Компания просит логин и пароль от рабочего комьютера. WTF?

В один прекрасный день попросили дать доступ к рабочему компьютеру, под предлогом надобности в доступе при отсутствии человека в офисе.

Моё мнение, что все общие файлы/проекты должны быть в облаке компании с возможностью расширения доступа к ним, а не локально у каждого.
Также не этично получать доступ от компьютера, даже рабочего, так как там может хранится временно личная информация пользователя, открытые аккаунты в социальные сети и мессенджеры.

Интересно, была ли у Вас такая практика на работе и что вообще думаете по этому поводу?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn

Найкращі коментарі пропустити

Дивне прохання, якщо з вашої робочої машинки, під вашими логінами нароблять якихось неподобств — хто буде винен? думаю відповідь зрозуміла.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Цукенберг изящно просит логинь и пароль к Facebook-аккаунту.

Киевстар / Veon или Vodafone / МТС запрашивают у украинского абонента разрешение на прослушивание его разговоров.

Дуров стеснительно думет повторить с Telegram.

Для соц сетей и мессенджеров есть смартфоны, а не рабочий ПК в принципе)

Поменяй и дай старый?

Убедись, что это не фишинг. Скорее всего, просят какие-то левые люди, чтоб получить доступ к тому, к чему у них не должно быть доступа.

Вас тихонько увольняют. Что делать — очевидно...

Не факт, есть просто мелкие шараги, со слегка диким менеджментом и без понятия что такое хорошо, а что такое зрада.

Было, не дал, ругались, но мне все равно

Если кратко: ценность для компании личных логинов именно в том, что они личные, что каждый за свой отвечает. Подделать его использование для компании — что два пальца обоссать, тупо вписал в таблицу базы данных что такой-то логин пришёл на работу не в 8:00, а в 14:40 — и поди докажи что не верблюд. Но этим обычно занимаются если сам работник в суд пошёл, да и то если полные идиоты.

контора не имеет штатного сисадмина?? втф?

Как сказали — логин и пароль не давать никому. Ни руководителю, ни секьюрити, ни маме, ни папе. Ни лучшему другу и ТЛу. Это лично твоё. Никто в офисе без твоего личного контроля не имеет права даже стол, На котором стоит монитор протирать — не дай бог там какая-то важная рабочая бумажка с информацией будет или ещё что-то.
А тут просят логин и пароль. Хаха. Очень умные)
Не знаю, как по мне — удаленно без критичной надобности и нештатной ситуации даже удаленно под админскими доступами не должен пользоваться устройством без предупреждения и заранее оговариваемого скоупа задач

Зрозуміло, що жодна нормальна людина пароль від акаунту не здасть, як мінімум, бо це суперечить всьому чому тільки може суперечити з точки зору інформаційної безпеки. З іншого боку, наче й не просили ніколи. Якби попросили — зайшов би віддалено й надав доступ до конкретного файлу чи що там їм знадобилося.

Але тут підняли питання, мовляв, комп’ютер належить фірмі. Так, належить, і використання його в особистих цілях може навіть порушувати договір з фірмою. Але якщо за договором я пишу програми й отримую гроші, а в обід на робочому столі пишу собі сонети, то хоч би й це було порушенням, але фірма власником сонетів не стає (якщо звісно в договорі не прописано, що фірмі належить окрім програм створених в офісі ще й поезія) і доступу вони до неї не отримають. Те саме з приватною перепискою. Навіть якщо вести її з робочої машини заборонено, приватність охороняється законом і ніхто не може її порушувати інакше як на вимогу іншого закону (напр. про слідчу діяльність і там дозвіл суду має бути).

Я акцентую, чому саме суперечить: якщо логін використовується щоб ідентифікувати конкретну людину — то лише ця людина має цей логін. Якщо є наказ передати його комусь іншому — то ВІДПОВІДАЛЬНІСТЬ бере на себе той, хто видав наказ, і саме до нього питання, кому давав та навіщо. Навіть якщо розповідатиме що нікому не давав — відповідальний саме він, доки не доведено зворотнє.

Щойно від навіть у п′яному вигляді на корпоративі заявить, що НЕ БУДЕ за це відповідати — він ВТРАЧАЄ будь-які повноваження, усі його підлеглі (окрім хіба що секритутки) мають припинити виконувати його накази, та набити ***ло за саме лише намагання їх дати. Якщо більш високе начальство відмовиться надати іншого керівника — це страйк. Також вимогою є ЗМІНИТИ всі доступи, до яких цей «зламаний елемент системи» мав доступи чи міг мати. А повноваження його логіну ліквідувати всі, та видати заново явним чином, лише ті що потрібні тут і зараз.

Ця палка завжди о двох кінцях: хапаючи собі чужу владу, хапуга рідко коли замислюється, що користі з того мало, а от відповідальність повна. Прохавані роблять навпаки — тормозять саму владу як процес, використовуючи механізм повноважень (на відміну від влади, їх можна делегувати вниз). Влада ж використовується коли треба виправити зламаний механізм людської машини, зокрема для звільнення зайвих людей. У всіх інших випадках вона несе більше шкоди аніж користі.

а) надо понимать что компьютер рабочий, а не личный и соотвественно понимать что уж крайне личные вещи на нем хранить не стоит.
б) вполне естественно если админы имеют доступ к рабочим машинам под административным аккаунтом.
в) передавать логин и пароль рабочей машины кому либо, включая саму компанию, вообще то запрещается стандартными security policy поэтому подобный запрос вызывает немедленное обращение к security officer. Если компании нужен доступ к своей собственности — есть пункт б).

передавать логин и пароль рабочей машины

здесь имеется в виду логин и пароль личного аккаунта ну хотя бы б потому что xxi век на дворе и «рабочая машина не в корпоративном домене» это нонсенс и соотв. логин и пароль личного аккаунта всё равно централизованные т.е. если срочно надо иди в сукюрити сбрасывай и меняй на свой и получай доступ к уже конкретной рабочей станции

ЗЫ: хранить личную информацию тем более критично личную в наше время как-то совсем неосмотрительно включая аккаунты в соц сетей

ЗЫ: логин пароль по сути уже устарели на сегодня у 100% «иностранных компаний» с которыми я работаю уже везде принудительная 2-факторная авторизация вот буквально на днях пришлось в прыжке добавлять телефон в аккаунт уже почти заблокированного аппле-айди благо айпад оставался открытым и разрешил ))

ЗЫ: правда на корпоративные логин/пароль в домене вводимые локально читай на доверенном оборудовании это кажется не распространяется

Тут есть вопрос. С современной криптографией, административный акк скорее всего не будет иметь доступа к информации в разделе пользователя. А это именно то место, где должны жить всякие важные рабочие проекты.

Сомневаюсь что в запросе была логика или здравый смысл, но если у фирмы честно-честно есть подобная необходимость — админский аккаунт делу не поможет.

к информации в разделе пользователя. А это именно то место, где должны жить всякие важные рабочие проекты.

Нет, всякие важные РАБОЧИЕ проекты должны лежать где то на сервере, управляемом компанией, желательно в облаке.
Всякие важные ЛИЧНЫЕ данные могут лежать в разделе пользователя.

Уявіть собі, що ви найманий водій, працюєте на автомобілі, що належить фірмі. Задайте собі наступні питання:

1. Чи можуть бути ключі від цього автомобіля в інших співробітників?
2. Чи можуть в іншу зміну на цьому автомобілі їздити інші водії?
3. Чи можу я використовувати цей автомобіль в особистих цілях?
4. Чи можу я зберігати в ньому особисті документи і розраховувати, що їх ніхто не побачить?

Так от, автомобіль фірми == комп’ютер фірми.

Неправильна аналогія. Компьютер — так. Логін завжди особистий. Більше того стардарти інфобезпеки забороняють використання спільних аккаунтів.

водії Убера / Уклона / Болта в Києві самі визнають, що співпрацюють не тільки з усіма платформами, а що й на даному авто їздять по черзі (можливо і під одним профілем). А іноді один водій приїжджає під своїм профілем на іншому авто...

А іноді один водій приїжджає під своїм профілем на іншому авто...

Я на такое стучу в саппорт, моментально.

Если автомобилем пользуются все, то он перепродается как «не бит, не крашен» на авториа через пару месяцев

Fixed

нет конечно )) по аналогии это как на всю контору одни права и все водилы под ними ездят

Якщо брати що пк це автомобіль, — це ваш особистий спецодяг з вашим ідентифікатором. Чи дозволите ви користуватись ним усім кому заманеться? Думаю ні.
Логін — це наче ваш паспорт і код іпн, вони є власністю держави, але ж ви не даєте їх кому заманеться...

тут пропонують дати водійські права іншому водію, щоб він на цьому «автомобілю фірми» покатався

Спитати чи не шутка це. Якщо ні — бігти звідти якомога далі.

Оставлять личные аккаунты открытыми не на личном компьютере и хранить там личную информацию это пренебрежение базовыми понятиями кибербезопасности. Лучше вообще на работе не пользоваться личной почтой и не сидеть в соцсетях. А еще полезно не только с точки зрения безопасности завести чисто рабочую почту, скайп и т.д. — тогда вас не будут доставать в нерабочее время.

Хехе, я когда-то работал в одной говноконторке, заболел на 5 дней, начальнички тоже попросили логин-пароль. Прихожу после больничного, а меня оказывается уволили и за моим компом сидит новый сотрудник.

всё правильно сделал!

Вот это жость ) А что за галера? Можно сразу сносить всю инфу и отдавать машинку обратно с прощальной запиской и кредами.

Раскрытие доступа к рабочей станции описывается в информационной политике безопасности вашей конторы. Вы ее изучили? Расписались?
Если нет — то можете давать а можете и не давать.

Целиком допустимое требование. При трёх разумеющихся условиях:
1) Компания требует этого в письменном виде, официально, с печатью — и это часть договора. Это де-юре снимает ответственность с работника, и чтобы её повесить — нужно ДОКАЗЫВАТЬ, что только работник мог воспользоваться логином и паролем.
2) Компания сама выдаёт этот логин и пароль и запрещает его менять. Соответственно в случае если что-то было сотворено некошерное — то компания должна доказывать ещё и что этот логин и пароль не попадал в чужие руки. А это доказать невозможно: о чём знают двое, о том знает свинья. Тем более что где-то этот пароль 100% хранится и 100% в открытом виде.
3) Человек должен быть РАБОТНИКОМ компании, а не ЧП на подряде. Если он ЧП, то выполняет только то, на что его подписали. Если это компьютер компании, выделяемый для работы, а не арендованное де-юре рабочее место, то компания однозначно попадает на штрафы как только заявит ГРАФИК работы за её компьютером — это откос от налогов, по максималочке штрафа.

Технически нет ровно ничего сложного: создать юзера, дать пароль, и пущай развлекается. Разумеется прав этому юзеру дать ровно столько, чтобы хватило только спалиться попыткой входа с этим юзером. А работать из-под другого юзера.

Акцент всегда на официальности — бюрократы любят чего-то хотеть, и лучший способ заставить их расхотеть — показать что этим берут на себя ответственность за последствия.

Формально компании ничего не стоит слить ваши данные тупо имея физический доступ к устройству ночью. Вы и знать не будете. Или засунуть туда же какой-нить бэкдор, создать своего юзера с высокими привелегиями (и скрыть его).

PS. У меня был прецедент: по молодости работал админом в одной небольшой конторке. И захотел начальник чтобы у него были права админа на любую тачку в компании. Ну а работал я на ночной смене, соответственно приказ на исполнение достался мне. Ну а хуле — приказ есть приказ, выполнил. Начальник и его зам очень изумлялись наутро — они искренне верили, что на их собственных компах всё сверхсекретно, пока не получили свои пароли на электронку (благо email-сервак внутренний). А с меня какой спрос — вот приказ, НА ВСЕ компьютеры, кто ж знал что их компы в эту категорию не входят. А причина приказа была банальной: сторонняя контора должна была прислать спеца ставить некий конче-потрибный софт, и он требовал прав админа.
В общем, больше таких приказов на фирме не давали :)

пока не получили свои пароли на электронку

ты хотел сказать «свои НОВЫЕ пароли» наверное?

Или время акуительных историй, или по таблицам ̶Б̶р̶а̶д̶и̶с̶а̶ радужным чувак пароли из хешей выковырял

Как бы мог, но в тот раз не понадобилось. А другой случай так никогда и не случился.

Они их не знали от админских учёток. Их юзеров, из-под которых они работали, я не трогал, тупо снял пассы админа и поставил новые. Имея физический доступ к железу — задача уровня обезьяны.

Но это было в те времена, когда интернет был медленный-медленный. А начальство любило порнушку. Благо в те времена ещё не догадывались пихать туда вирусню. И не особо хотело, чтобы кто-то об этом знал.

Разумеется, об этом узнали все, когда шеф потребовал от меня оплатить слишком большой трафик. Я естественно объяснил, что компьютерами пользуюсь не только я, и что если начнутся вопросы кто не по работе — то придётся разбираться кто и сколько. И окажется что вы сами просили скачать фильм.
Но это то что понял он. Чего он НЕ понял — что на его компе в тот же день встал Radmin, и вся фирма посмотрела, чем он бедолага занят. ИБО НЕХЕР наказывать сотрудников за выполнение их же работы.

Таковы понятия в этом бизнесе: НИКОГДА не наказывай своих людей «просто так», «для профилактики» и по презумпции вины. Стоит 1 раз это сделать — и сотрудника дешевле уволить в тот же день, чем иметь врагов под боком. В лучшем случае такой руководитель никогда не получит доступа к реальным возможностям подчинённых, они будут делать вид что не способны выполнить работу быстро или качественно или вообще. В худшем — они уже слили клиентскую базу конкуренту.

Такой практики не видел ни в одной из компаний где работал.

У админов обычно есть доступ к компьютеру, в том числе удаленный

А так, исходный код должен быть в гите, презентахи и т.д. — облако, расшаренная папка, гит.

В такой просьбе следует отказать. Думаю последствия будут не очень приятными в случае согласия.

Як справжній параноїк я б таку дічь взагалі сприйняв як «перевірку на вшивість» під час проведення якого-небудь аудиту со сесюріті полісям. Здав пароль — програв.

Аудит? В Україні? Тут хіба що аудит використання туалетного паперу введуть

Суслика видишь?
А он есть

Аудит. В Україні. Аж бігом. Перевірку інфобезпеки з використанням соціальної інденеріх також робили.

Написал всем сотрудникам у кого почта в открытых источниках письмо. отправитель мутноватый (похожий домен прикупил). тема про переезд сервера на новое место. и кто хочет сохранить свою учетку в систему управления проектами — заполните гугл форму ( мыло / пассворд ). 11% акков получил. плохо что среди этих акков 40% отвечающие за отделы люди. ( естественно сам тест проводился через месяц/два после рассылки подробной на тему фишинга. и расписаны в рассылке все приемы которые в тесте потом и использовал) забухал на пару дней от тщетности бытия.

Можно попробовать решить вопрос через TeamViewer. У нас так и делают. А вообще в некоторых компаниях выдают доступ и имеешь право пользоваться только ограниченным набором инструментов.

Особенно смешно когда право на создание нового юзера остаётся :)

Особенно интересно и полезно работать под собственным юзером, когда имеешь дело с зарегулированной компанией, имеющей регулярные проверки безопасности, а твой доступ включает чувствительную информацию о компании/клиентах.

Из зарегулированных компаний нужно просто уходить при первом удобном случае. По той уже причине, что те кто налагает запреты — могут сказать только «нет» и не могут сказать «да», иначе говоря являются МУДАКАМИ по своей роли, не имеющими права развивать бизнес, только гадить. Как правило, из этой роли все вменяемые бегут сразу (или их вытесняют, или увольняют козлами отпущения), а уже после того надо бежать всем, кто от роли зависим.

Сколько бы ни предлагали (а обычно предлагают маловато), работа в зарегулированной компании ломает человека, его способность принимать адекватные решение, и как следствие — способность развивать квалификацию. Даже при всей готовности и способностях сопротивляться системе — всё что она сформирует, по сути будет квалификацией работы с такими системами, и аж никак не те навыки, которые нужны «на воле».

всё что она сформирует, по сути будет квалификацией работы с такими системами, и аж никак не те навыки, которые нужны «на воле»

Вообще-то єто и есть цель такой системі. С какого перепугу она должна воспитівать

те навыки, которые нужны «на воле»

?

Это собственность компании, скорее всего в контракте есть пункт об этом.
не хочешь чтоб был доступ к личным данным — не держи их на рабочем компе(включая доступ в личный ящик почтовый, драйв итд).

Машина — да. Пароль — нет.
Права требовать именно пароль тоже нет.

Обычно к машине есть доступ и без пароля работника.
Есть другие пользователи для админов + всякие админские тулы.
Не настроили? Сами себе злобные бакланы.

Дивне прохання, якщо з вашої робочої машинки, під вашими логінами нароблять якихось неподобств — хто буде винен? думаю відповідь зрозуміла.

без проблем как в теории, можно сразу сделать учетку my_coworkers даже прям
при условии что доступ к компу/ПО а не личным персональным учеткам в системах. ибо даже если не злой умысел (пусть все хорошие и честные by default), но фактор ошибки -> ищи-свищи-виноватого
Для случайных topless selfie от любящей HR vera crypt помогает.

Зачем им ваш логин и пароль, если можно создать себе отдельного пользователя и пользоваться железом.

И просто получить физический доступ к железу, ежели чего надо снять из данных.

Совершенно верно. С этим никто не спорит. Но всё же есть определенного рода личная рабочая информация, которая остается в узком кругу. Вот был коммент на эту тему
dou.ua/...​rums/topic/29953/#1802261
Никто не говорит о том чтоб на рабочем железе устраивать хранилище фото/видео/документов, но всё же личная и рабочая жизнь могут пересекаться на рабочем компе.

дело в том, что получается что могут использовать твою технику без твоего ведома.
Нужно что-то, спроси пароль, возьми что нужно. Если нужно конечно.
Но так ты точно будешь знать кто и когда имел доступ к твоему рабочему железу. А отдав пароли, ты становишься совершенно не защищен.

по такій логіці в арендованій квартирі не можна тримати особистих речей а власник може будь-коли попросити з’їхати на кілька днів щоб там пожив хтось інший.

В аренду, аренду... хто ж на те всрате залізо претендує? Алу придуманий пароль — об’єкт права інтелектуальної власності, так що зась! )

Х**льник ) Я на своєму залізі у своєму приміщенні. Але навіть так, посилав замовників під три чорти й за менше нахабство.

А, власне, те, про що я писав, це саме позиція з точки зору офіційної оренди (техніки, робочого місця, тощо), якою наші злиденні шараги так люблять приховувати де-факто трудові відносини. Але якщо вас так пре захищати «права» погонщиків на цюцюрці вертіти здоровий ґлузд та нехтувати особливостями формату співпраці, не перешкоджатиму, розважайтеся )

Во многих компаниях именно так и есть. С твоим логином и с известным только тебе паролем ты можешь залогиниться на любой компьютер компании. Думаю, объяснять не надо, что кто угодно может залогиниться и на тот компьютер, за которым ты постоянно работаешь? И при этом у тебя будут локальные права администратора, но ты не можешь изменять список администраторов группы, в которую входит твой компьютер?

развернуть проект на рабочей машинке, тоже можно считать риски в виде того что вы этой техникой не владете?

Никто не говорит о том чтоб на рабочем железе устраивать хранилище фото/видео/документов, но всё же личная и рабочая жизнь могут пересекаться на рабочем компе.

Могут, но нужно быть готовым что к твоему компу могут получить доступ админы компании.
Причем не спрашивая твой пароль.

Пароль давать не нужно, но к такой ситуации нужно быть морально готовым.
Грубо говоря рабочий компьютер — это железо которое ты не полностью контролируешь.

Хотя некоторые компании позволяют поставить самостоятельно линукс, тогда такой проблемы нет)

но всё же личная и рабочая жизнь могут пересекаться на рабочем компе.

это уже забота пользователя, следить за тем, что он туда «размещает».
---
Рабочий комп — железо компании, учетка — доменная, администратор домена знает все данные, кроме того стоит «что то от безопасников»... так что «думать головой» что и как делать на рабочем компе, какие личные доступы там размещать (лучше никакие важные).

ЗЫ. Если говорить о каких то потенциальных деструктивных/сомнительных действиях под твоей учеткой... то это из области политик компании, в нормальной компании любой пользователь должен ходить под своей учетной записью, что бы был нормальный аудит след. Если кто то что то не может сделать при отсутствии кого то — это проблема распределения полномочий.

Железо компании, но профиль пользователя — личный. Ибо имея доступ к аккаунту, можно (теоретически) залить кучу коммитов, за которые тебя через время могут и наругать("ты нам деливири сломал", в лучшем случае).

Допустим вы арендовали квартиру/машину/что-угодно. У владельца, допустим квартиры, есть ключи. Он приходит в любой момент дня и ночи и срёт на ваш ковёр, т.к. "

железо компании — это железо компании

Вы видели контракт топикстартера и что там конкретно прописано?

Пфф, не нравятся квартиры — вот вам другое. Вы дали пароль от компуктера, пошли попить кофе, а некий Васян взял и от вашего имени закомитил в мастер код с комментарием «тимлид — резиновое изделие номер 2».
Вопрос — кто при условии

железо компании — это железо компании

назвал тимлида нехорошим словом? Железо компании?

мы сейчас обсуждаем абсолютно стандартную ситуацию, в которой такие вещи прописаны.

По вашему требование паролей это стандартная ситуация?

васян он кто?

Кто угодно, кому стал известен пароль

васян он как зорро пропал со всех камер?

Каких камер, нету камер.

вы за васяном не следили?

Я вообще там не при делах.

Вы не различаете «железо компании» и информацию. Если железо компании — то она может иметь доступ к железу — погладить клавиатуру, поплевать на экран. Информация же, которая хранится на этом железе априори не может быть собственностью компании.

ну так обычно прописывается в договоре, что арендованное железо вовзращается при определенных условиях компании, при разрыве договора или по другим обстоятельствам, а то что в ваше отсутствие кто-то работает на вашем компе — это уже нарушение договора. Аналогично, раз уж так дотошно, то надо прописывать в договоре, что доступ к инфе на компе, имеете только вы. Хотя в большинстве нормальных случаев в ваше отсутсвие никто не будет лазить по учеткам. Аналогично вы снимаете хату, и в договоре прописывается, что хоязин в хату может заходить в вашем присутствии, но не шариться в арендованной хате без предварительного уведомления.

у меня винт закриптованный, пусть забирают бессмысленный набор символов, мне не жалко. Формально файлы и шумоподобную последовательность байтов без ключа передал в «собственность компании»

На самом деле большинство решений по шифровке диска не такие секьюрные внутри компании. Например, у нас используются стандартные средства шифрования, но полная расшифровка занимает от 8 до 12 часов админами. Я не интересовался деталями, то ли ключи составные и для взломщика извне это проблема, но для админов не очень большая проблема расшифровать все.

Вполне возможно что твой пароль защищает лишь твой ключ, а ключи назначаются.

Вот да. Bitlocker ключ в AD есть, например.

причому самі юзери часто бігають до адмінів — дай ключ відновлення бо залочило, а свою копію десь подів

падажди, если кто-то залогинится в систему под моим акком, то он, как минимум, сможет лазить по моим сайтам в хромиуме не логинясь. Или ты предлагаешь на работе под собой не логиниться в гугле и на др. сайтах в принципе?

Или ты предлагаешь на работе под собой не логиниться в гугле и на др. сайтах в принципе?

Под каждый вид задач нужно заводить свои акки и увязывать на своё отдельное мыло, и на свой телефон. Например, у меня ни на одной работе вообще в принципе не имеют никакого понятия об этом акке с которого тут пишу. Искали инфу с соцсетей, но ничего не нашли.

ты не понял. Если я нахожусь на работе, то это не значит, что не отвечаю на личную почту, в телеге/вайбере с компа и т.п. Плюс открыт браузер, в котором я залогинен на куче технических форумах и сайтах, на которые захожу и с домашнего пк. Причём здесь рабочие аккаунты?

таскать ноут на работу где и так у меня стоит комп? Зачем? И это вы ещё про шапочку из фольги говорите? Я просто не буду давать к нему доступ, даже если попросят.

если вы думаете, что потянули бы финансово ноут с теми же характеристиками, с которыми мне нужен десктопный, то сильно ошибаетесь. Ах да, цифровой аутизм вам мешает наверное.

вам нужен ноут с райзеном 3950х и 128гб озу для того чтобы открыть браузер или мессенджер?

вы троллите наверное? Если бы у меня был такой личный ноут, то да, я бы с ним, возможно, ходил на работу и открывал в нём заодно браузер и мессенджер. И на десктопный на работе хер бы клал.

или вы не понимаете концепции рабочий пк, личный пк?

я не понимаю концепции таскать с собой ноут только потому что он личный. Да, мне это было бы впадлу делать и у меня, к тому же, нет шапочки из фольги как у вас. Гораздо проще просто не давать к рабочему пк доступ. Никаких личных файлов на рабочем не храню, всё в облаке есишто. Разве что хромовский файлик с закладками не хотел бы показывать в случае если вынут ssd. Но тоже как-то не особо парит.

Чего? Свои личніе логині на учетке компании? Жесть

и не говори, как будто нельзя сделать шифрованную виртуалку для такого ..

в разных компаниях разные полиси. В банках там безопасники за *опу берут, там с ними бесполезно спорить. Может быть сквозная авторизация через LDAP/ActiveDirectory на всех компах. В гугле кажется нет понятия «рабочее место» — можно работать с любого компа, но там и с секьюрностью можеть быть получше. Если это какая-то галера и просят доступ к своей учетке и проекту — слать подальше. Ну а вообще с обычной учетки без рутовских прав нельзя ничего вытянуть с системы, и лазить в домашних папках других юзеров. Та и мессенджеры очень много кэшируют личной инфы на раздел.
По-хорошему сам хард/ссд также должен быть зашифрован, иначе вся инфа доступна любому болвану с загрузочной флешкой

Если это какая-то галера и просят доступ к своей учетке и проекту — слать подальше.

не совсем ясно. что значит доступ к своей учетке и проекту?

Дорогого гребца давшего доступ уволят, а вместо него посадят сговорчивого июня :D

не совсем ясно

попросили дать доступ к рабочему компьютеру, под предлогом надобности в доступе при отсутствии человека в офисе

доступ для чего? сапер раскладывать, смотреть п*рнхаб, махать веслом?

есть такие говнопроекты, которые работают только локально при наличии большого количества условий и компоненотов, и что на новой тачке у новго гребца это не подымать, капитан шхуны садит за весло нового гребца, а старого за борт к акулам

на *****.it галеру и больше не будут просить

Давай почнемо спочатку: ПК власність компанії? Включений в мережу компанії?

Значит, и хранилище данных в компуктере — собственность компании, соответственно и данные. Если другого не сказано в договоре:)

так-то бред получается. подключил телефон заряжаться к компу, случайно открылся проводник с файлами на телефоне. Всё данные компании.
Решил распечатать билет на концерт с рабочего компа. Всё данные компании.
и так дальше.
Получается что и человек тоже собственность компании.

Не человек, а данные человека. Большинство из нас спасает то, что мы коллективный неуловимый Джо. А так человек учится цифровой гигиене после первой массивной утечки.

Ні — це ваші дані, але залишені в неналежному місці. Конкретна політика по можливості збереження персональних доних на робочому ПК залежить від компанії. І є варіанти, коли друкувати щось особисте на принтер компанії заборонено. Як і підключати будь-які пристрої, що є носіями інформації (в т.ч. телефон) до ПК.

І яке це відношення має до облікового запису який ідентифікує мою особу? Чому я маю давати свій логін і пароль і хтось лєвий буде щось робити від мого імені? Хто буде відповідати за наслідки цих дій?

Якого саме облікового запису? Локального на вхід на комп? Чи в рамках AD/LDAP?
В першому випадку логін/пароль виду Vova/12345 вас ніде крім самого ПК не ідентифікує. До всього решта (корпоративна пошта, Github, AWS і т.п.) є окремі логіни/паролі. Якщо ж вхід на комп через обліковий запис AD/LDAP, то у адмінів і так є доступ до ПК, нема змісту його у вас просити.

В мене в компанії на все один аккаунт — і на пошту. і на логін у Windows.

зробите протиправні дії (типу погрози, сепаратизм, поширення забороненої інформації ітд) — перевірите чи вас не ідентифікують.
Потім будете доказувати що це не ви постили.

давати комусь свої креденшели це все одно що спільно користуватися однією зубною щіткою

в соц сетях и мессенджерах можно удаленно выйти из аккаунта

Ну-с, как Вы себе такое представляете со всякими IRC/Jabber? Можно, допустим, пароль сменить, но приличные клиенты всё равно логи как минимум пишут, кэши аватарок и прочее. Браузеры, кстати, тоже кэш хранят в открытом виде.

Браузеры, кстати, тоже кэш хранят в открытом виде.

Кеши, ха! Пароли хранят! Например, если включена синхронизация паролей в хроме в рамках одной учётной записи, то при простом логоне в гугло учётку, можно вытянуть все пароли. Максимум, что спрашивает хром — это пароль для AD.

Ну это уже проблема ССЗБ, которые хранят пароли, тем более в браузере.

Не в браузере, а в гуглевском аккаунте.

Это частный случай. В другие мейнстримные браузеры тоже облачную синхронизацию завозят. Но и без неё это дыра. Пароли тем и отличаются от ключей, что хранить их где-то не обязательно. Можно, конечно, терморектальным криптоанализом вытащить, но к теме топика это вроде не относится :)

Попросили сделать админ гостя аккаунт. Я сделал, а потом удалил. Кто мешает поменять пароль?

не по этой причине)

В большинстве компаний компьютеры объединены посредством Active Directory. Соответственно, для них вопрос, вынесенный в заголовок, неактуален.

Хм... а что такое Active Directory? Если я свой Linux ставил и настраивал сам, он включён?

нет, тебе надо будет ещё самбу настроить :)

Хм... а что такое Active Directory?

Это хрень на базе кербероса. Можешь логониться по LDAP.

сли я свой Linux ставил и настраивал сам, он включён?

Да. У нас именно так — все логоны именно так, даже если ставил и настраивал сам.

это скорее всего очень больших компаний касается или очень секьюрных.

Да почти везде так. Удобно же админить с 802.1X

послать нахер

п.с. но личной информации на рабочем компе — быть не должно.

Быть залогиненым в соц сети и мессенджеры можно считать личной информацией?

Можно.
Мессенджерами лучше не пользоваться: представь у тебя совещание, ты показываешь свой экран, а жена в это время тебе отправляет через iMessage сиську и её все видят. Ну или что-то другое прилетит — но всё равно это никто не должен видеть.
Если зашёл в соцсети — есть функция удалённо прервать сессии на некоторых устройствах, при попытке пользоваться и что-то прочесть — выбрасывает на форму входа.

Я в реальности никогда не встречал человека, который хоть что-то из личного не держал на компе, какой-то файлик да точно скачается.
А вот выходить со всех соц сеточек постоянно, кажется паранойей, так как все прекрасно осознают, что на работе время тратится не только на работу.
Вот на доу даже написать, пожаловаться.

Я в реальности никогда не встречал человека, который хоть что-то из личного не держал на компе, какой-то файлик да точно скачается.

Я ничего не держу. И всякие сайтеги не по работе — не открываю.

Потому как, работа для работы. За это время деньги платят.

скучно то як
платити мають за результат

За результат и платят. Если отработанные часы есть, а результата нет (или сочтут недостаточным) — быстро выкидывают на мороз.

По хорошему все соцсеточки с мессенджерами только в телефоне и интернет только мобильный.
По плохому многим компаниям достает ума пользоваться для рабочих вопросов личными мессенджерами.
И если рабочий эккаунт скайпа еще можно сделать, то с телегой или вайбером все сложно.

личный телеграм для рабочих чатов это самый жесткий зашквар(

В Украине-то сложно? Симок без регистрации — как грязи, раз в год копейки какие-то на счёт кидать, чтобы не пропал номер. Ставите в любой мобильник, на комп — эмулятор Android, в него Viber, активируете SMS-кой или звонком; потом подключаетесь к эмулятору по adb и ссылкой активируете десктопный клиент, можно даже несколько. С Telegram ещё проще, там мобильный клиент не нужен (был, по крайней мере, в моё время).

сложного ничего. просто это доп геммор человека который бережет своё личное пространство.
Если ты приходишь в компанию, то пусть всё будет от компании. От мейла до доступов. Чтоб в момент увольнения, мейл погасил и все доступы отпали.

Ну выкинуть личную учётку из чатов проблемы не составляет.

И два десятка левых пассажиров из контактов.

А почему левых-то? С бывшими коллегами нельзя переписываться по той лишь причине, что они бывшие коллеги?

Фффф... С бухгалтерией, ХР и тем пацаном с другого этажа, с которым однажды был на одном митинге.

И чем это отличается от всяких левых людей из интернетов, с которыми тоже где-то раз пересекались, а чаты так и висят годами?

А чисто рабочие контакты, кстати, даже до увольнения можно не держать, если их через рабочие групповые чаты можно при надобности найти.

Если бы компания давала бы служебный телефон — я только за.

А вот выходить со всех соц сеточек постоянно, кажется паранойей,

я и на домашнем компе выхожу

Купи ноут, поставь рядом и открой хоть в 5 окон месенджеры)

ты что? в рабочее время личным компом пользоваться? атата

Регулярно у меня и не только открыт рядом личный ноут, никаких проблем.
Даже не знал что это может быть проблемой)
Телефонами тоже нельзя?)

На режимных объектах таки да, могут отбирать при входе, как минимум если мобильник с камерой. Из-за этого есть определённый спрос на мобильники без камеры, типа Xiaomi Qin 1/1S. Не в курсе, правда, есть ли в Украине такие объекты.

Быть залогиненым в соц сети и мессенджеры можно считать личной информацией?

Нет, если там лишь контакты по работе.

Ну ти ж не будеш тримати ssh ключ без парольної фрази на недовіреному пристрої?

рабочий комп и подразумевает под собой «доверенный девайс». но когда пароли знают все, то не совсем ты можешь сам отвечать за то что никто не сольет инфу по проектам куда-то в сеть

Довірений пристрій може бути лише вдома. І то, якщо немає можливості зайти зі стороннього носія. Біос під паролем, корпус на замку, вінчестер зашифрований, ключ на флешці, що завжди з собою.

ключ на флешці, що завжди з собою.

ну если после точки мысль закончена, возникает вопрос — резервирование где предусмотрено в этой схеме? утеря флешки / выход из строя флешки. прочие нестандартные ситуации. Протокол на случай экстренной очистки хэдэдэ. Проверки линии связи на предмет работающего DPI...

Часто в компаніях ведеться розсилка від бухгалтерії на робочий e-mail з інформацією про нараховану зп за місяць (відпускні і лікарняні, ...). А той же час майже всі компанії нав’язують нерозголошення зп між співробітниками. Така собі дирка в логіці.

Додатково, якщо твої логін і пароль доступні іншим людям, то хтось може послати dick pic CEO всєя компанії ну і так далі

кстати интересная обратная сторона медали.

Часто в компаніях ведеться розсилка від бухгалтерії на робочий e-mail з інформацією про нараховану зп за місяць (відпускні і лікарняні, ...). А той же час майже всі компанії нав’язують нерозголошення зп між співробітниками. Така собі дирка в логіці.

І шо?
Такий лист має шифруватися відкритим ключем співробітника, тож прочитати зможе лише він.

Камон, кто шифрует мейлы такие? Если на рабочую почту пришло, то это подразумевает что не должно попасть к другим сотрудникам и прочим.

Шифрують, звісно. Не квартирні шлюпки, а нормальні галери.

Чего нет? все-равно кукис будут, явки пароли там

Зняв галочку зберігати історію відвідувань — і все, гуляй, Вася. А DoH захистить навіть від стеження на рівні роутера.

Підписатись на коментарі