¿Puede mi jefe abrir y usar mi computadora cuando no estoy presente?

En mi lugar de trabajo, a veces mi jefe reactiva mi computadora de la hibernación y restablece mi contraseña para ingresar a mi cuenta de Windows.

Sé que la computadora es de la empresa, pero estoy acostumbrado a guardar mis contraseñas en esa computadora y me preocupa lo que pueda hacer con ellas.

La razón que usa para justificar esto es que a veces quiere saber si hay algo no comprometido en mi computadora, para que pueda comprometerse en mi nombre.

Los comentarios no son para una discusión extensa; esta conversación se ha movido a chat .
Lo más probable es que su jefe haya mirado sus mensajes de correo electrónico privados y otra información personal (porque su otra explicación no tiene sentido a menos que sea realmente un incompetente). Considere la información que tenía allí comprometida. Las cookies, las contraseñas, claves, etc. Supongamos que pudo recuperarlas. Cámbialos todos. Y suponga que va a hacer lo mismo otra vez.
¿Por qué no confirmas automáticamente todo cada 10 minutos (o con más frecuencia, si el jefe así lo desea)? Puede que no resuelva tu problema, pero al menos tu jefe tendrá que pensar en una nueva excusa.
No sé qué tan grande es su empresa, pero si tiene personal de TI dedicado, debe preguntarles si este es un uso legítimo de la cuenta de administrador (y si su jefe debería TENER acceso a la cuenta de administrador). Si está restableciendo su contraseña a través de medios fuera de línea (a través de USB de arranque ntpasswd, por ejemplo), es casi seguro que viola la política de TI, suponiendo que su empresa sea lo suficientemente grande como para tener una política de TI formal.
@MaskedMan Mejor aún, cree una bifurcación del repositorio principal donde se comprometa cada vez que guarde el archivo y dé acceso a su jefe para enviar contenido desde él al repositorio principal.
Si tiene que restablecer la contraseña, entonces su empresa no está haciendo las cosas bien. Debería haber un software que audite el uso del sistema, su jefe restableciendo su contraseña y accediendo a su cuenta para auditar es simplemente perder un tiempo valioso y puede estar violando las políticas de TI para arrancar.
@IllusiveBrain Sí, por "comprometerse" pensé que se refería a algo así como "empujar" en Git. Si está usando algo como un CVS (VCS no distribuido donde la bifurcación es un "gran problema"), entonces la confirmación automática sería un problema, y ​​sería necesario algo como la bifurcación que mencionaste.
No entiendo cómo esto podría ser una pregunta. ¡¡¡¡No!!!!
Quiero votar negativamente porque la respuesta obviamente es no, pero puede que no sea obvio para todos, y otras personas en esta situación deberían saber por qué es malo y estúpido y me dan ganas de acurrucarme en una pequeña bola y llorar, así que hazlo. un +1 en su lugar. (Tampoco tengo el representante de DV pero cállate)
¡Santa mierda, no confiaría en alguien que usa eso como excusa!
Obviamente, no está bien, debería darle una fuerte advertencia la primera vez que lo informe, despedir al segundo (obviamente, si él es EL jefe en lugar de solo su jefe, eso es un poco más complicado). Ahora, comprobaría si no es simplemente ilegal.
Esto necesita una etiqueta de país. Sería ilegal en la mayoría, si no en toda la UE.
También... 'Comprometerse en mi nombre'. Olvídese de todos los problemas de él yendo a su computadora... No sé qué tipo de control de calidad tienen ustedes... Pero las confirmaciones deben ser realizadas solo por usted. ¿Qué pasa si empuja algo que rompe el sistema de prod porque TÚ no estabas listo para empujarlo? Ahora está a tu nombre y serás culpado por ellos....
"Si estuviera listo para cometerlo, lo habría cometido". La excusa dada es una tontería, aunque es posible que su jefe no sepa que es una tontería.
Pequeña solución: todos los días, sabotee su copia de trabajo antes de salir de la oficina (agregue un montón de errores de compilación, como un #error "This commit was unauthorized"código para C). Si su jefe intenta comprometer su trabajo, romperá la construcción. Ahora, él tendrá a todas las organizaciones de desarrollo y pruebas sobre sus espaldas y no será solo usted quien argumente que debe detenerse.

Respuestas (10)

Debería tener acceso a la computadora, pero no a las cuentas .

Según su descripción, quiere específicamente acceder a las cuentas para actuar en su nombre. Esto debería violar las políticas de su departamento de TI por dos razones.

  1. Sus acciones se remontarán a ti.
  2. Tus acciones se remontan a él. Esto enturbia el agua y debería preocuparle a él, no a usted. ¿Descargar películas ilegalmente? Bueno, todos sabemos que Bob ha usado su computadora regularmente...
Es más serio que las pequeñas preocupaciones sobre películas pirateadas. "No malversé ese dinero/robé ese código fuente y lo vendí/cometí ese delito grave/etc., lo hizo mi jefe, usando mi cuenta". Por lo tanto, debería preocupar a todos: al OP y al jefe por ser potencialmente culpables de cualquier malversación realizada con la cuenta del usuario, y a la empresa por no poder atribuir acciones en la cuenta del OP al propietario de la cuenta.
"Él debería tener acceso a la computadora, pero no a las cuentas". La mayoría de las grandes agencias gubernamentales estadounidenses siguen este enfoque.
Esta respuesta es acertada, pero OP aún no puede resolver su situación. Sugiero agregar una sugerencia para dar explícitamente al jefe una cuenta en la máquina que pueda acceder a las carpetas de desarrollo y educar al jefe sobre el comando git --author o cualquiera que sea el equivalente de su sistema de control de versiones, por lo que el jefe no necesita iniciar sesión como OP para lograr su objetivo.
@Sumyrda Cierto, pero solo si le das credibilidad a la explicación de su jefe: ¿Le gusta el código roto no probado? La solución sería una política en la que debe verificar cualquier trabajo en curso al final del día en una sucursal, lo que se verifica fácilmente.
El término para esto en el mundo de la seguridad de TI es no repudio.
El jefe parece un tecnófobo. @Lucas
@MarkRogers State incluso parece seguir el enfoque al que todo el mundo debería tener acceso;)
@Anketam: No existe el no repudio en Windows.

Verifique su política de TI, la mayoría de los lugares tienen una regla que dice que esto no está bien, nunca.

Dos cosas para pensar:

  1. si estuviera discutiendo una queja sobre su jefe con recursos humanos, ellos podrían averiguarlo.

  2. si su jefe tiene acceso a su máquina y rompe algo, parecerá que fue usted quien lo hizo.

En todos los lugares en los que he trabajado, este comportamiento va completamente en contra de la política de la empresa por las razones descritas anteriormente. Expone a la empresa a posibles problemas legales en caso de que decidan despedirlo.

+1 por señalar que la persona que ingresa puede causar problemas y parecerá que lo hizo el OP. No hay nada de malo en que el jefe entre como ADMINISTRADOR, pero no como usuario. Como dijiste, algunos lugares tienen políticas de TI que son mucho más restrictivas donde solo un administrador de TI está autorizado para ingresar a las máquinas. Personalmente, huelo una rata.
@RichardU O un jefe paranoico.
@ cst1992, ¿la razón suena confusa para ser un "compromiso" paranoico en el nombre del OP? Creo que ese gerente tiene cola.

Así que supongo que el jefe entrará como administrador y restablecerá su contraseña para que pueda iniciar sesión como usted. El acto de restablecer una contraseña se registra. La cuenta que reenvía tu contraseña se registra junto con la hora.

Esto simplemente no tiene sentido. Si puede ingresar como administrador, entonces puede ver todos los archivos. No hay ningún propósito para iniciar sesión como usted a menos que la intención sea hacerse pasar por usted.

La razón que da es

Quiere saber si hay algo no comprometido en mi computadora, para poder confirmarlo en mi nombre.

Ese no es un propósito razonable. Si el código estaba listo para confirmar, lo habrías confirmado. Si quiere cometer el código, debe hacerlo con su nombre.

Obtengo tal vez una compilación de emergencia, pero no acepto que esto suceda de manera regular.

Es un equipo de la empresa, por lo que en EE. UU. probablemente sea legal. No aprobaría ninguna política de TI legítima. Un usuario que no está en TI para tener derechos de administrador no es común. Para los desarrolladores, algunas veces están en TI y algunos desarrolladores confiables tienen derechos de administrador, pero se espera que no usen esas escrituras para cambiar contraseñas e iniciar sesión como esa persona.

Por lo general, un desarrollador tiene derechos de administrador solo en su propia casilla, no derechos de administrador para iniciar sesión en las casillas de otras personas. Esto suena como una pequeña empresa en la que no tienen un departamento de TI real, y el propietario/jefe tiene derechos de administrador de dominio, lo cual es simplemente extraño.

Otros ya han mencionado por qué alguien que comete código sin saber por qué no lo hizo es estúpido y que usar su cuenta es muy probable que vaya en contra de la política de la empresa . En algunas jurisdicciones ilegal.

Pero insinuó que su principal preocupación son las contraseñas almacenadas. Póngalos en un programa administrador de contraseñas que requiera una "contraseña maestra" (que solo usted conoce) para acceder a ellos, como contraseña1 o KeePass (o Firefox). Y si es posible, coloque esa aplicación y su base de datos en una memoria USB.

¿Esos administradores de contraseñas tienen la opción de olvidar el PW maestro en hibernación/resume? Si no, definitivamente. necesita sus contraseñas en una memoria USB.
No sé nada sobre contraseña1. KeePass que usé hace cuatro años, por lo que puede haber cambiado. Lo inicia, ingresa la contraseña maestra, toma la contraseña almacenada que desea y luego la cierra. FireFox, debe ingresar la contraseña maestra al menos una vez que se inicie cada navegador antes de poder acceder a los almacenados.
Si un administrador de contraseñas no es una opción, entonces al menos un archivo encriptado. Con el software existente, debería poder crear un archivo zip o excel cifrado.
Y si es un archivo encriptado, también recomendaría que esté en una memoria USB. (¡Que, por supuesto, te llevas cuando te vas!)
Con LastPass, tengo la sesión cerrada después de X minutos de tiempo de inactividad. Por lo general, lo mantengo bajo, como 3 minutos o algo así. También puede usar la autenticación de dos factores para evitar el inicio de sesión sin la contraseña y el componente de hardware (por ejemplo, la aplicación OTP en su teléfono, SMS o algo como Yubikey). Esos están disponibles para las cuentas de nivel gratuito. También debe usar contraseñas en sus claves SSH, de modo que sea imposible realizar cambios sin la contraseña de la clave. Es solo un poco inconveniente, pero ¿sabes qué es más inconveniente? Ser incriminado por malversación de fondos por parte de su jefe.

Como usted señaló, la empresa es propietaria de la computadora. Dado que son dueños de la computadora, su gerente o cualquier persona con la autorización y los derechos de administrador pueden iniciar sesión en su computadora siempre que no abusen del acceso de tal manera que ponga en peligro su trabajo. La regla general es no guardar su información financiera personal o su currículum en su computadora. Deje que el trabajo sea el trabajo no solo para proteger su información personal, sino también para limitar el daño que se puede causar si alguien con acceso intentara realizar actividades maliciosas en su nombre.

En uno de mis entornos anteriores, era común que los gerentes accedieran a las computadoras de sus empleados porque las personas guardaban archivos de proyectos y documentos de hipotecas de clientes localmente en su máquina; así que cuando esa persona estaba enferma y el cliente necesitaba cambiar su fecha de cierre, un gerente tenía que acceder a la computadora de los empleados para obtener el documento original. Sistema arcaico, lo sé, pero ese es solo un caso de razón legítima por la que un gerente necesitaría acceder a la computadora de un empleado.

hay una gran diferencia entre usar la computadora y usar tu cuenta individual. Casi todas las empresas con una política para esto tienen una política de que nunca inicie sesión en la cuenta de otro usuario sin su presencia o sin acceso específico otorgado por el departamento de TI. De lo contrario, no hay manera de probar que cualquier cosa que se haya hecho por cuenta de alguien realmente fue hecha por esa persona.
@Kaz Sí, violación de seguridad GRANDE. Conozco a varios empleadores que harían marchar a ese gerente por hacer esa maniobra.
No hay problema en el acceso a las computadoras de la empresa por parte del personal administrativo. POR SU CUENTA. Este no es el caso aquí.

Esto depende del país y de las políticas de TI específicas vigentes.

En el Reino Unido, por defecto, esto NO sería aceptable. Su jefe tendría derecho a monitorear sus actividades laborales, pero si hubiera iniciado sesión en su cuenta de correo electrónico personal, su jefe no tendría derecho a monitorear eso.

Sin embargo, para contrarrestar esto, es una práctica estándar incluir una cláusula en su contrato o política de uso aceptable que diga "el equipo de la empresa no se puede usar para uso personal". Si esa cláusula está presente, entonces su jefe TIENE derecho a monitorear todo el uso de una computadora de trabajo.

Muchos países tienen leyes similares a las del Reino Unido, pero hay diferencias notables. Por ejemplo, en Alemania tienes un derecho más fuerte a la privacidad.

Fuente: he trabajado en infosec durante algunos años y he aprendido esto en varios cursos a los que he asistido (por ejemplo, SANS). Me temo que no tengo enlaces inmediatamente a mano, pero debería poder encontrarlos con bastante facilidad.

+1 He trabajado en empresas en las que tener algo de carácter personal en la PC de la empresa se consideraría un delito grave. Aunque esto fue hace algún tiempo, antes de los días de BYOD, y de hecho B'ing YOD y conectarlo a la red de la empresa se habría visto como un delito aún más grave.
@peterG: una de las preocupaciones con BYOD es que la empresa no tiene "derecho a auditar". Algunas empresas le obligan a ceder un derecho de auditoría antes de usar un dispositivo BYO. Más comúnmente, solo permiten el acceso de escritorio remoto (o similar) desde un dispositivo BYO, por lo que las acciones relacionadas con los datos de la empresa se pueden auditar en el servidor.
Tenga en cuenta que la respuesta anterior de JohnHC "su jefe puede ver cualquier mensaje entre usted y RRHH" hace que la distinción personal/laboral sea algo menos clara de lo que sugiere su respuesta. ¿Su jefe inmediato tiene derecho a monitorear el progreso de su queja sobre él? O peor aún, ¿responder a esos correos electrónicos usando su cuenta/nombre?
@Móż - Ese es un punto excelente, y me temo que el entrenador de SANS no lo había considerado. En la práctica, RRHH tiene aversión al correo electrónico para temas delicados, pero esto se debe más a que los correos electrónicos pueden malinterpretarse que a la confidencialidad.

La respuesta simple es no almacenar sus contraseñas en su computadora o usar algún tipo de aplicación de llavero que no use el sistema de contraseña de inicio de sesión.

Como han mencionado otras personas, es probable que su gerente no cumpla con la política de seguridad de TI. Puede valer la pena mencionar con tacto a su soporte de TI que su contraseña se ha restablecido en múltiples ocasiones y permitirles tomar cualquier acción.

Algo que falta en las otras respuestas hasta ahora es que, en el caso de cambios no confirmados, no debe ser su jefe quien los confirme y esa no es una excusa razonable. Estoy pensando en términos de sistemas de control de versiones de desarrollo de software, pero esto es igualmente aplicable a documentos legales u otro trabajo "vital" que podría necesitar ser comprometido de manera oportuna: ¿cómo sabe su jefe que los cambios están completos, probados y verificados? , listo, etc ?

El jefe no sabe, por eso se compromete bajo el nombre del cartel y no el suyo :-(

La razón que usa para justificar esto es que a veces quiere saber si hay algo no comprometido en mi computadora, para que pueda comprometerse en mi nombre.

Si bien dudo que esto sea cierto, si lo fuera, debería manejarse de manera diferente.

Configure una unidad compartida donde resida el contenido relacionado con el trabajo. O configure una política de que los archivos relacionados con el trabajo en su cuenta en un directorio especial sean accesibles solo para lectura por otros empleados. etc.

Hay muchas maneras de permitir el acceso a los archivos en cuestión que no hacen necesario hacerse pasar por usted de ninguna manera.

Podría ser razonable crear dicho sistema/política, de modo que se pueda acceder a los archivos relacionados con el trabajo en caso de una emergencia, por ejemplo, cuando no esté disponible.

Le preguntaría al jefe por qué esta no es una opción.

Hay tres niveles para esto.

Nivel 1: ¿Mi gerente tiene derecho a acceder a MI computadora de trabajo? Eso depende. Su empresa habrá definido qué derechos tiene cualquier miembro de la empresa. Su gerente tiene ese derecho si la empresa dice que tiene el derecho, y no tiene el derecho si la empresa dice que no lo tiene. Estaría de acuerdo con que mi gerente acceda a mi computadora, digamos si tuviera un accidente y solo hubiera información importante en mi computadora. Si sucediera sin una muy buena razón, estaría muy, muy enojado y eso no sería algo bueno.

Nivel 2: ¿Qué pasa con mi privacidad? Dependiendo del país en el que te encuentres, la información privada puede estar fuertemente protegida, incluso si está en una computadora propiedad de la empresa y no debería estar en esa computadora. O puede estar totalmente desprotegido en la computadora de su trabajo.

Nivel 3: Legalidades. Y aquí tenemos una gran, gran bandera roja. El director general de su empresa no tiene derecho alguno a acceder a la computadora de su contador. Su gerente no tiene derecho alguno a realizar cambios en su nombre . Como desarrollador de software, el no comprometidoEl código de mi computadora está en desarrollo, y en cualquier momento podría estar en un estado que podría ser entre costoso y fatal si se compromete y envía a los clientes. (Podría escribir un software que envíe productos a los clientes, envíe una factura al cliente y registre que el cliente le debe dinero a la empresa. Si solo dos de estas tres partes están terminadas y mi jefe compromete este trabajo inacabado, eso sería fatal ). Hay muchas industrias donde el acceso a los datos está estrictamente controlado y lo que el jefe está haciendo aquí podría generar cargos penales y una enorme responsabilidad para la empresa.

los niveles "gratuitos" probablemente deberían ser "tres" niveles. A menos que realmente quisieras decir que son gratis.

La tontería de la brecha de seguridad es solo eso, una tontería ridícula.

Usted ingresa una contraseña en una computadora privada, por lo tanto, puede o no estar disponible para sus propietarios. Si hay un dominio configurado, puede que ya esté o no en texto sin formato en el controlador de dominio. La contraseña no es tu secreto, es un secreto compartido . Los secretos compartidos permiten establecer canales confiables y posiblemente encriptados. ¡Esa no es tu identidad!

Es mi empresa, también puedo configurar una cuenta con nombres de usuario y contraseñas idénticos en cada una de mis computadoras , que todos conocen , y ¿quién puede decir que no tengo derecho a hacerlo? Trabajé en un ambiente así, no hubo ningún problema. No es tu llamada .

Poner el nombre real de alguien en el campo de nombre real de alguna cuenta de dominio no cambia nada, no es suficiente para probar nada en la corte. No, incluso si tu jefe nunca ha iniciado sesión (lo cual es básicamente mejorable), ese tipo de TI harto de estupideces probablemente tenga derechos de superusuario y pueda hacer lo que quiera y nadie lo sabrá nunca.

La idea de que las credenciales generadas por la empresa que automatizan la autenticación y la entrega de acceso a la infraestructura y la información propiedad de la empresa que la empresa compartió voluntariamente con usted para automatizar algunos procesos de trabajo en la forma en que la empresa considera que de alguna manera le da derecho a cualquier cosa es descarada e irrefutablemente absurda.

La empresa puede configurar los procedimientos de automatización y autenticación que quiera y sí, su jefe puede hacer lo que quiera. A menos, por supuesto, que su jefe diga que no pueden, entonces acude a su jefe.

Seguramente, nada implica si se trata de buenas o malas prácticas en algunos sentidos particulares. Eso lo decide la empresa, no tú.

Seguramente de nuevo, si estamos hablando de algún tipo de fraude, ese es otro tema. Iniciar sesión en la cuenta de correo electrónico proporcionada por su empresa puede estar bien, pero enviar un correo electrónico a su esposa con su firma al final no lo es.

Tenga en cuenta que no es necesario iniciar sesión en ninguna de "sus" cuentas para hacerlo, pero eso aún constituye una infracción.

Confirmar el código que escribió en horas de trabajo en la computadora privada de la empresa, por la que le pagaron, al repositorio propiedad de la empresa y compilar la granja está bien (desde cualquier cuenta corporativa desde la que la empresa quiera que se confirme), pero agregar código de puerta trasera malicioso y entonces afirmar que lo hiciste no lo es.

Tenga en cuenta que no es necesario iniciar sesión en ninguna de "sus" cuentas para hacerlo, pero eso aún constituye una infracción.

¿Ves a dónde voy aquí?

Aquí hay otro voto negativo. Sí, los informáticos tienen superpoderes y podrían hacer todo tipo de cosas desagradables si se vuelven deshonestos; sin embargo, esta pregunta es sobre el jefe del OP, para quien realmente no hay ninguna buena razón para hacerse pasar por el OP. Sí, es posible (aunque poco probable) que esto esté dentro de la política de la empresa, pero sigue siendo una política terrible.
Si se trata de una empresa que cotiza en bolsa (o espera serlo) y tiene operaciones en los Estados Unidos, no puedo cuadrar esta respuesta con los requisitos de mitigación de riesgos de la Ley Sarbanes-Oxley. Debe presentar esto como una respuesta apropiada para un empleador privado con un solo propietario; como el OP no aclaró el tipo de organización, esta respuesta es pura especulación y vale mi -1.
No en realidad no.
No participe en "guerras de edición". Esa declaración fue 100% inapropiada para una respuesta (y sería mejor ni siquiera dejarla como comentario), y debería eliminarse. Usted no es "dueño" de su respuesta. Además, los comentarios pueden eliminarse en cualquier momento por cualquier motivo y sin previo aviso, especialmente cuando son solo disputas sin sentido; si tiene un problema con eso, entonces este puede no ser el sitio para usted. Afortunadamente, hay muchos otros sitios web (y lugares de la vida real) para elegir.
Dado que las cuentas supuestamente se comparten, ¿cómo supervisa la organización el uso por parte del personal que no sea el usuario para el que se creó la cuenta? ¿Hoja de cálculo de Excel? También voy a suponer que la forma más segura de evitar el mal uso de una práctica tan encantadora en el meñique jura ¡Huzzah frente al representante de recursos humanos!
@dbanet deja de revertir esa edición. Las respuestas son para las respuestas, no para los metacomentarios sobre la votación.
Las contraseñas de inicio de sesión en cualquier sistema operativo que haya usado en mis últimos veinte años en TI NO se almacenan en texto sin formato. Ni siquiera Microsoft es tan estúpido.
Perdón por agregar el comentario necro, pero esta respuesta es absolutamente HORRIBLE por una razón simple que no se menciona: las cuentas están configuradas para la seguridad de acceso. Puede que no sea "dueño" de la cuenta "kevin" donde trabajo, pero ese no es el punto. La cuenta 'kevin' tiene acceso a la franja de elementos asegurables que necesito para hacer mi trabajo. Permitir que cualquier otra persona inicie sesión en esa cuenta les da acceso a una gran variedad de cosas a las que posiblemente no deberían tener acceso . Si esa es la situación, las personas ya no pueden otorgarme acceso a nada a menos que todos los que usan mi cuenta lo tengan.
¿Puede mi jefe abrir y usar mi computadora cuando no estoy presente?
RespuestasAquíPolítica de privacidad1y, 4v