te vragen.
In ieder geval een mooi excuus voor social engineering, je kunt mij rustig je wachtwoord, pincode of wat dan ook geven. Dat is echt waar volledig vertrouwd want ik tik het meteen in (schrijf het niet op op echt papier, tik het niet in op notepad) en over vijf minuten ben ik het echt waar vergeten. Heb je die mooie blauwe ogen van mijn nog niet gezien?
Dit soort inleving is wat mij betreft totaal misplaatst.

Voor wat betreft social engineering wat al een aantal keren voorbij gekomen is in dit topic is het een aanrader om het boek "de kunst van het misleiden" van Kevin Mitnick eens te lezen.

Niet vertrouwd worden met het wachtwoord is toch niet het excuus om het wachtwoord te vragen? Ik vind het een vreemde beredenering.
Het ging mij om de reden waarom deze man gefrustreerd reageerde. We kunnen wel allemaal de moraalridder uithangen en zeggen dat die man niet juist reageerde, maar ik kan me in ieder geval wel in zijn situatie inleven. Druk bezig met allerlei andere dingen en 'even snel' de inloggegevens nodig om het zo snel mogelijk te regelen, waarop een medewerker dan achterdochtig reageert etc. terwijl er totaal geen intentie is om buiten het instellen van de telefoon iets met de gegevens te doen.

Natuurlijk, ik praat zijn gedrag niet goed, maar het gehalte 'dat zou ik nou nooooit doen' of 'zo zou ik nou nooooit reageren' reacties in dit topic ligt nogal hoog in mijn ogen, we're all human after all.

Als dat niet het excuus is, waarom noem je het dan als argument om je in te leven in zijn situatie?
Wat je daar bijna letterlijk zegt is dat er geen gevaar is om het wachtwoord af te geven want de bewuste systeembeheerder gaat toch niet met dat wachtwoord vertrouwd raken (en kan het dus ook niet zonder meer reproduceren)
Of je moet iets heel anders bedoelen maar dat kan ik er niet uithalen zoals het er nu staat.
Ik kan me er overigens niets bij voorstellen dat iemand gefrustreerd reageert, het is (zeer) onprofessioneel en als allerlei dingen waar hij druk mee bezig is belangrijker zijn dan een fatsoenlijk security beleid is er iets mis met het stellen van prioriteiten.
Ook die intentie is weer een vreemd/slecht excuus, hoe kan een gebruiker nu ruiken of iemand die naar een wachtwoord vraagt goede of slechte intenties heeft?

Dat het gehalte van bepaalde reacties nogal hoog ligt in dit topic geeft misschien wel te denken (of zou dat moeten doen?) dat het laks omgaan met dit soort zaken niet zo vanzelfsprekend is of beter gezegd hoort te zijn in tegenstelling tot het lage gehalte van de reacties die dat nu juist verdedigen en/of goed praten

Nu zit ik overigens al geruime tijd niet in de situatie dat ik op een dergelijk manier met wachtwoorden te maken heb maar zoals ik eerder al aangaf levert het bij ons een security incident op en gaat je kop er spreekwoordelijk vanaf.
Thuis op de bank zitten alleen vanwege "we're human after all" is ook niet zo heel handig.

[ Voor 18% gewijzigd door ninjazx9r98 op 28-03-2015 11:45 . Reden: Meerdere typo's ]

ninjazx9r98 schreef op zaterdag 28 maart 2015 @ 11:32:
Als dat niet het excuus is, waarom noem je het dan als argument om je in te leven in zijn situatie?
Wat je daar bijna letterlijk zegt is dat er geen gevaar is om het wachtwoord af te geven want de bewuste systeembeheerder gaat toch niet met dat wachtwoord vertrouwd raken (en kan het dus ook niet zonder meer reproduceren)
Of je moet iets heel anders bedoelen maar dat kan ik er niet uithalen zoals het er nu staat.
Ik kan me er overigens niets bij voorstellen dat iemand gefrustreerd reageert, het is (zeer) onprofessioneel en als allerlei dingen waar hij druk mee bezig is belangrijker zijn dan een fatsoenlijk security beleid is er iets mis met het stellen van prioriteiten.
Ook die intentie is weer een vreemd/slecht excuus, hoe kan een gebruiker nu ruiken of iemand die naar een wachtwoord vraagt goede of slechte intenties heeft?

Dat het gehalte van bepaalde reacties nogal hoog ligt in dit topic geeft misschien wel te denken (of zou dat moeten doen?) dat het laks omgaan met dit soort zaken niet zo vanzelfsprekend is of beter gezegd hoort te zijn in tegenstelling tot het lage gehalte van de reacties die dat nu juist verdedigen en/of goed praten

Nu zit ik overigens al geruime tijd niet in de situatie dat ik op een dergelijk manier met wachtwoorden te maken heb maar zoals ik eerder al aangaf levert het bij ons een security incident op en gaat je kop er spreekwoordelijk vanaf.
Thuis op de bank zitten alleen vanwege "we're human after all" is ook niet zo heel handig.

Omdat op die manier een gefrustreerde reactie veroorzaakt zou kunnen worden, om het feit dat de persoon in kwestie het wachtwoord niet aan hem toe vertrouwde. Daarnaast verschilt dat wellicht per werksituatie. Bij het bedrijf waar ik destijds voor werkte (bestaande uit zo'n 150 man) zat de ICT helpdesk op de voorgrond, iedereen kende deze mensen/mij. Als mensen die persoon waaraan zij het wachtwoord zouden overhandigen niet kennen kan ik me voorstellen dat je er anders tegenover staat.

En nogmaals, ik praat zijn gedrag niet goed, ik zeg enkel dat ik me in kan leven.

Zoals ik ook al in een andere post aanhaalde zou ik de situatie zelf anders behandeld hebben:

Daarbij kun je kiezen voor twee opties: de medewerker om het wachtwoord vragen, of het wachtwoord resetten. Wat mij betreft leg je deze twee opties aan de medewerker in kwestie voor en geef je daarbij aan dat het begrijpelijk is als hij/zij het wachtwoord niet af wil geven omdat het ook voor andere doeleinden gebruikt wordt. En meteen toelichten wat de gevolgen zijn van een wachtwoord reset (op bepaalde apparaten opnieuw inloggen bijvoorbeeld).
Wat mij betreft een eenvoudige situatie.

Overigens, dat het gehalte van deze bepaalde reacties zo hoog ligt, ligt in mijn ogen niet aan de door jou geschetste oorzaak .

Antique schreef op vrijdag 27 maart 2015 @ 20:47:
[...]

Om maar een simpel voorbeeld te noemen: een typische beheerder in een typisch bedrijf die met deze situatie wordt geconfronteerd, had de gebruiker zijn wachtwoord tijdelijk kunnen aanpassen om in zijn account te komen. Dan had de gebruiker bij terugkomst het minimale ongemak gehad dat hij het wachtwoord even opnieuw moest instellen bij de volgende login.

Even specifiek, dit is natuurlijk niet zomaar haalbaar:
De gebruiker is een lang weekend weg, password veranderen betekent:
1: geen mail sync meer met mobile device.
2: User lockout -> mobile device synct met verkeerde credentials en zorgt voor account lockout
3: gestart proces loopt vast om account gelockt is
4: User heeft hier niks van meegekregen en ziet als resultaat: geen mailsync het hele weekend, een gelockt account en een afgebroken proces...


Daarom nou lui, kom van je moral high-groudn af en kijk even verder dan je neus lang is. Er zijn echt wel situaties die dit soort zaken nodig maken. Omdat je eenmaal niet in een weekend je security en je werkprocessen veranderd. Zeker als je geen beleidsmaker bent


Dat processen niet in een user context moeten lopen, daar ben ik het helemaal mee eens, daar heb je service accounts voor.

Ik heb onlangs een nieuwe werklaptop gekregen en voor de configuratie/installatie moest ik mijn wachtwoord ook aan IT-Helden doorgeven.

Dit ging echter niet via een papieren process maar via een online tool waarin aangegeven werd voor welke handeling op welk tijdstip dit nodig was.
Na afloop had ik ook de optie om mijn wachtwoord indien gewenst te wijzigen.

Bij andere bedrijven heb ik echter ook vaak post-its met een ww erop gezien die simpelweg op de bijbehorende laptop waren geplakt.

KillerAce_NL schreef op zaterdag 28 maart 2015 @ 13:36:
[...]

Even specifiek, dit is natuurlijk niet zomaar haalbaar:
De gebruiker is een lang weekend weg, password veranderen betekent:
1: geen mail sync meer met mobile device.
2: User lockout -> mobile device synct met verkeerde credentials en zorgt voor account lockout
3: gestart proces loopt vast om account gelockt is
4: User heeft hier niks van meegekregen en ziet als resultaat: geen mailsync het hele weekend, een gelockt account en een afgebroken proces...


Daarom nou lui, kom van je moral high-groudn af en kijk even verder dan je neus lang is. Er zijn echt wel situaties die dit soort zaken nodig maken. Omdat je eenmaal niet in een weekend je security en je werkprocessen veranderd. Zeker als je geen beleidsmaker bent


Dat processen niet in een user context moeten lopen, daar ben ik het helemaal mee eens, daar heb je service accounts voor.

Ik ben het er wel mee eens dat voorstanders van een ongenuanceerd Fort Knox beleid "security moraalridders" genoemd worden. Aan de andere kant zijn voorstanders van een ongenuanceerd zo-min-mogelijk-moeite beleid "lekker makkelijk moraalridders". Beide houdingen zijn uiteindelijk nadelig voor je business zoals beargumenteerd in mijn vorige reacties.

Ondanks dat jij sommige mensen terecht kunt verwijten de "moral high ground" te bezetten wat betreft security, kunnen zij dat evengoed doen bij jou: je posts roemen voortdurend de voordelen van een laconiek beleid, maar de nuance ontbreekt aangezien er geen afweging wordt gemaakt tegen de kosten van een té laconiek beleid. Zo'n houding staat een fatsoenlijke analyse net zo goed in de weg.

KillerAce_NL schreef op zaterdag 28 maart 2015 @ 13:36:
[...]

Even specifiek, dit is natuurlijk niet zomaar haalbaar:
De gebruiker is een lang weekend weg, password veranderen betekent:
1: geen mail sync meer met mobile device.
2: User lockout -> mobile device synct met verkeerde credentials en zorgt voor account lockout
3: gestart proces loopt vast om account gelockt is
4: User heeft hier niks van meegekregen en ziet als resultaat: geen mailsync het hele weekend, een gelockt account en een afgebroken proces...

En als die medewerker dan weer op zijn werk komt, dan kan hij dat toch allemaal binnen no-time weer recht (laten) zetten? Ik zie het probleem niet. Ja, het is misschien even verwarrend, maar binnen een paar minuten werkt alles weer.

Daarom nou lui, kom van je moral high-groudn af en kijk even verder dan je neus lang is. Er zijn echt wel situaties die dit soort zaken nodig maken. Omdat je eenmaal niet in een weekend je security en je werkprocessen veranderd. Zeker als je geen beleidsmaker bent

Dan moet je alles zo inrichten dat dat niet nodig is. Grote bedrijven en overheidsorganisaties registreren ook niet de wachtwoorden van hun gebruikers en ook daar is weleens een medewerker er even tussen uit of zo.

Antique schreef op zaterdag 28 maart 2015 @ 13:45:
[...]

Ik ben het er wel mee eens dat voorstanders van een ongenuanceerd Fort Knox beleid "security moraalridders" genoemd worden. Aan de andere kant zijn voorstanders van een ongenuanceerd zo-min-mogelijk-moeite beleid "lekker makkelijk moraalridders". Beide houdingen zijn uiteindelijk nadelig voor je business zoals beargumenteerd in mijn vorige reacties.

Ondanks dat jij sommige mensen terecht kunt verwijten de "moral high ground" te bezetten wat betreft security, kunnen zij dat evengoed doen bij jou: je posts roemen voortdurend de voordelen van een laconiek beleid, maar de nuance ontbreekt aangezien er geen afweging wordt gemaakt tegen de kosten van een té laconiek beleid. Zo'n houding staat een fatsoenlijke analyse net zo goed in de weg.

Nou nee hoor, als je de moeite had genomen om mijn posts daadwerkelijk te lezen, dan zie dat ik geen voordelen benoem maar slechts situaties beschrijf waarin iets voor kan komen.


Zelf ben ik helemaal niet van het laconieke

In dit geval waarbij de vriendin een arts is en dus ook haar eigen beroepsgeheim heeft is dit natuurlijk not-done. Tijd voor een fikse waarschuwing voor iemand...

Als het een ander bedrijf is, en het gaat om een werktelefoon/laptop/pc. Dan zal er sowieso een work-only wachtwoord ingesteld kunnen worden en hier geen privé zaken op doen. Voor jouw werk zal een collega ook bij jouw werkgegevens moeten kunnen komen als je onder de bus ligt.

Hiervoor zullen de meeste bedrijven wel een officieel password-reset vragen en niet enkel een lijstje met wachtwoorden van iemand opvragen.

Ik ben zelf systeembeheerder en vraag regelmatig wachtwoorden van gebruikers. Maar als iemand aangeeft het wachtwoord niet te willen geven dan doe ik daar niet moeilijk over, dan mag die persoon zelf erbij blijven zitten en steeds als dat nodig is zijn/haar wachtwoord invoeren. Is lastiger voor hem/haar en voor mij maar eigenlijk wel beter.

Ik heb uiteraard een NDA en een Code of Ethics ondertekend en heb gewoon zelf al de instelling dat ik niet in iemands gegevens ga zitten neuzen tenzij dat nodig is voor de uitvoering van mijn werk. En mijn collega's vertrouwen mij - mede omdat ik dat vertrouwen nooit heb beschadigd. Ik ben bijvoorbeeld soms wel dingen tegengekomen die niet door de beugel konden (porno, warez, hele MP3-collecties, etc., die ik dan voornamelijk tegenkwam wanneer ik een computer verving met behoud van data) maar heb dat nooit met naam en toenaam aan de grote klok gehangen; gewoon de gebruiker vriendelijk gevraagd om dat te verwijderen en niet meer te doen.

Maar ik kan me zeker voorstellen dat een arts veel voorzichtiger moet zijn met dat soort dingen t.o.v. een (waarschijnlijk ingehuurde) IT-er, dan een inspecteur/auditor t.o.v. zijn IT-er die bij het zelfde bedrijf in vaste loondienst is, niet in het minst vanwege de veel meer privacygevoelige gegevens (waar zelfs wettelijk een geheimhouding op rust) die een arts heeft opgeslagen.

De geïrriteerde houding van die IT-er kan ik dus ook totaal niet begrijpen. Hij zou juist begrip moeten tonen voor de extreme confidentialiteit van de gegevens en de arts in kwestie een compliment moeten geven dat zij zo bewust met dataveiligheidsrisico's omgaat!

Heeft de TS nog een vervolg van dit incident? Hoe is het nu afgelopen?

Mx. Alba schreef op dinsdag 07 april 2015 @ 15:57:
Ik ben bijvoorbeeld soms wel dingen tegengekomen die niet door de beugel konden (porno, warez, hele MP3-collecties, etc., die ik dan voornamelijk tegenkwam wanneer ik een computer verving met behoud van data) maar heb dat nooit met naam en toenaam aan de grote klok gehangen; gewoon de gebruiker vriendelijk gevraagd om dat te verwijderen en niet meer te doen.

Ik heb nooit begrepen waarom mensen dat op hun werkcomputer gaan zetten... Tien jaar geleden, ok. Toen waren de thuisinternetverbindingen meestal niet zo snel als op het werk. Maar tegenwoordig is een gemiddelde huislijntje qua downloadsnelheid beter dan op het werk. En iedereen heeft wel een pc thuis...

Waarom dan zulke dingen met de pc van het werk doen? En zelfs al is het een laptop... Een werklaptop is toch niet zo mooi als die van jouw prive?

Tevens... waarom zal je werkwachtwoord niet willen geven? het is toch nooit hetzelfde als de wachtwoord die je prive gebruikt? Toch, toch?

[ Voor 6% gewijzigd door kmf op 07-04-2015 16:18 ]

kmf schreef op dinsdag 07 april 2015 @ 16:17:
... waarom zal je werkwachtwoord niet willen geven? ...

Daarvoor zijn op zich toch wel een paar goede redenen langsgekomen in dit topic.

Mx. Alba schreef op dinsdag 07 april 2015 @ 15:57:
Ik ben zelf systeembeheerder en vraag regelmatig wachtwoorden van gebruikers. Maar als iemand aangeeft het wachtwoord niet te willen geven dan doe ik daar niet moeilijk over, dan mag die persoon zelf erbij blijven zitten en steeds als dat nodig is zijn/haar wachtwoord invoeren. Is lastiger voor hem/haar en voor mij maar eigenlijk wel beter.

Goed, dus je ziet zelf ook wel in dat het vragen naar wachtwoorden eigenlijk niet hoort.

Overigens, gebruikers kunnen zich hier erg ongemakkelijk bij voelen: ook al geven ze hun wachtwoord, dat kan heel goed komen doordat ze het moeilijk vinden om te weigeren.

begintmeta schreef op dinsdag 07 april 2015 @ 16:21:
[...]

Daarvoor zijn op zich toch wel een paar goede redenen langsgekomen in dit topic.

Selective quote...

punt van mijn verhaal was: hou werk van prive gescheiden. Dus werkwachtwoord vs privewachtwoord. Dan kan je je
werkwachtwoord altijd wel afgeven..

kmf schreef op dinsdag 07 april 2015 @ 16:24:
[...]


Selective quote...

punt van mijn verhaal was: hou werk van prive gescheiden. Dus werkwachtwoord vs privewachtwoord. Dan kan je je
werkwachtwoord altijd wel afgeven..

Maakt niet uit. Een wachtwoord hoor je gewoon niet af te geven.

Een wachtwoord, in computerjargon ook wel paswoord of password,[1][2] is een geheim woord dat aan degene die het kent toegang verschaft tot een locatie of tot informatie. In de ICT is het normaliter gekoppeld aan een gebruikersnaam, die identificeert wie er toegang krijgt. De gebruikersnaam is meestal openbaar, het wachtwoord is geheim.

Wikipedia: Wachtwoord

kmf schreef op dinsdag 07 april 2015 @ 16:24:
... Dan kan je je werkwachtwoord altijd wel afgeven..

Dat lijkt me toch niet zo (redenen zijn al in het topic langsgekomen zoals eerder gepost). Daarboven is het afgeven van wachtwoorden toch sowieso niet snel noodzakelijk, ik kan ook nogsteeds geen echt goede reden verzinnen het te doen..

[ Voor 23% gewijzigd door begintmeta op 07-04-2015 16:30 ]

kmf schreef op dinsdag 07 april 2015 @ 16:24:
Selective quote...

punt van mijn verhaal was: hou werk van prive gescheiden. Dus werkwachtwoord vs privewachtwoord. Dan kan je je
werkwachtwoord altijd wel afgeven..

Need to know. Een gemiddelde IT'er van een bedrijf heeft niks met de vertrouwelijke data te maken waar andere werknemers bij datzelfde bedrijf misschien mee werken. Zeker in een ziekenhuis geldt dat.
En nee... Bij een wat groter bedrijf is het niet normaal dat een IT'er "toch overal bij kan" want dat is vaak niet zo. Alleen de mensen die het echt nodig hebben kunnen overal bij.

downtime schreef op dinsdag 07 april 2015 @ 16:37:
...Alleen de mensen die het echt nodig hebben kunnen overal bij.

Ofwel niemand lijkt me.

begintmeta schreef op dinsdag 07 april 2015 @ 16:38:
Ofwel niemand lijkt me.

Klopt.

kmf schreef op dinsdag 07 april 2015 @ 16:24:
[...]


Selective quote...

punt van mijn verhaal was: hou werk van prive gescheiden. Dus werkwachtwoord vs privewachtwoord. Dan kan je je werkwachtwoord altijd wel afgeven..

Mijn collega die bij de OR zit en nog wel eens te maken heeft met advies aanvragen (die uiteraard ook kunnen gaan over de toekomst van systeembeheerders) is het niet met je eens.

Een wachtwoord hoor je niet af te geven aan iemand anders. Dat is de theorie. De praktijk is helaas wat anders. Er zijn genoeg situaties waarin het gewoon de support een stuk sneller en efficiënter maakt als de gebruiker even zijn wachtwoord geeft aan de IT-er. Natuurlijk zou het "beter" zijn om dat niet te doen maar dan duurt vaak het werk dat de IT-er doet langer en wordt de gebruiker ook langer van zijn werk gehouden.

Ik schrijf van die wachtwoorden dan altijd op een klein papiertje en als ik ermee klaar ben gaat dat papiertje in de shredder en raad ik de gebruiker aan zijn wachtwoord te wijzigen.

Kijk, als IT-er kan ik toch wel als elke willekeurige user in een stuk of 20 landen inloggen door het wachtwoord te resetten. Dat de user mij zijn wachtwoord geeft is dus geen groot beveiligingsprobleem. Ik onthoud het wachtwoord toch niet (daar heb ik een soort buffergeheugen en ik vergeet ze gewoon echt na een korte tijd) en een eventueel papiertje waar het op staat gaat in de shredder.

Worden mondelinge doorgiftes van wachtwoorden bij jullie even goed (of slecht) gelogd als wachtwoordresets?

Mx. Alba schreef op dinsdag 07 april 2015 @ 18:29:
...
Er zijn genoeg situaties waarin het gewoon de support een stuk sneller en efficiënter maakt als de gebruiker even zijn wachtwoord geeft aan de IT-er.
...
Kijk, als IT-er kan ik toch wel als elke willekeurige user in een stuk of 20 landen inloggen door het wachtwoord te resetten.
...

Weer dezelfde non-argumenten. Ja, ik geloof best dat het 'sneller' en 'efficiënter' (lees: 'makkelijker' - dus niet nodig) is om het wachtwoord van de gebruiker op te vragen en dat dan te gebruiken. Maar het is juist die houding waardoor het zo vaak misgaat. Vaak gaat iets fout omdat iemand voor het gemak de regels en / of zijn gezonde verstand aan de kant zet.

En dat je overal in kan door het wachtwoord te resetten... Als je toch overal in kan, waarom heb je dan iemands wachtwoord nodig? En hoe weet ik dat degene die om mijn wachtwoord vraag overal in kan? Alle kans dat ik hem zo ergens bij laat komen waar hij helemaal niet bij mag komen. Bovendien, als je iemands wachtwoord reset, dan merkt de gebruiker dat omdat hij ineens niet meer in kan loggen en wordt ook gelogd dat jij iemands wachtwoord hebt gereset.

En sowieso: als zich een situatie voordoet waardoor je iemands wachtwoord 'nodig' hebt, dan is er iets niet goed geregeld. Bij grote professionele bedrijven zijn ook zo vaak allerlei (complexe) incidenten. Daar gaat de user support echt niet om wachtwoorden vragen...

En weer redeneer je volledig correct vanuit de theorie. De praktijk is een heel andere wereld...

Ik redeneer helemaal niet vanuit de theorie, ik onderbouw nou juist waarom jouw argumenten niet kloppen. Als jij voor je werk wachtwoorden van andere gebruikers 'nodig' hebt, dan moet je of aan de bel trekken of gewoon wat geduldiger zijn. Want wat je doet klopt gewoon niet. Vergeet ook niet dat dit naar de buitenwereld toe vraagtekens oproept.

Het is ook een stukje bewustwording en een goede gewoonte om je gewoon consistent aan dergelijke regels te houden. Net zoals dat je je laptop altijd aan een kabelslot hangt, je laptop vergrendelt als je even naar de wc gaat, je papieren na je werkdag opruimt, etc.

Stel dan dat ik een mobile device wil configureren voor een user. Dan moet ik eerst zijn Apple ID resetten, vervolgens zijn LDAP account resetten - en dan vier uur wachten tot die reset door alle systemen heen gesynchroniseerd is, terwijl de user niet meer kan inloggen op allerlei centrale systemen. Vervolgens kan ik zijn iPad of iPhone instellen en aan hem overhandigen met de vraag of hij zijn wachtwoorden weer wijzigt - waarna hij weer 4 uur lang problemen heeft met verschillende centrale systemen en na niet nader te bepalen tijd ook op twee verschillende plekken dat nieuwe wachtwoord op zijn net nieuwe iDevice moet invullen. Het hebben van zowel een iPhone als een iPad van de zaak is geen uitzondering meer tegenwoordig dus gedurende die tijd ligt het andere mobile device er ook uit en ook daar moet de user dan uiteindelijk op twee plekken dat nieuwe wachtwoord invoeren. Plus ook nog zijn nieuwe Apple ID wachtwoord.

Huidige systeem: user geeft mij zijn (zakelijke) Apple ID wachtwoord en LDAP wachtwoord en ik kan in alle rust het iDevice voor hem klaarmaken zonder dat zijn werk beïnvloed wordt, en het nieuwe device volledig werkend en geconfigureerd aan hem overhandigen.

Waarom die 4 uur lag? Het centrale LDAP systeem bevat een kleine 100.000 accounts. Vele tientallen applicaties op servers van Buffalo en Rio de Janeiro via Manchester, Nantes en Noida tot Sydney, Hong Kong en Tokyo maken er gebruik van. De systemen die nodig zijn voor mobile email zijn gedistribueerd in Frankrijk en de VS dus aan beide zijden van de ploemp moet het zelfde wachtwoord in de LDAP staan en dat kan tot 4 uur duren...

[ Voor 33% gewijzigd door Mx. Alba op 07-04-2015 19:55 ]

Ik snap heel veel argumenten hier waarom het zo verdomd makkelijk is om de gebruiker het wachtwoord te vragen, maar bedenk ook dat je een heel erg verkeerd signaal afgeeft en dat is dat een ww dus niet persoonlijk en vertrouwelijk is maar dat je dat aan iedereen kan geven. De risico's daarvan zijn zeer groot, en moet je niet willen. Voor wat betreft het genoemde I device gebruik het moment met de gebruiker om deze wegwijs te maken, uitleg te geven en vragen te beantwoorden. Misschien helpt die opvoeding en worden de ondersteuningsvragen minder.
Andere kant van het verhaal is ook, waarom moet er op ieder ding een ww etc bedenk het nut en de keerzijde ervan. Want te veel ww leidt tot workarounds en meestal niet tot meer security.

@Albantar:

Tsja, dat is best irritant. Maar denk je dat ze bij grote professionele organisaties waar ze nooit om wachtwoorden vragen geen mobile devices gebruiken? Ik zou je toch echt aanraden een proces te bedenken waardoor de gebruiker zijn wachtwoord niet hoeft af te staan, maar wel snel aan de slag kan met zijn mobile device.

[ Voor 37% gewijzigd door Koos Werkloos op 07-04-2015 19:58 ]

Dat is best irritant? Als ik het op die manier zou doen dan kunnen users met een beetje pech een dag lang niet normaal werken omdat hun wachtwoord op allerlei centrale applicaties (waaronder de VPN) twee keer veranderd wordt, telkens met een lag van tot 4 uur.

Vorige week nog was een directeur zijn iPhone kwijt. Hij gaf me zijn Apple ID en LDAP wachtwoord en een paar uur later kon ik hem een nieuwe iPhone overhandigen, volledig geconfigureerd en met herstelde iCloud backup. Op een "correcte" manier zou het minstens een dag duren en met disrupties voor die directeur op allerlei centrale applicaties.

Wat stel je dan allemaal in op die telefoon dat het 'een paar uur' moet duren? Want e-mail in laten stellen (e-mailadres en wachtwoord ingeven) kun je een baviaan nog wel uitleggen, dus iemand die een grote multinational runt zou dat ook moeten kunnen lijkt me?

Daar gebruiken ze bring your own of krijg je een goede handleiding en mag je het zelf verder uitzoeken. WW afgeven vindt ik zo not done. Wees echter wel realisties in het rechten systeem.
Heb zelf in het verleden als Security Manager een mooie discussie gehad over het toegangscontrole systeem hogere manager vond dat wij niet alle rechten mochten hebben, heb hem toen verteld hoeveel minuten hij dacht dat het zou duren als er een probleem was en er niemand meer in een kritieke ruimte kon.
Leverancier was trouwens ook fout want ik had het installateurs ww.

Het installeren en configureren van Mobile Iron en de nodige (veiligheids)profielen blijkt toch voor veel users wat te hoog gegrepen. En er wil nog wel eens iets onderweg fout gaan - die fouten (her)ken ik bijna allemaal zodat ik ze snel kan oplossen (of door iemand in Frankrijk of India kan laten oplossen). De gebruiker ziet zo uitstekende service: binnen een paar uur weer mobiel zonder gehannes. En uiteindelijk is dat het werk dat wij doen: ervoor zorgen dat onze users hun werk kunnen doen met zo min mogelijk gehannes.

Mx. Alba schreef op dinsdag 07 april 2015 @ 20:02:
Dat is best irritant? Als ik het op die manier zou doen dan kunnen users met een beetje pech een dag lang niet normaal werken omdat hun wachtwoord op allerlei centrale applicaties (waaronder de VPN) twee keer veranderd wordt, telkens met een lag van tot 4 uur.

Dat begrijp ik toch niet helemaal. Als je gebruikers naar hun wachtwoord vraagt, dan bestaat de kans dat ze het naar het iets tijdelijks veranderen en weer opnieuw veranderen zodra jij hun mobile device teruggeeft. En ja, dan moet er twee keer gesynchroniseerd worden. Beter is het om ze zelf het wachtwoord in te laten voeren en dan vervolgens samen alles te doen, dan hoeven ze helemaal niet het wachtwoord te veranderen en hoeft er maar 0x geschynchroniseerd te worden in plaats van 2x. Het configureren van zo'n device, duurt dat echt uren? Ik kan het me eerlijk gezegd niet voorstellen. Je kan ook aan zo'n gebruiker vragen om over een paar uur terug te komen (nadat alles weer is gesynchroniseerd of zo) en dan het volgende deel van het proces samen uit te voeren.

Een iCloud backup terugzetten duurt inderdaad wel een paar uur. En daarna Mobile Iron en de email configureren (komt nooit goed terug uit de backup). Al met al meerdere keren verschillende wachtwoorden en pincodes nodig. Niet praktisch om dat "samen" te doen want dat kost de user werktijd - en die user verdient het geld als het goed is terwijl ik het bedrijf geld kost. Dus werktijdverlies tot een minimum beperken is een hoofdprioriteit.

Dan zou ik toch maar bij een bedrijf als Shell vragen hoe zij dat doen. Want daar gebruiken ze ook mobile devices, maar daar zullen ze echt nooit om een wachtwoord vragen.

Ik verbaas me over dat Mobile Iron verhaal met lastige installatie en configuratie. Bij ons wordt ook Mobile Iron gebruikt en de hele installatie plus configuratie is nauwelijks anders dan de installatie en configuratie van een Facebook of Twitter app om maar eens wat te noemen.
Gebruikersnaam en wachtwoord, meer is het eigenlijk niet en de verdere configuratie gaat automatisch.
Geen 100.000 werknemers bij ons maar een kleine 20.000 met veel mobiele devices inclusief Mobile Iron en er wordt nooit om een wachtwoord gevraagd.

Overigens lijkt het hier ook weer een kwestie van niet willen in plaats van niet kunnen, pech voor de directeur die z'n device kwijt raakt hij zal moeten wachten net als ieder ander. Een beetje directeur heeft overigens toch wel een secretaresse en wat andere medewerkers om hem heen? Juist bij zo'n functie zou je verwachten dat de impact van het moeten wachten laag is.

Mobile Iron installatie: volledig ellenlang emailadres, servernaam, wachtwoord. En dan 20x op Installeer, OK, Vertrouw, OK, Volgende etc. wat gebruikers in de praktijk vaak wel ergens fout doen omdat je op die enge rode "Vertrouw" moet klikken ipv op "Vertrouw niet".

Met LastPass heb je een functie om tijdelijk een andere gebruiker toegang te verschaffen tot jouw account, zonder dat die persoon zelf het wachtwoord kan bekijken.

Bestaat er niet zoiets, of is er niet zoiets te bedenken, voor IT-beheer? Een soort intern LastPass-systeem waarin je tijdelijk een andere user de mogelijkheid biedt om je account te benaderen?

@Albantar: dat ze bij andere bedrijven wel gewoon die mobile devices kunnen installeren (inclusief Mobile Iron) zonder de gebruiker naar zijn wachtwoord te vragen, toont dus aan dat er bij jouw bedrijf iets niet goed geregeld is of er iets niet goed gedaan wordt of dat men er gemakszuchtig is. Niks theorie, maar gewoon de praktijk dus.

Dat men het bij ons niet goed voor elkaar heeft zou me niets verbazen hoor... Maar ja, daar ga ik niet over, ik gebruik slechts de systemen die mij door het hoofdkantoor ter beschikking worden gesteld.

Het lijkt mij een algemene consensus dat je je wachtwoord nooit af hoort te geven.
Ik kreeg laatst nog een email van mijn werkgever, of ik mijn wachtwoord even kon sturen voor een crm systeem.
Ik zei nee dat gaat niet want die gebruik ik ook voor andere zaken.
Dat snapten ze wel en verder geen gezeur gehad.

Mx. Alba schreef op woensdag 08 april 2015 @ 09:38:
Mobile Iron installatie: volledig ellenlang emailadres, servernaam, wachtwoord. En dan 20x op Installeer, OK, Vertrouw, OK, Volgende etc. wat gebruikers in de praktijk vaak wel ergens fout doen omdat je op die enge rode "Vertrouw" moet klikken ipv op "Vertrouw niet".

Mx. Alba schreef op woensdag 08 april 2015 @ 10:08:
Dat men het bij ons niet goed voor elkaar heeft zou me niets verbazen hoor... Maar ja, daar ga ik niet over, ik gebruik slechts de systemen die mij door het hoofdkantoor ter beschikking worden gesteld.

Denk dat je het antwoord zelf al geeft
Met AD gegevens inloggen op een speciale site, mobiel nummer invullen, op registreren klikken.
SMS ontvangen, link volgen, Mobile Iron installeren.
Servernaam invullen, AD gegevens invullen en mailen maar.
Zitten nog wat kleine stapjes tussen en een automatische encryptie, pagina of 9 instructies inclusief (veel) screenshots laat zich niet vertalen naar een paar zinnen hier.
Wat ingevuld moet worden zijn dezelfde gegevens als bij webmail, tig keer installeren kiezen is er niet bij net als tig keer op vertrouw klikken.

Ja wellicht dat dat perfect werkt als je AD en Exchange gebruikt. Wij gebruiken een eigen LDAP en IBM Domino / Notes.

Ben wel nieuwsgierig hoe de interne/externe IT auditor/Accoutant bij jullie tegen deze 'manier van werken' aankijkt dan. Kan me vooral vinden in de reacties hierboven die de risico's van deze praktijken onderstrepen.
Door afgeven van wachtwoorden door gebruikers loop je (o.a.) een verhoogd risico dat de accountability van accounts (wie heeft welke acties uitgevoerd met de accounts) wegvalt, gezien iig de IT afdeling ook de wachtwoorden (en wie nog meer dan, als dit manier van werken is?) kent van verschillende eindgebruikers.
Vaak is het ook nog als dit soort praktijken worden gedoogd, de kans groot is dat dit ook in andere gevallen dan een IPhone wissel wordt gebruikt gezien de tone-van-de-top uitstraalt dat het wel Ok is. Dat werkt door, door heel de organisatie. Volgens mij zou je dat niet moeten willen, duidelijke regels hiervoor opstelen, en je wachtwoord ten alle tijden persoonlijk houden (waarvoor het ook is bedoeld.

Net zoals overigens Lotus Notes, dat zou je ook niet moeten willen

Long story short: geen wachtwoorden afgeven

Ik werk zelf in IT support. SOMS is het inderdaad handig om een account van een gebruiker te kunnen gebruiken om zaken te testen. Zij hebben rechten op folders waar ik weer niet bijkan, en rechten aanvragen duurt 2 maanden hier. of zij hebben ergens issues waar ik ze niet heb etc.

Maar als een gebruiker nee zecht, dan nodig ik ze gewoon boven uit, en moeten ze er inderdaad maar naast gaan zitten terwijl ik mijn werk op hun account doe, ik zie dat issue niet echt. Het is het één of het ander volgens mij.

overgins is het zowiezo al zeldzaam dat het nodig is op een gebruikers account te werken. en 9/10 keer gaat het om een account voor een applicatie o.i.d. of passen ze even het wachtwoord aan voordat ik erop kan.

[ Voor 17% gewijzigd door themac1983 op 16-04-2015 16:01 ]

Bij ons (3000 werkplekken) wordt er op afstand mee gekeken als er problemen zijn. Als ik merk dat iemand hier een wachtwoord vraagt is dat direct een melding richting security en de manager van die persoon. Ik ken geen enkel probleem wat niet opgelost kan worden door niet mee te kijken of de gebruiker vragen om 5 a 10 minuutjes ernaast te zitten om het wachtwoord in te vullen. Anders krijgen ze die applicatie gewoon niet.

Ik dan neem wel aan dat je niet zomaar kan meekijken.

[ Voor 7% gewijzigd door begintmeta op 16-04-2015 17:56 ]

begintmeta schreef op donderdag 16 april 2015 @ 17:56:
Ik dan neem wel aan dat je niet zomaar kan meekijken.

Vrijwel altijd, in elk geval bij elk bedrijf waar ik gewerkt heb, krijgt de gebruiker eerst een popup te zien met een knop waarmee hij zelf toestemming geeft om mee te kijken. De meeste tools daarvoor laten ook steeds in beeld een reminder staan dat er iemand meekijkt.

jongetje schreef op donderdag 16 april 2015 @ 17:41:
Als ik merk dat iemand hier een wachtwoord vraagt is dat direct een melding richting security en de manager van die persoon.

Moet een fijne werksfeer zijn daar bij jullie.

demichel schreef op vrijdag 17 april 2015 @ 09:48:
[...]


Moet een fijne werksfeer zijn daar bij jullie.

Jahoor (is trouwens nog nooit voorgekomen), ik vind het not done als iemand zo met wachtwoorden van zijn klanten (of collega's) omgaat. We zijn aan de ene kant aan het promoten dat je aan niemand je pincode, wachtwoord e.d. mag geven. En dan gaat vervolgens de beheerafdeling (dat zijn 5 werkplek beheerders en 70 functioneel beheerders!) om je wachtwoord vragen. Slaat in mijn ogen nergens op.

En stel die medewerker geeft zijn wachtwoord en er gebeurd een dag later iets met zijn account. En dan wordt jij aangewezen dat jij het wachtwoord hebt gevraagd en er misbruik van hebt gemaakt? Of informatie hebt ingezien die niet voor je ogen bestemd was via zijn account? Ik wil de schijn al niet tegen me hebben...

Misschien allemaal erg ver voordacht maar hoort gewoon niet. Geef je ook de pincode aan een bankmedewerker om te kijken of je pinpas het echt niet doet?

Een medewerker kan een bepaalde applicatie niet opstarten en belt de helpdesk.

Helpdesk: "Goedemorgen, met de helpdesk."
Medewerker: "Goedemorgen, met Pietje, het lukt me niet de applicatie X op te starten, ik krijg steeds een foutmelding."
Helpdesk: "Dat is heel vervelend voor u meneer. Ik ga het meteen voor u oplossen. Mag ik alstublieft uw wachtwoord?"

Kan je je voorstellen dat die medewerker verbaasd is en zich waarschijnlijk ook een beetje ongemakkelijk voelt? En dat dit de deur opent voor criminelen die medewerkers opbellen, zich voordoen als helpdeskmedewerker en naar wachtwoorden vragen?".

themac1983 schreef op donderdag 16 april 2015 @ 15:59:
SOMS is het inderdaad handig om een account van een gebruiker te kunnen gebruiken om zaken te testen. Zij hebben rechten op folders waar ik weer niet bijkan, en rechten aanvragen duurt 2 maanden hier

Ik neem aan dat er een reden is dat rechten aanvragen lang duurt, en dat jij niet bij alle folders kan! Alle reden dus om geen wachtwoord aan jou te geven.

Inderdaad. Maar zelfs als het "een overdreven bureaucratisch gedoe" zou zijn dan is dat reden te meer om geen wachtwoord te vragen. Immers zal die bureaucratie dan ook risicomijdend zijn en dan is het jouw probleem als er ooit iets gebeurt. Beveiligingsincidenten waar je willens en wetens procedures omzeilt kunnen reden zijn voor ontslag op staande voet en dan geen WW

Koos Werkloos schreef op vrijdag 17 april 2015 @ 12:00:
Een medewerker kan een bepaalde applicatie niet opstarten en belt de helpdesk.

Helpdesk: "Goedemorgen, met de helpdesk."
Medewerker: "Goedemorgen, met Pietje, het lukt me niet de applicatie X op te starten, ik krijg steeds een foutmelding."
Helpdesk: "Dat is heel vervelend voor u meneer. Ik ga het meteen voor u oplossen. Mag ik alstublieft uw wachtwoord?"

Kan je je voorstellen dat die medewerker verbaasd is en zich waarschijnlijk ook een beetje ongemakkelijk voelt? En dat dit de deur opent voor criminelen die medewerkers opbellen, zich voordoen als helpdeskmedewerker en naar wachtwoorden vragen?".

Dát zou zeker niet nodig hoeven zijn. Over het algemeen kijkt de helpdesk remote mee of gaat desnoods langs.
Enige dat bij ons gebeurd is dat sommige van onze ingenieurs nogal digibeet zijn en hun telefoon niet in kunnen stellen en geen zin hebben om er bij te blijven staan. Die geven hun wachtwoord en krijgen een ingestelde telefoon terug. Idem met overzetten van Blackberry naar Windows Phone.
Kunnen gebruikers in theorie zelf maar er lopen hier wat mastodonten rond: geen zin, geen tijd, te ingewikkeld, etc.

jongetje schreef op vrijdag 17 april 2015 @ 09:53:
[...]

Misschien allemaal erg ver voordacht maar hoort gewoon niet. Geef je ook de pincode aan een bankmedewerker om te kijken of je pinpas het echt niet doet?

Ben het er 100% mee eens. En er is nog een ander probleem, stel dat je het beleid voert dat IT medewerkers om wachtwoorden kunnen vragen, hoe leer je je medewerkers dan differentiëren tussen een legitieme IT medewerker en een aanvaller? Het is veel makkelijker (en daarmee minder foutgevoelig) om het beleid in te stellen dat wachtwoorden onder geen enkele omstandigheid gedeeld mogen worden.

Hetzelfde probleem heb je ook met email attachments.

Ik heb het 1 keer aan een gebruiker gevraagd.

We zaten in de migratie van win XP naar Win 7 en diegene had allerlei speciale wensen enz enz. Ze had de hele dag geen tijd (en haar laptop daar ook niet bij nodig) maar aan het eind van de dag moest haar laptop wel weer gesynchroniseerd zijn want ze ging voor een congres naar het buitenland.

Ik heb gezegd, ja het laden van de image duurt ongeveer zo lang en daarna moet er ingelogd worden en wellicht daarna nog 2 keer (weet niet meer precies waarom er gereboot moest worden). Dus u kunt over 2 uur hier weer langskomen uw wachtwoord invullen, dan beginnen we met synchroniseren en dan moet u nog later weer even terugkomen om nog 2 keer te rebooten en het wachtwoord in te vullen.

Dat was mevrouw niet van plan en ze wilde ook niets zelf doen.

Toen heb ik haar de keuze gegeven om het wachtwoord te geven (persoonlijk en dus niet via de telefoon) of dat ze pech had en haar documenten niet gesynchroniseerd had voordat ze de laptop weer op kwam halen. Uiteindelijk heeft ze hem toch maar gegeven...