Jefe solicita contraseñas de cuenta que puede restablecer antes de que renuncie

Me voy de una empresa en la que he estado debido a que el jefe incumplió varias promesas, bonificaciones, etc. Después de rechazar contraofertas y otros incentivos, el jefe comenzó a mostrarse hostil hacia mí y ahora exige que le entregue la cuenta. credenciales para varias cuentas de la empresa (servicios de terceros para almacenamiento de código, control de versiones, etc.), todo lo cual puede restablecer fácilmente iniciando sesión como administrador. También me exigió que le entregue las credenciales de mi cuenta de correo electrónico personal para asegurarme de que no tengo ningún correo electrónico o IP de la empresa.

Respondí que mi correo electrónico personal es de mi propiedad y que nunca se usó en la oficina ni para mi trabajo. También noté que las otras cuentas podrían simplemente restablecer sus respectivas contraseñas usando las "herramientas de administrador", y que no proporcionaré los inicios de sesión, ya que ya acepté los términos legales de servicio para esos otros sitios web, que exigir que no comparta mis credenciales. Finalmente noté que ella puede comunicarse con esos sitios respectivos para obtener ayuda para restablecer las contraseñas, y que no habría pérdida de datos al hacerlo.

¿Me comporté profesionalmente? ¿Hay alguna circunstancia en la que deba proporcionar esas credenciales de cuenta (aparte de mi correo electrónico personal)? Finalmente, ¿debería decirle directamente "No puedo dártelos porque la única razón por la que podrías necesitarlos es para hacerte pasar por mí".

Esto es en el este de Canadá.

Actuaste profesionalmente. Escriba un documento de transición sobre cómo puede usar su pieza de administración para cambiar la contraseña en cada una de las cuentas que necesitan un restablecimiento de contraseña. No entregue sus contraseñas. ¿Qué va a hacer ella si tú no lo haces? ¿Despedirte?
¿Me comporté profesionalmente? - Está muy basado en opiniones. Ya ha manejado la situación. No estoy seguro de lo que nos está pidiendo que esté relacionado con el tema.
Casi todo el lugar de trabajo está basado en opiniones.
@ChristopherEstep: diría que se basa en opiniones profesionales.
Haz lo que sugirió @dfundako y copia a su jefe también. De esta manera, será más difícil decir si no cooperaron durante su transición. No proporcione la contraseña de su cuenta personal NUNCA.
Nunca he trabajado en un entorno en el que dar credenciales asignadas personalmente a alguien, incluido un jefe, no fuera una violación de la seguridad. Si el jefe tiene una necesidad legítima de acceso, entonces debe haber vías para que puedan acceder sin su cooperación. En cuanto a la cuenta personal, no, no tienen tales derechos, pero tenga en cuenta que si alguna vez accedió a esas cuentas desde las máquinas de la empresa, el software interno podría haber registrado esas credenciales. Si tal es el caso, algunas jurisdicciones han dictaminado que se puede acceder a ellas para verificar que no ha cometido infracciones de seguridad.
Con un acceso de administrador, su jefe podría simplemente restablecer su contraseña, pero habría un registro de que lo haya hecho. La ÚNICA razón por la que alguien querría tu contraseña, cuando tenían este poder, era porque planeaban iniciar sesión como tú y acusarte de algo. Ten mucho, mucho cuidado de cubrirte.

Respuestas (6)

Cualquier profesional de la seguridad diría lo obvio: si se trata de una cuenta personal, NO le dé sus credenciales.

Ella puede restablecer las contraseñas a través de TI para su máquina de trabajo, y puede obtener legalmente una citación si deciden llevarlo a juicio por tener documentos confidenciales. Si no quieren dar ese paso, entonces no necesitan sus credenciales personales. Si les preocupa que usted tenga información confidencial, depende de ellos obtener la documentación legal y la autorización para obtenerla.

Si les preocupa que pueda acceder a un código de terceros, entonces pueden (a) cambiar la información de inicio de sesión de su parte y/o (b) seguir la ruta legal si creen que ha estado allí. Dado que los documentos están en un repositorio de terceros, dudo que la organización se ponga en peligro colaborando con actividades nefastas.

NO la acuse, ni siquiera tangencialmente, de mala conducta. Simplemente exponga los hechos y déjelo así. No está obligado a dar razones para conservar su información personal. Incluso las contraseñas que SÍ usa para su cuenta de trabajo a veces pueden considerarse información privada, ya que las personas reutilizan rutinariamente contraseñas comunes en sus cuentas. Si tienen la capacidad de restablecerlos, entonces no deberían preocuparse por nada.

Si es una cuenta personal, NO le des tus credenciales. Ligero desacuerdo: simplemente diría que NO proporcione sus credenciales como consejo general, independientemente de que la cuenta sea personal o no, por la simple razón de que los usuarios tienden a reutilizar las contraseñas.
Demonios, me gusta más tu respuesta que la mía. Es más completo y lo explica mejor. Buen trabajo.
Nunca das contraseñas. Parte de mi trabajo es asistente de administrador de sistemas en mi empresa, y cada vez que necesite acceso a cualquier cuenta, lo obtendré. No necesito ni quiero saber la contraseña de nadie y cualquier administrador de sistemas que afirme necesitarla no vale la pena.
Al dejar a mi empleador anterior, restablecí todas las contraseñas de todas las cuentas del empleador a una contraseña genérica de 10 caracteres que le dejé a mi jefe en mi último día. Lo hice como cortesía porque son buenas personas y NUNCA utilizo información personal precisa para asegurar ninguna cuenta de trabajo externa a mi empleador.
@DLS3141 No me dieron a elegir en la mayoría de mis trabajos anteriores. No muchas personas les dan a los programadores la capacidad de acceder a un sistema después de la terminación, debido a que tienen las "llaves del reino" y la capacidad de causar estragos si sienten la necesidad. Yo no lo haría, porque soy alérgico a que me encarcelen por sabotaje corporativo, pero algunos podrían o lo harían.
@SliderBlackrose Estaba renunciando voluntariamente, no despedido
@rath Sí, eso es lo que dije en el último párrafo. Personalmente, nunca consiguen nada. Restablezca y continúe, contrate a un pirata informático para que lo resuelva o vaya a la corte y haga que me obliguen a dárselo ... y tenga la seguridad de que todas las demás contraseñas cambiarán antes de que eso suceda.
Y NUNCA NUNCA NUNCA les des acceso a ninguna cuenta personal.

No nunca. Ni siquiera las contraseñas de trabajo.

Las contraseñas son privadas. Nosotros, los administradores de sistemas y los proveedores de software, hacemos todo lo posible para asegurarnos de que nadie más que el propietario de la contraseña pueda verlos, y es por una buena razón.

Si hay alguna cuenta a la que necesita acceder, puede hacer que TI las restablezca. Esta es la (única) forma legítima de obtener acceso a las contraseñas cuando el empleado se va. Definitivamente deberían cambiarlos de todos modos, ya que ya no trabajarás allí.

En cuanto a su contraseña de correo electrónico personal, tal solicitud es absurda. Dígale que puede regresar por eso si tiene una orden judicial en mano.

esta es la respuesta correcta en mi opinión.

Si su empresa tiene una política de contraseñas y/o una política de uso aceptable de los recursos informáticos, ahora es un buen momento para revisarla.

Cuentas personales: no tiene por qué pedir esas credenciales, y proporcionarlas a alguien que no es usted puede constituir una infracción de los Términos de uso de esos servicios.

Cuentas de trabajo: la empresa debe tener mecanismos establecidos para restablecer esas credenciales después de que su empleo haya terminado (y desde su publicación, parece que esto está en su lugar). Esos procesos deben incluir el registro de quién lo hizo, cuándo y por qué motivo(s). No debería ser necesario que su gerente obtenga su contraseña real, y aquí es donde entrarán en juego las políticas antes mencionadas. En muchas organizaciones, es una violación de esa política con consecuencias potencialmente tan graves como el despido si se descubre que un empleado está usando las credenciales de otra persona o compartiendo sus credenciales con otros.

Si bien la cuenta de correo electrónico puede ser propiedad de la empresa, eso no le da a su gerente carta blanca para ver todo lo que contiene. Por ejemplo, las comunicaciones entre usted y Recursos Humanos pueden considerarse confidenciales y no estar disponibles para ella; sin embargo, si tiene acceso a su cuenta, esa confidencialidad se rompería. Deje que TI y RR. HH. se encarguen de la cuenta "archivada" (su cuenta de correo electrónico debe estar desactivada y ya no debe aceptar nuevos mensajes tras su terminación) y use las herramientas a su disposición para ubicar mensajes específicos que su gerente pueda necesitar; no se le debe permitir ir en una expedición de pesca con su correo electrónico solo para "ver qué puede encontrar".

En términos prácticos, es posible que deba renunciar a las contraseñas de la cuenta de trabajo solo para superar esto. Pero manténgase firme en su(s) cuenta(s) personal(es). Si realmente cree que tiene algún negocio hurgando allí, puede presentar la documentación adecuada para buscarlo en el sistema legal.

Buen punto en la comunicación de recursos humanos. De hecho, el administrador no debería tener acceso a la cuenta solo por este motivo. Debe dirigirse a Recursos Humanos y TI, quienes están capacitados para manejar la situación y preservar información importante (generalmente de manera confidencial, pero no hablo con todas las empresas)
@SliderBlackrose buena adición. TI estará equipado para buscar información específica en esa cuenta (el administrador deberá especificar lo que está buscando), y no solo para ir a pescar .
Incluso si tiene que renunciar a las contraseñas de la cuenta de trabajo, siempre puede preguntarle al jefe cuál le gustaría que se cambie la contraseña antes de "decirle la contraseña". La parte difícil de averiguar, si la empresa no audita nada, es cómo dejar constancia de que ya no es su cuenta, es la de su jefe.
@alroc, como profesional de seguridad de TI, me encanta la naturaleza centrada en la seguridad de su respuesta. +1 por mencionar políticas y privilegios mínimos

¿Hay alguna circunstancia en la que deba proporcionar esas credenciales de cuenta?

Solo a las fuerzas del orden bajo una orden judicial (y bajo coacción).

Las cuentas pueden pertenecer a la empresa, pero las contraseñas son personales. Fin de la discusión. Si quiere asegurarse de que no tenga IP de la empresa en su correo electrónico personal, puede contratar a una empresa de informática forense.

No puedo dártelos porque la única razón por la que podrías necesitarlos es para hacerte pasar por mí.

Correcto.

editar : Pregunta relacionada con Security.SE: ¿Está bien decirle su contraseña al administrador de sistemas de su empresa?

No está bien que le digas tu contraseña a nadie . No aplicación de la ley; no bajo coacción.

Parece que te preocupa que ella quiera acusarte de un pecado. Si es así, definitivamente no deberías decir "la única razón por la que podrías necesitarlos es para hacerse pasar por mí", ya que eso podría permitirle construir un caso de ira.

Otros han dado buenos consejos para el problema más amplio, pero si ella está decidida a encontrar fallas, la solución más fácil podría ser dejar que construya un caso de pereza en su lugar:

Se recomienda restablecer la contraseña de una cuenta anterior porque garantiza que ya no podré acceder a nada que no deba. También significa que puedo usar contraseñas similares en otros lugares en el futuro.

Obviamente, nunca deberías reutilizar las contraseñas. Pero al mencionar la suplantación de forma oblicua y luego dirigir la discusión hacia un hipotético pecado "seguro", puede darle espacio para que llene los espacios en blanco por sí misma.

Si su jefe insiste en que le den las contraseñas de sus cuentas de trabajo, y usted no quiere dar aquí esas contraseñas (por ejemplo, porque usó la misma contraseña para cuentas personales), en lugar de pelear con él/ella por el asunto, podría cambie todas sus contraseñas a Password123. O tal vez pídale a TI que sugiera una contraseña y cambie todas sus contraseñas a la contraseña que sugieren. Y entrega esa contraseña.

Jefe solicita contraseñas de cuenta que puede restablecer antes de que renuncie
RespuestasAquíPolítica de privacidad1y, 0v