¿Es aceptable tener una contraseña ofensiva? [cerrado]

En general, las mejores prácticas en seguridad de TI corporativa alientan a los empleados a crear contraseñas únicas y difíciles de adivinar pero fáciles de recordar.

En un sentido general, ¿es aceptable en el lugar de trabajo tener una contraseña (no compartida con otros) que contenga lenguaje ofensivo?

En respuesta al comentario de @enderland, una contraseña podría verse accidentalmente por encima del hombro o, en algunos casos, TI corporativa podría tener acceso al texto de una contraseña y podría sentirse tentado a "soplar" a la gerencia con respecto a la contraseña poco profesional que ellos sierra.

En realidad, puede aumentar la seguridad, ya que será mucho menos probable que escriba o comparta su contraseña si no quiere que sepan que la escribió.
@DavidK, este tipo de contraseñas pueden ser menos seguras, ya que las frases ofensivas/sexuales están bastante bien representadas entre las 500 contraseñas más comunes . Si bien no es excepcionalmente vulgar, "coño" es el #5.
@Erik También es un buen punto. Supongo que es mejor preguntar sobre las implicaciones de seguridad del uso de frases ofensivas en Seguridad de la Información :)
Cualquiera que vea su contraseña es una violación grave de la seguridad y parece significativamente peor que incluso una contraseña extremadamente ofensiva, pero si cree que una palabra ofensiva es difícil de "adivinar", realmente no entiende qué hace que una contraseña sea buena o cómo son las contraseñas. crackeado (no, nunca / muy raramente alguien sentado detrás de una computadora escribe físicamente contraseñas adivinadas). Reemplazar letras con números similares hace que la contraseña sea mucho más difícil de recordar y no mucho más difícil de adivinar.
Es bastante común escribir accidentalmente tanto el nombre de usuario como la contraseña en el campo de nombre de usuario. A menudo esto se registra.
Es posible que desee considerar usar una contraseña con un mensaje más positivo, incluso podría cambiar su vida
Una anécdota (mucho más extrema): el cantante Ian Watkins de la banda galesa Lostprophets fue acusado recientemente y declarado culpable de horrendos delitos de abuso infantil. Como parte de la investigación, descifraron la contraseña de su computadora portátil, que resultó ser increíblemente ofensiva y se usó en su contra al dictar sentencia: nme.com/news/music/lostprophets-33-1245398
Voy a votar para cerrar esta pregunta porque @enderland tiene razón: nadie verá estas contraseñas y a nadie le importará.
Algunos sistemas registran intentos de contraseña incorrectos; por lo tanto, si ocasionalmente escribe mal su contraseña ofensiva, el administrador del sistema puede sentirse parcialmente ofendido cuando revise los registros de intentos fallidos de inicio de sesión.
En defensa de la persona con la contraseña ofensiva, vale la pena señalar que se entiende universalmente que nadie más debe ver su contraseña. Estos datos poco conocidos sobre las contraseñas expuestas al personal en condiciones especiales, posiblemente justificables, son solo eso: no son de conocimiento común. Se prometió un secreto absoluto, por lo que la carga recae en el "escuchador" para justificar su invasión de la privacidad. Si los policías derriban la puerta de mi dormitorio, es su culpa si no les gusta lo que ven.

Respuestas (12)

En un sentido general, ¿es aceptable en el lugar de trabajo tener una contraseña (no compartida con otros) que contenga lenguaje ofensivo?

Claro, es "aceptable".

Dado que (de acuerdo con su suposición original) nadie más debe saber su contraseña, no hay nadie que se sienta ofendido además de usted.

Para reafirmar la pregunta en un sentido más general, ¿los principios de decencia y decoro en el lugar de trabajo triunfan sobre la seguridad de TI si el uso de lenguaje grosero u ofensivo aumentaría la seguridad?

Estoy seguro de que te das cuenta de que estás planteando un falso dilema aquí.

La mayoría de las personas pueden encontrar una contraseña perfectamente segura sin que resulte en un lenguaje infantil, obsceno u ofensivo. Estoy seguro de que tú también podrías si lo intentaras.

Esto podría ayudarlo a decidir: Comercial de Southwest Airlines

una contraseña podría verse accidentalmente por encima del hombro o, en algunos casos, TI corporativa podría tener acceso al texto de una contraseña y podría sentirse tentado a "soplar" a la gerencia con respecto a la contraseña poco profesional que vieron.

Si cambia su suposición de esta manera, entonces estoy seguro de que sabe lo que debería estar haciendo y no hay necesidad de su pregunta.

Conozco a mucha gente de TI que "delataría" si vieran las contraseñas que escribiste originalmente.

¡Ese vídeo es genial!
Probablemente sea una mala práctica tener que compartir tu contraseña en voz alta, pero de todos modos es una anécdota divertida;)
"o, en algunos casos, TI corporativa podría tener acceso al texto de una contraseña" ¿Almacenar contraseñas en texto sin formato? Qué asco.
La mayoría de las contraseñas se almacenan en un hash unidireccional, por lo que la única forma en que TI corporativa lo vería es si tienen registradores de teclas instalados en sus máquinas (realmente territorio de hermano mayor allí), o si tienen sistemas inseguros y también podría usar 'Contraseña '
@BillLeeper Ni siquiera sé si "la mayoría" es precisa, en todos mis trabajos recientes, la mayoría de las contraseñas se almacenaron en un formato recuperable (ya sea encriptado, texto sin formato o algún intento de encriptación). que no, lo que significa que, según mi experiencia, la mayoría de las contraseñas son recuperables.
@JoeStrazzere cualquier técnico de TI que rompiera contraseñas sin una dirección de muy alto nivel debería ser despedido en el acto

Es aceptable? Bueno, eso realmente depende de cómo se mire el problema.

Lo primero es lo primero: se supone que las contraseñas son secretas. Esto significa que otras personas no deberían tener acceso a su contraseña y no deberían poder verla, bla, bla, bla. (Esto ha sido cubierto por las otras respuestas en su mayor parte). Lo que la gente no considera es lo que sucede cuando comete un error (y lo hará). Si estás en el mundo de TI (especialmente desarrollo de software/programación/como sea que te llames a ti mismo como una persona que escribe software para ganarse la vida), por lo general terminas siendo un mecanógrafo. Aprende a escribir rápido, con precisión y sin siquiera mirar la pantalla o el teclado. (De hecho, escribí la mayor parte de esta respuesta mientras leía documentación de Android y Twitter).

Lo que esto significa es que, si bien los errores terminan siendo menos frecuentes en términos de errores por tiempo de tipeo (generalmente con nuestra velocidad ganamos precisión), esto termina generalmente resultando en errores mucho más frecuentes . Es decir: tu error termina explotando extremadamente rápido. No puedo decirle cuántas veces pensé que estaba en una ventana específica (como una ventana de inicio de sesión) para descubrir que estaba escribiendo mi contraseña en un correo electrónico que estaba formulando para un usuario, o en mi campo "nombre de usuario" porque Me perdí la "pestaña". (Incluso envié accidentalmente contraseñas seguras a extraños a través de chats de Internet, las cambié desde entonces, pero puede suceder).

Entonces, cuando esto suceda, pregúntese: ¿puedo permitirme que esta contraseña se envíe accidentalmente a otra persona?

En segundo lugar, escribimos muchas contraseñas , lo que significa que se vuelven parte de nosotros. Solía ​​​​usar una frase de contraseña que publicaré aquí como ejemplo debido al hecho de que se retiró de mi uso durante literalmente media década:

This is not my beautiful house!

Esta era literalmente la contraseña que usaba para acceder a ciertos sistemas que, de hecho, no estaban en mi casa. Estos eran sistemas para los que necesitaba recordar siempre el acceso, prevenir ataques de fuerza bruta y evitar la posibilidad de que alguien leyera por encima de mi hombro. (Es difícil seguir una contraseña de 8 a 12 caracteres, es más difícil seguir una oración de una contraseña). Ahora, después de escribir esto una y otra vez, literalmente se convirtió en una segunda naturaleza, y esa oración (que, hilarantemente, es una de las líneas de "Once in a Lifetime" de los Talking Heads) se convirtió en la oración más rápida que ahora puedo escribir.

Así que tome una de estas contraseñas inapropiadas que se le ocurrieron (que también están, convenientemente, diseñadas para requerir mucho poder de pensamiento para procesarlas) y pregúntese: ¿me siento cómodo grabando esta información en mi cerebro y en mi naturaleza? Literalmente estará pensando en estas cosas con mucha frecuencia, y si la contraseña es algo en lo que no se siente inapropiado pensando, entonces supongo que eso responde a eso.

Tercero, no creo que te des cuenta de cuáles son las consecuencias si alguien se entera de esto. Especialmente en el área en la que vivo, las relaciones empleador-empleado son 100 % a voluntad , y quiero decir 100 % . Mi empleador puede, literalmente, despedirme por lo que quiera que no sea discriminatorio (no pueden despedirme por ser hombre, pero si comienzo un grupo de odio contra las mujeres, entonces soy blanco). ¿Realmente puede permitirse el lujo de tomar tal riesgo? (Esto es solo para completar, otras respuestas ya cubrieron esto).

Una vez tuve un compañero de trabajo cuya contraseña era " F---myj0b", literalmente. (Le encantó: alardeaba mucho de esa contraseña). Uno de los gerentes estaba alardeando, y varios minutos después, el compañero de trabajo salió del edificio y se le ordenó que nunca regresara. ¿Es ese un riesgo que estás dispuesto a correr?

Dr.

Arriesga si quieres, pero no digas que no te lo advertimos.

Me gusta mucho esta respuesta y la voté. Sin embargo, deberías eliminar esa parte sobre los crímenes de odio. Por lo general, un delito de odio tiene que involucrar tanto el odio como un delito , lo que generalmente no ocurre con una contraseña. Tal vez si el país tiene una ley contra el discurso de odio, pero incluso eso es exagerado. Sin embargo, su punto general es correcto, ya que una contraseña que describa un delito de odio sería aún peor recibida que una contraseña que simplemente denigrara su trabajo, incluso si no condujera a consecuencias legales.
@Kat Lo suficientemente justo: se eliminó un poco.
Si ese compañero de trabajo hubiera querido y alardeado mucho de que su contraseña era 123456o de hecho cualquier otra cosa, también debería haber tenido noticias de la gerencia.
Sí, y además podría ser un poco engañoso usar eso como ejemplo aquí, ya que no sabemos si el despido se debió al contenido de la contraseña o porque la estaba compartiendo tan liberalmente.
"Escribí la mayor parte de esta respuesta mientras leía documentación de Android y Twitter". - Deja de ser tonto. ¿De verdad crees que la gente puede leer y escribir al mismo tiempo?
@DavidZ Compañero de trabajo perdió su trabajo como resultado del contenido de la contraseña. (Yo era un buen amigo del gerente que lo despidió y dijo que "si así es como realmente se siente acerca de su trabajo, entonces no tiene un lugar aquí").
@BЈовић Quiero decir, puedo leer y escribir ideas separadas al mismo tiempo, pero eso podría deberse a que siempre he trabajado y vivido en entornos acelerados, donde tienes una cantidad de tiempo increíblemente corta para leer material y escribir un respuesta a ello.
@EBrown, diría que sería información bastante útil para incluir en la publicación.

Claro, si trabaja en una oficina donde nadie le pide su contraseña por ningún motivo, debería estar bien. Un departamento de TI bien administrado nunca hará esto, sino que le pedirá que cambie temporalmente su contraseña si necesita trabajar en su computadora. Sin embargo, en mi empresa, el departamento de TI me ha pedido mi contraseña y me alegro de no haberla convertido en algo lascivo.

tl;dr: Probablemente no importe, pero ¿por qué correr el riesgo?

Una vez disfrutamos escuchando a un gerente de proyecto tratando de decirle a TI la contraseña de una computadora portátil por teléfono sin que se dieran cuenta de que estaba usando Password1. P mayúscula... como... espada... ra... 1.
Afable por qué no ha sido despedido su CTO
@Neuromancer De hecho, se fue poco después. No estoy seguro de si renunció o le "pidieron que se fuera", pero fue reemplazado por alguien mucho más competente.

En teoría, está salado, por lo que TI no puede verlo y no debería necesitar compartirlo con otros, pero suceden cosas. ¿Qué pasa si no puede ir al trabajo y alguien necesita su computadora? ¿Por qué correr el riesgo?

Los intentos de contraseña incorrectos a menudo se registran.

Perdí mi contraseña dos veces y escribí una grosería por frustración y me hablaron al respecto.

POBRE suposición aquí sobre 'salado'. Trabajé para un lugar que almacenaba contraseñas en texto sin formato para que los administradores pudieran ser llamados para ayudar a un usuario a 'recuperar' una contraseña. Todavía hay algunos sistemas muy atrasados.
@XavierJ NO hice tal suposición. Dije "En teoría".
Una teoría se basa en observaciones. Una suposición es solo una suposición.
@XavierJ NO va a discutir contigo.
>Los intentos de contraseña incorrectos a menudo se registran. Si saltan sus contraseñas, espero que no estén registrando contraseñas 'incorrectas' en texto sin formato. - 1: contraseña1: error - 2: contraseña1: error - 3: ¡éxito! Dios mío, me pregunto cuál podría ser su contraseña. Hay otros problemas con esto, pero creo que son bastante obvios.
@Shadetheartist espero todo lo que quieras, pero seguramente sucede a veces, y probablemente no tengas forma de saberlo.
@Kat Estoy de acuerdo, hay departamentos de TI más terribles de los que preocuparse de lo que nos gustaría imaginar. Asume lo peor.

No simplemente no.

No hay absolutamente ninguna razón para que sea vulgar u ofensivo, por lo que es mejor que la gente elija algo que no lo sea. La posibilidad de que algo te muerda el trasero con respecto al significado de tu contraseña es extremadamente pequeña, sin embargo, si lo hace, será vergonzoso.

Concluiré con una historia. A un amigo mío le pareció divertido seleccionar "pussy" como su contraseña. A lo largo de los años, implementaron nuevas reglas, debe actualizar la contraseña, no puede elegir una contraseña anterior, debe tener un carácter alfanumérico. Entonces, como era de esperar, "pussy1" fue seguido por "pussy2" y así sucesivamente. Un día su computadora falla y necesita ayuda para arreglarla. TI quiere limpiarlo, pero como mi amigo ha estado evitando usar la carpeta en línea para cosas (todo en C :), necesita desesperadamente que lo reparen. Entonces, el técnico de TI dice "Necesito tu contraseña para iniciar sesión en tu usuario"; mi amigo tuvo que enviar su contraseña "pussy15" ("pussy15" implica un cierto nivel de...

no lo hagas

Esa es una buena historia. Debería haber hecho un tipo de cambio de bit "pussy0" > "pussy1" > "pussy0". Pero eso implicaría un nivel de inteligencia. Estoy seguro de que es probablemente un gran tipo para estar cerca.
El departamento de TI tiene formas de acceder a los archivos de su amigo sin necesidad de su contraseña.
@Shadetheartist, la mayoría de las empresas mantienen un historial, tampoco puede simplemente reutilizar contraseñas antiguas. En mi empresa actual no puedes repetir una contraseña que tenías en el último año, y tienes que cambiar cada 2 meses. Podía evitar los 15 pero necesitaría contar hasta 5 para comenzar de nuevo.

Aquí hay una historia de segunda mano que debería convencerlo de no tener una contraseña ofensiva....

Un alto miembro del personal de una empresa estaba en una reunión de pantalla compartida haciendo una demostración de un proyecto. Durante el transcurso de la demostración, tuvo que escribir su contraseña. Dio la casualidad de que alguien le envió un mensaje instantáneo al mismo tiempo que esperaba que apareciera la solicitud de contraseña. Escribió su contraseña ofensiva en la ventana de mensajes instantáneos por error.

Entonces, el mensaje no solo salió de la persona que le envió el mensaje, sino que también fue visto por muchas personas de alto nivel en la empresa.

Esto me parece una completa estupidez del usuario. Si está proyectando o compartiendo su pantalla, no debería tener nada más, especialmente programas de mensajería, ejecutándose. Además, dejaría de compartir mi pantalla si tuviera que escribir una contraseña. Hay una cierta cantidad de disciplina que un usuario debe usar... es una cuestión de profesionalismo... solo mi opinión.

Es una contraseña, es una elección personal. Hazlo si es de tu gusto.

Pero yo sería reacio porque:

1) Dependiendo de su personalidad, ingresar varias veces "Odio mi trabajo" o lo que sea que pueda afectar su psicología de una manera buena o mala;

2) Dependiendo de su trabajo y las políticas de su empresa, puede haber un momento excepcional en el que la mitad de la red esté caída debido a un virus ransomware, por lo que el administrador no puede reemplazar su contraseña, usted está fuera de la oficina, un compañero de trabajo lo llama porque tiene una aplicación específica instalada en su computadora o algún código que compila solo en su máquina para arreglar la producción. Y debido a que no tiene una computadora con conexión a Internet a la mano, es simple darles su contraseña para arreglar la producción y reemplazar su contraseña cuando regrese;

Usted no, bajo ninguna circunstancia y por ningún motivo, da su contraseña voluntariamente a nadie más. Creo que el n. ° 2 en su respuesta es un punto innecesario que no debe considerarse. (Por lo demás, estoy de acuerdo con el número 1).
@xxbbcc Digamos que un cliente de mi agencia está inactivo mientras estoy fuera, le costó 40 000 $ por hora porque su producción está inactiva y la solución está en mi computadora, solo tienen que hacer doble clic en un ícono para recompilar/reimplementar un paquete porque todas las dependencias están instaladas en mi máquina, debo responderle a mi jefe: ¿esperar mi regreso o encontrar una manera de reemplazar mi contraseña?
Hay algo gravemente mal con esa empresa en su ejemplo. Nadie debería necesitar su contraseña para trabajos de misión crítica.
@xxbbcc Habla con Paparazzi, parece compartir una experiencia similar :)
@SebastienDErrico, en primer lugar, no debe tener una compilación que dependa de su máquina. Si esto es una ocurrencia común, debería pensar en configurar un servidor de compilación, no en compartir contraseñas.

Como se respondió anteriormente, el hecho de que sea aceptable o no depende de su situación: si alguien tiene la oportunidad de acceder a esta contraseña, entonces se está arriesgando.

Una solución es hacer que la contraseña sea difícil de decodificar. Por ejemplo, una técnica generalizada de generación de contraseñas es tomar las primeras letras de cada palabra de una oración. Así que la frase ofensiva:

I hate this mother f***ing Boss!

da la contraseña

IhtmfB!

Bastante difícil decir lo que realmente significa, y algo seguro. Pero aún puedes disfrutar diciendo esta oración en tu cabeza cada vez que escribes tu contraseña.

Si te tomas un tiempo para pensarlo, también puedes preparar una explicación decente, en caso de que alguien te pregunte de dónde proviene tu contraseña críptica. Con este ejemplo:

I have to meditate for Buddha!

te hará pasar por un maestro del zen.

Como está registrado que ha hecho esta pregunta, no debería hacerlo. Cualquier otra persona es una tetera de pescado diferente. Hay dos razones por las que no debería hacerlo: una política y otra de seguridad.

Dado que debemos suponer que todo lo que se publique en Internet se comunicará con su jefe, hay más posibilidades de que su jefe observe más de cerca su idioma.

En segundo lugar, hay menos palabras obscenas en un idioma determinado que obras que no lo son, lo que significa que cualquier persona que intente piratear su contraseña (nuevamente desde que preguntó al respecto) comenzará con las palabras obscenas para intentar ahorrar tiempo.

De https://www.worktime.com/usa-employee-monitoring-laws-what-can-and-cant-employers-do-in-the-workplace/

P: ¿Tienen los empleadores el derecho de controlar las pulsaciones de teclas, el contenido de los correos electrónicos y las pantallas? R: Sí, los empleadores tienen este derecho.

Luego continúa explicando que sí, los empleadores en los EE. UU. tienen derecho a registrar cada pulsación de tecla que ingresa en el equipo propiedad del empleador. Mi ex empleador llevó esto más lejos, si accediste a un correo electrónico personal desde el trabajo, ellos podrían y también registrarían esa información de acceso y la usarían para acceder a tus cuentas personales en busca de información privada de la empresa y se defendieron con éxito en una suite de despido injustificado. de la información obtenida de esta manera.

Si está escrito en los bienes adeudados por el empleador, el empleador es el propietario y usted no tiene ningún derecho a que sea privado porque ya no es el propietario, lo son ellos. Esto incluye absolutamente que puedan acceder por la puerta trasera a las contraseñas de su empresa si así lo desean. Me vi obligado a escribirle a un empleado sobre este problema y su elección de contraseñas que pensaron que era divertida e indetectable. Eran incorrectos.

Al mismo tiempo, elegir una contraseña de este tipo es un método muy bueno para medir el espionaje de un empleador o colegas.... No es que sea husmear, desde una perspectiva legal. Pero husmeando.
Curiosamente, no hay muchos empleadores para quienes usar esas credenciales rastreadas para acceder a su correo electrónico personal sería legal. En los EE. UU., en realidad son solo un par de agencias de tres letras...

Respuesta corta, no lo recomiendo. Si un compañero de trabajo lo ve escribiendo, lo siguiente que sabe es que está fuera por 'acoso'.

Por otro lado, si su TI tiene contraseñas almacenadas como texto sin formato, y ELLOS lo vieron y lo despidieron, probablemente podrían terminar siendo demandados, porque almacenar contraseñas sin cifrar en texto sin formato o SQL es una práctica de seguridad imprudente para un sistema que probablemente tenga información personal confidencial, como su número de seguro social, etc.

¿Por qué las comillas de miedo en torno al "acoso"? Si la contraseña contiene una calumnia racial/sexual/etc., entonces en los escenarios publicados por otros posteadores (difundir accidentalmente la contraseña en el chat, por ejemplo) se trata en gran medida de acoso.
Porque si es vulgar, pero NO racista, sexista, etc, Y NO dirigida a ningún individuo o grupo (Ejemplo una contraseña de f**k1234). Esto no se usaría en un contexto que razonablemente se consideraría como acoso a alguien, sin embargo, puede violar las "políticas de acoso" de muchas empresas. Si alguien hace un comentario lascivo o un acto destinado a ser visto por otra persona, esto ES acoso, pero tener una contraseña vulgar no lo es, pero es probable que la gerencia lo malinterprete como tal, ya que está paranoico con las demandas frívolas.
  • En teoría, depende de ti.
  • En teoría, nadie puede verlo y no daña a nadie.

Pero:

A veces hay casos en que otros conocen una contraseña. Por ejemplo, su jefe llama a su teléfono para mostrarle algo a un aspirante a cliente ahora , pero olvida la contraseña de la base de datos .

En teoría, nunca debería suceder, pero la práctica puede ser diferente.

Es probable que nunca te encuentres en una situación en la que tengas que deletrear a tu jefe, él puede iniciar sesión con una palabrota.

¿Qué estás diciendo en realidad?
@Lilienthal Que existe una pequeña posibilidad de que necesite compartir su contraseña con otros. Por ejemplo, su jefe necesita acceso rápido a algo en un caso muy urgente y el OP está desconectado. Y, en estos casos, puede resultar una situación incómoda.
¿Es aceptable tener una contraseña ofensiva? [cerrado]
RespuestasAquíPolítica de privacidad1y, 1v