En mi lugar de trabajo, a veces mi jefe reactiva mi computadora de la hibernación y restablece mi contraseña para ingresar a mi cuenta de Windows.
Sé que la computadora es de la empresa, pero estoy acostumbrado a guardar mis contraseñas en esa computadora y me preocupa lo que pueda hacer con ellas.
La razón que usa para justificar esto es que a veces quiere saber si hay algo no comprometido en mi computadora, para que pueda comprometerse en mi nombre.
Debería tener acceso a la computadora, pero no a las cuentas .
Según su descripción, quiere específicamente acceder a las cuentas para actuar en su nombre. Esto debería violar las políticas de su departamento de TI por dos razones.
Verifique su política de TI, la mayoría de los lugares tienen una regla que dice que esto no está bien, nunca.
Dos cosas para pensar:
si estuviera discutiendo una queja sobre su jefe con recursos humanos, ellos podrían averiguarlo.
si su jefe tiene acceso a su máquina y rompe algo, parecerá que fue usted quien lo hizo.
En todos los lugares en los que he trabajado, este comportamiento va completamente en contra de la política de la empresa por las razones descritas anteriormente. Expone a la empresa a posibles problemas legales en caso de que decidan despedirlo.
Así que supongo que el jefe entrará como administrador y restablecerá su contraseña para que pueda iniciar sesión como usted. El acto de restablecer una contraseña se registra. La cuenta que reenvía tu contraseña se registra junto con la hora.
Esto simplemente no tiene sentido. Si puede ingresar como administrador, entonces puede ver todos los archivos. No hay ningún propósito para iniciar sesión como usted a menos que la intención sea hacerse pasar por usted.
La razón que da es
Quiere saber si hay algo no comprometido en mi computadora, para poder confirmarlo en mi nombre.
Ese no es un propósito razonable. Si el código estaba listo para confirmar, lo habrías confirmado. Si quiere cometer el código, debe hacerlo con su nombre.
Obtengo tal vez una compilación de emergencia, pero no acepto que esto suceda de manera regular.
Es un equipo de la empresa, por lo que en EE. UU. probablemente sea legal. No aprobaría ninguna política de TI legítima. Un usuario que no está en TI para tener derechos de administrador no es común. Para los desarrolladores, algunas veces están en TI y algunos desarrolladores confiables tienen derechos de administrador, pero se espera que no usen esas escrituras para cambiar contraseñas e iniciar sesión como esa persona.
Otros ya han mencionado por qué alguien que comete código sin saber por qué no lo hizo es estúpido y que usar su cuenta es muy probable que vaya en contra de la política de la empresa . En algunas jurisdicciones ilegal.
Pero insinuó que su principal preocupación son las contraseñas almacenadas. Póngalos en un programa administrador de contraseñas que requiera una "contraseña maestra" (que solo usted conoce) para acceder a ellos, como contraseña1 o KeePass (o Firefox). Y si es posible, coloque esa aplicación y su base de datos en una memoria USB.
Como usted señaló, la empresa es propietaria de la computadora. Dado que son dueños de la computadora, su gerente o cualquier persona con la autorización y los derechos de administrador pueden iniciar sesión en su computadora siempre que no abusen del acceso de tal manera que ponga en peligro su trabajo. La regla general es no guardar su información financiera personal o su currículum en su computadora. Deje que el trabajo sea el trabajo no solo para proteger su información personal, sino también para limitar el daño que se puede causar si alguien con acceso intentara realizar actividades maliciosas en su nombre.
En uno de mis entornos anteriores, era común que los gerentes accedieran a las computadoras de sus empleados porque las personas guardaban archivos de proyectos y documentos de hipotecas de clientes localmente en su máquina; así que cuando esa persona estaba enferma y el cliente necesitaba cambiar su fecha de cierre, un gerente tenía que acceder a la computadora de los empleados para obtener el documento original. Sistema arcaico, lo sé, pero ese es solo un caso de razón legítima por la que un gerente necesitaría acceder a la computadora de un empleado.
Esto depende del país y de las políticas de TI específicas vigentes.
En el Reino Unido, por defecto, esto NO sería aceptable. Su jefe tendría derecho a monitorear sus actividades laborales, pero si hubiera iniciado sesión en su cuenta de correo electrónico personal, su jefe no tendría derecho a monitorear eso.
Sin embargo, para contrarrestar esto, es una práctica estándar incluir una cláusula en su contrato o política de uso aceptable que diga "el equipo de la empresa no se puede usar para uso personal". Si esa cláusula está presente, entonces su jefe TIENE derecho a monitorear todo el uso de una computadora de trabajo.
Muchos países tienen leyes similares a las del Reino Unido, pero hay diferencias notables. Por ejemplo, en Alemania tienes un derecho más fuerte a la privacidad.
Fuente: he trabajado en infosec durante algunos años y he aprendido esto en varios cursos a los que he asistido (por ejemplo, SANS). Me temo que no tengo enlaces inmediatamente a mano, pero debería poder encontrarlos con bastante facilidad.
La respuesta simple es no almacenar sus contraseñas en su computadora o usar algún tipo de aplicación de llavero que no use el sistema de contraseña de inicio de sesión.
Como han mencionado otras personas, es probable que su gerente no cumpla con la política de seguridad de TI. Puede valer la pena mencionar con tacto a su soporte de TI que su contraseña se ha restablecido en múltiples ocasiones y permitirles tomar cualquier acción.
Algo que falta en las otras respuestas hasta ahora es que, en el caso de cambios no confirmados, no debe ser su jefe quien los confirme y esa no es una excusa razonable. Estoy pensando en términos de sistemas de control de versiones de desarrollo de software, pero esto es igualmente aplicable a documentos legales u otro trabajo "vital" que podría necesitar ser comprometido de manera oportuna: ¿cómo sabe su jefe que los cambios están completos, probados y verificados? , listo, etc ?
La razón que usa para justificar esto es que a veces quiere saber si hay algo no comprometido en mi computadora, para que pueda comprometerse en mi nombre.
Si bien dudo que esto sea cierto, si lo fuera, debería manejarse de manera diferente.
Configure una unidad compartida donde resida el contenido relacionado con el trabajo. O configure una política de que los archivos relacionados con el trabajo en su cuenta en un directorio especial sean accesibles solo para lectura por otros empleados. etc.
Hay muchas maneras de permitir el acceso a los archivos en cuestión que no hacen necesario hacerse pasar por usted de ninguna manera.
Podría ser razonable crear dicho sistema/política, de modo que se pueda acceder a los archivos relacionados con el trabajo en caso de una emergencia, por ejemplo, cuando no esté disponible.
Le preguntaría al jefe por qué esta no es una opción.
Hay tres niveles para esto.
Nivel 1: ¿Mi gerente tiene derecho a acceder a MI computadora de trabajo? Eso depende. Su empresa habrá definido qué derechos tiene cualquier miembro de la empresa. Su gerente tiene ese derecho si la empresa dice que tiene el derecho, y no tiene el derecho si la empresa dice que no lo tiene. Estaría de acuerdo con que mi gerente acceda a mi computadora, digamos si tuviera un accidente y solo hubiera información importante en mi computadora. Si sucediera sin una muy buena razón, estaría muy, muy enojado y eso no sería algo bueno.
Nivel 2: ¿Qué pasa con mi privacidad? Dependiendo del país en el que te encuentres, la información privada puede estar fuertemente protegida, incluso si está en una computadora propiedad de la empresa y no debería estar en esa computadora. O puede estar totalmente desprotegido en la computadora de su trabajo.
Nivel 3: Legalidades. Y aquí tenemos una gran, gran bandera roja. El director general de su empresa no tiene derecho alguno a acceder a la computadora de su contador. Su gerente no tiene derecho alguno a realizar cambios en su nombre . Como desarrollador de software, el no comprometidoEl código de mi computadora está en desarrollo, y en cualquier momento podría estar en un estado que podría ser entre costoso y fatal si se compromete y envía a los clientes. (Podría escribir un software que envíe productos a los clientes, envíe una factura al cliente y registre que el cliente le debe dinero a la empresa. Si solo dos de estas tres partes están terminadas y mi jefe compromete este trabajo inacabado, eso sería fatal ). Hay muchas industrias donde el acceso a los datos está estrictamente controlado y lo que el jefe está haciendo aquí podría generar cargos penales y una enorme responsabilidad para la empresa.
La tontería de la brecha de seguridad es solo eso, una tontería ridícula.
Usted ingresa una contraseña en una computadora privada, por lo tanto, puede o no estar disponible para sus propietarios. Si hay un dominio configurado, puede que ya esté o no en texto sin formato en el controlador de dominio. La contraseña no es tu secreto, es un secreto compartido . Los secretos compartidos permiten establecer canales confiables y posiblemente encriptados. ¡Esa no es tu identidad!
Es mi empresa, también puedo configurar una cuenta con nombres de usuario y contraseñas idénticos en cada una de mis computadoras , que todos conocen , y ¿quién puede decir que no tengo derecho a hacerlo? Trabajé en un ambiente así, no hubo ningún problema. No es tu llamada .
Poner el nombre real de alguien en el campo de nombre real de alguna cuenta de dominio no cambia nada, no es suficiente para probar nada en la corte. No, incluso si tu jefe nunca ha iniciado sesión (lo cual es básicamente mejorable), ese tipo de TI harto de estupideces probablemente tenga derechos de superusuario y pueda hacer lo que quiera y nadie lo sabrá nunca.
La idea de que las credenciales generadas por la empresa que automatizan la autenticación y la entrega de acceso a la infraestructura y la información propiedad de la empresa que la empresa compartió voluntariamente con usted para automatizar algunos procesos de trabajo en la forma en que la empresa considera que de alguna manera le da derecho a cualquier cosa es descarada e irrefutablemente absurda.
La empresa puede configurar los procedimientos de automatización y autenticación que quiera y sí, su jefe puede hacer lo que quiera. A menos, por supuesto, que su jefe diga que no pueden, entonces acude a su jefe.
Seguramente, nada implica si se trata de buenas o malas prácticas en algunos sentidos particulares. Eso lo decide la empresa, no tú.
Seguramente de nuevo, si estamos hablando de algún tipo de fraude, ese es otro tema. Iniciar sesión en la cuenta de correo electrónico proporcionada por su empresa puede estar bien, pero enviar un correo electrónico a su esposa con su firma al final no lo es.
Tenga en cuenta que no es necesario iniciar sesión en ninguna de "sus" cuentas para hacerlo, pero eso aún constituye una infracción.
Confirmar el código que escribió en horas de trabajo en la computadora privada de la empresa, por la que le pagaron, al repositorio propiedad de la empresa y compilar la granja está bien (desde cualquier cuenta corporativa desde la que la empresa quiera que se confirme), pero agregar código de puerta trasera malicioso y entonces afirmar que lo hiciste no lo es.
Tenga en cuenta que no es necesario iniciar sesión en ninguna de "sus" cuentas para hacerlo, pero eso aún constituye una infracción.
¿Ves a dónde voy aquí?
Mónica Celio
Stephan Branczyk
Hombre enmascarado
doctor j
IlusorioBrian
AStopher
Hombre enmascarado
Carreras de ligereza en órbita
nico
usuario42272
ero
Juanbot
Patricio
EvilSnack
bta
#error "This commit was unauthorized"
código para C). Si su jefe intenta comprometer su trabajo, romperá la construcción. Ahora, él tendrá a todas las organizaciones de desarrollo y pruebas sobre sus espaldas y no será solo usted quien argumente que debe detenerse.