Босс спрашивает пароли от учетных записей, которые она может сбросить, прежде чем я уйду в отставку

Я ухожу из компании, в которой работал, из-за того, что начальник отказывается от различных обещаний, бонусов и т. д. После отклонения встречных предложений и других поощрений начальник стал относиться ко мне враждебно и теперь требует, чтобы я сдал аккаунт учетные данные для различных учетных записей компании (сторонних сервисов для хранения кода, контроля версий и т. д.), которые она может легко сбросить, войдя в систему как администратор. Она также потребовала, чтобы я передал учетные данные для моей личной учетной записи электронной почты, чтобы убедиться, что у меня нет корпоративных электронных адресов или IP-адресов.

Я ответил, что моя личная электронная почта является моей собственностью и никогда не использовалась в офисе или по работе. Я также отметил, что для других учетных записей можно просто сбросить соответствующие пароли с помощью «инструментов администратора», и что я не буду предоставлять логины, поскольку я уже согласился с юридическими условиями обслуживания для тех других веб-сайтов, которые требовать, чтобы я не разглашал свои учетные данные. Наконец, я заметил, что она может связаться с этими соответствующими сайтами за помощью в сбросе паролей, и что при этом не будет потери данных.

Я вел себя профессионально? Существуют ли какие-либо обстоятельства, при которых я должен предоставить эти учетные данные (кроме моего личного адреса электронной почты)? Наконец, должен ли я просто прямо сказать ей: «Я не могу дать вам их, потому что единственная причина, по которой они могут вам понадобиться, — это выдавать себя за меня».

Это в Восточной Канаде.

Вы действовали профессионально. Напишите переходный документ о том, как она может использовать свою административную часть для изменения пароля для каждой из учетных записей, для которых требуется сброс пароля. Не передавайте свои пароли. Что она будет делать, если ты не сделаешь? Уволить тебя?
Я вел себя профессионально? - Очень основано на мнении. Вы уже справились с ситуацией. Я не уверен, что вы просите нас, что было бы по теме.
Почти все рабочие места основаны на мнении.
@ChristopherEstep - я бы сказал, что это основано на профессиональном мнении.
Сделайте то, что предложила @dfundako, и скопируйте ее босса. Таким образом, будет сложнее сказать, что вы не сотрудничали во время вашего перехода. НИКОГДА не сообщайте свой пароль от личного кабинета.
Я никогда не работал в среде, где передача личных учетных данных кому-либо, включая начальника, не считалась бы нарушением безопасности. Если у босса есть законная потребность в доступе, то у него должны быть возможности получить доступ без вашего сотрудничества. Что касается личной учетной записи, нет, у них нет таких прав, но обратите внимание, что если вы когда-либо получали доступ к этим учетным записям с компьютеров компании, внутреннее программное обеспечение могло записать эти учетные данные. Если это так, некоторые юрисдикции постановили, что к ним можно получить доступ, чтобы убедиться, что вы не совершали нарушений безопасности.
Имея доступ администратора, ваш босс может просто сбросить ваш пароль, но будет журнал того, как они это сделали. ЕДИНСТВЕННАЯ причина, по которой кому-то может понадобиться ваш пароль, когда у них есть такая власть, заключалась в том, что они планируют войти в систему под вашим именем и подставить вас в чем-то. Будьте очень, очень осторожны, чтобы прикрыть себя.

Ответы (6)

Любой специалист по безопасности скажет очевидное: если это личная учетная запись, НЕ сообщайте ей свои учетные данные.

Она может сбросить пароли через ИТ для вашей рабочей машины, и она может на законных основаниях получить повестку в суд, если они решат привлечь вас к суду за то, что у вас есть конфиденциальные документы. Если они не хотят делать этот шаг, то им не нужны ваши личные учетные данные. Если они обеспокоены тем, что у вас есть конфиденциальная информация, то они должны получить юридическую документацию и разрешение на ее получение.

Если они обеспокоены тем, что вы сможете получить доступ к стороннему коду, они могут (а) изменить данные для входа на своей стороне и/или (б) пойти по законному пути, если они думают, что вы были там. Поскольку документы находятся в стороннем репозитории, я сомневаюсь, что эта организация подвергла бы себя опасности, сотрудничая с какой-либо гнусной деятельностью.

НЕ обвиняйте ее, даже косвенно, в проступках. Просто констатируйте факты и остановитесь на этом. Вы не обязаны приводить обоснование для сохранения вашей личной информации. Даже пароли, которые вы ДЕЙСТВИТЕЛЬНО используете для своей рабочей учетной записи, иногда могут считаться личной информацией, поскольку люди регулярно повторно используют общие пароли в своих учетных записях. Если у них есть возможность их сбросить, то им не о чем беспокоиться.

Если это личная учетная запись, НЕ сообщайте ей свои учетные данные. Небольшое несогласие: я бы сказал, просто НЕ давайте свои учетные данные в качестве общего совета, независимо от того, является ли учетная запись личной или нет, по той простой причине, что пользователи склонны повторно использовать пароли.
Черт, мне твой ответ нравится больше, чем мой. Это более полно и объясняет это лучше. Отличная работа.
Вы никогда не раздаете пароли. Частью моей работы является помощник системного администратора в моей компании, и каждый раз, когда мне понадобится доступ к любой учетной записи, я его получу. Мне не нужен и не хочу знать чей-либо пароль, и любой системный администратор, который утверждает, что ему это нужно, не стоит своих денег.
Уходя от моего предыдущего работодателя, я сбросил все пароли для всех учетных записей работодателей на общий пароль из 10 символов, который я оставил своему боссу в последний день. Я сделал это из вежливости, потому что они хорошие люди, и я НИКОГДА не использую точную личную информацию для защиты какой-либо рабочей учетной записи, не связанной с моим работодателем.
@ DLS3141 У меня не было выбора на большинстве моих предыдущих работ. Немногие люди дают программистам возможность доступа к системе после прекращения работы из-за наличия «ключей от королевства» и способности сеять хаос, если они почувствуют необходимость. Я бы не стал, потому что у меня аллергия на тюремное заключение за корпоративный саботаж, но некоторые могли бы.
@SliderBlackrose Я увольнялся по собственному желанию, а не уволен
@rath Да, это то, что я сказал в последнем абзаце. Лично они никогда ничего не получают. Перезагрузите и продолжайте, наймите хакера, чтобы он расшифровал его, или обратитесь в суд, и пусть они заставят меня дать его... и будьте уверены, что все остальные пароли будут изменены, прежде чем что-либо из этого произойдет.
И НИКОГДА НИКОГДА НИКОГДА не давайте им доступ ни к каким личным кабинетам

Нет никогда. Нет даже рабочих паролей.

Пароли являются частными. Мы, системные администраторы и поставщики программного обеспечения, делаем все возможное, чтобы никто, кроме владельца пароля, не мог их просмотреть, и на это есть веские причины.

Если есть какие-либо учетные записи, к которым ей нужен доступ, она может сбросить их. Это (единственный) законный способ получить доступ к паролям при увольнении сотрудника. Они все равно должны их изменить, так как вы больше не будете там работать.

Что касается пароля от вашей личной электронной почты, то такая просьба абсурдна. Скажи ей, что она может вернуться за этим, если у нее есть судебная повестка.

это правильный ответ на мой взгляд.

Если в вашей компании есть политика паролей и/или политика допустимого использования вычислительных ресурсов, самое время ее пересмотреть.

Личные учетные записи — она не имеет права запрашивать эти учетные данные, и предоставление их кому-либо, кроме вас, может представлять собой нарушение Условий использования этих служб.

Рабочие учетные записи — у компании должны быть механизмы для сброса этих учетных данных после прекращения вашей работы (и из вашего поста это звучит так). Эти процессы должны включать регистрацию того, кто это сделал, когда и по каким причинам. У вашего менеджера не должно быть необходимости получать ваш фактический пароль, и именно здесь вступают в игру вышеупомянутые политики. Во многих организациях нарушение этой политики может привести к таким серьезным последствиям, как увольнение, если будет обнаружено, что сотрудник использует чужие учетные данные или делится своими учетными данными с другими.

Хотя учетная запись электронной почты может принадлежать компании, это не дает вашему менеджеру карт-бланш на просмотр всего, что в ней есть. Например, общение между вами и отделом кадров может считаться конфиденциальным и недоступным для нее, но если у нее будет доступ к вашей учетной записи, эта конфиденциальность будет нарушена. Позвольте ИТ и HR управлять «архивной» учетной записью (ваша учетная запись электронной почты должна быть деактивирована и больше не будет принимать новые сообщения после вашего увольнения) и использовать имеющиеся в их распоряжении инструменты для поиска конкретных сообщений, которые могут понадобиться вашему менеджеру — ей не должно быть позволено идти на рыбалке с вашей электронной почтой, просто чтобы «посмотреть, что она может найти».

На практике вам, возможно, придется отказаться от паролей рабочих учетных записей, чтобы пройти мимо этого. Но будьте тверды в своих личных счетах. Если она действительно думает, что у нее там есть какие-то дела, она может подать соответствующие документы, чтобы преследовать их через юридическую систему.

Хорошее замечание по HR-коммуникациям. В этом отношении менеджер не должен иметь доступа к учетной записи именно по этой причине. Следует обратиться к HR и IT, которые обучены справляться с ситуацией, а также сохранять важную информацию (обычно конфиденциально, но я общаюсь не со всеми компаниями).
@SliderBlackrose хорошее дополнение. ИТ-специалисты будут оснащены для поиска конкретной информации в этой учетной записи (менеджеру нужно будет указать, что именно они ищут), а не только для того, чтобы отправиться на рыбалку .
Даже если вам придется отказаться от паролей к рабочим учетным записям, вы всегда можете просто спросить начальника, на что они хотели бы изменить пароль, прежде чем «сказать им пароль». Если компания ничего не проверяет, сложно понять, как официально заявить, что это больше не ваша учетная запись, а учетная запись вашего босса.
@alroc, как специалист по ИТ-безопасности, мне нравится ваш ответ, ориентированный на безопасность. +1 за упоминание политик и наименьших привилегий

Существуют ли какие-либо обстоятельства, при которых я должен предоставить эти учетные данные

Только правоохранительным органам по решению суда (и под принуждением).

Учетные записи могут принадлежать компании, но пароли являются личными. Конец обсуждения. Если она хочет убедиться, что в вашей личной электронной почте нет IP-адреса компании, она может нанять компанию по компьютерной криминалистике.

Я не могу дать вам их, потому что единственная причина, по которой они могут вам понадобиться, это выдать себя за меня.

Спот-он.

edit : связанный с этим вопрос о Security.SE: можно ли сообщить свой пароль системному администратору вашей компании?

Нехорошо сообщать кому-либо свой пароль . Не правоохранительные органы; не по принуждению.

Похоже, ты обеспокоен тем, что она хочет повесить на тебя грех. Если это так, вам определенно не следует говорить «единственная причина, по которой они могут вам понадобиться, это выдавать себя за меня», так как это может позволить ей создать повод для гнева.

Другие дали отличные советы по более широкой проблеме, но если она полна решимости придраться, самым простым решением может быть позволить ей вместо этого построить дело о лени:

Рекомендуется сбросить пароль для старой учетной записи, потому что это гарантирует, что я больше не смогу получить доступ к чему-либо, что мне не положено. Это также означает, что я могу использовать аналогичные пароли в других местах в будущем.

Очевидно, вы никогда не должны повторно использовать пароли. Но косвенно упомянув олицетворение, а затем направив дискуссию к гипотетическому «безопасному» греху, вы можете дать ей возможность заполнить пробелы для себя.

Если ваш начальник настаивает на том, чтобы вам давали пароли к вашим рабочим учетным записям, а вы не хотите давать здесь эти пароли (например, потому что вы использовали тот же пароль для личных учетных записей), вместо того, чтобы спорить с ним по этому поводу, вы могли бы измените все свои пароли на Password123. Или, может быть, попросите ИТ-отдел предложить пароль и изменить все ваши пароли на пароль, который они предлагают. И передайте этот пароль.

Босс спрашивает пароли от учетных записей, которые она может сбросить, прежде чем я уйду в отставку
СпросиСетьПолитика конфиденциальности1y, 0v