Я новый наем инженера низшего звена в крупной компании в США. При подписке на пакет льгот/страхования я заметил, что требования к паролю включают не более 9 символов . Излишне говорить, что я не чувствую себя очень комфортно, предоставляя личную информацию для такого слабого требования. [1]
В связи с моим (низким) статусом, допустимо ли доводить эту проблему до ИТ и/или отдела кадров, или это будет раскачивать лодку? [2] Я поднял этот вопрос в разговорной речи со своими непосредственными менеджерами (с которыми у меня хорошие отношения), и, хотя они признавали наличие плохой практики, они, похоже, не слишком беспокоились о том, чтобы что-то с этим делать. Они, скорее всего, привыкли к этому, зарегистрировавшись много лет назад.
Я бы очень не хотел плыть по течению и (а) не чувствовать, что моя личная информация находится в безопасности, и (б) оставлять эту практику незамеченной или незарегистрированной. Конечно, я чувствую себя глупо, думая, что компания изменит давнюю (и, возможно, незначительную) политику только ради меня. Но, в конце концов, любая плохая практика безопасности хороша до тех пор, пока она очень быстро не станет совсем плохой.
[1] Поскольку это рабочее место, а не SE безопасности, пожалуйста, предположим, что это плохая практика безопасности, которой следует избегать, чтобы мы могли обсудить рассматриваемый вопрос, а не надлежащую политику безопасности.
[2] В ответ на некоторые отзывы в комментариях, обратите внимание, что я не предлагаю идти к главе ИТ и орать о кровавой дыре в их системе . Я больше имел в виду следующее:Hi [IT/HR person with whom I have a relationship], I noticed there was a 9 char password limit on [...], is that something that can easily be changed to allow more secure passwords? Thanks, Me.
В связи с моим (низким) статусом, допустимо ли доводить эту проблему до ИТ и/или отдела кадров, или это будет раскачивать лодку?
Краткий ответ: Плывите по течению. ( на данный момент )
Я бы не стал поднимать этот вопрос до тех пор, пока вы не поработаете в компании какое-то время (шесть месяцев плюс). Они не взяли 9 персонажей (правильных или неправильных) из воздуха, и тот, кто занимался разработкой политики, потратил некоторое время на ее создание.
По мере того, как вы устанавливаете отношения с компанией, узнайте, кто написал политику, и вежливо предложите свои предложения, включая справочные материалы в поддержку ваших предложений.
Так что... ненавижу приносить плохие новости, но...
Наконец, вот что: человек, ответственный за требования к надежному паролю, сожалеет о своих рекомендациях 2003 года .
finally
, да именно этого я и пытаюсь избежать, а-ля xkcd !У вас действительно есть два варианта:
Даже в случае № 2 выше надежность всей системы зависит от самого слабого используемого пароля администратора. На самом деле крупная компания не будет спешить вносить изменения в то, что вы описываете. Вы, вероятно, слишком далеко в иерархии, чтобы иметь большое значение, если вы каким-то образом не обнаружите фактическую брешь в аутентификации.
приемлемо ли доводить эту проблему до ИТ и/или отдела кадров?
В общем, нет, по крайней мере, пока. Не только потому, что вы новичок в организации, но и потому, что вы не ИТ. Грубо говоря, предыстория вашего вопроса мне кажется, что вы "знаете лучше", чем профессионалы, вся карьера которых решает эти вещи, несмотря на то, что, по вашему собственному признанию, вы не являетесь экспертом в этой теме. . И я ничуть не инвестирую в вашу компанию, так что представьте, как отреагируют на это те, кто занимает указанные должности в вашей компании.
Как только вы встанете на ноги, поймете, как работает организация, и познакомитесь с людьми, тогда, конечно, если это все еще вас беспокоит, осторожно задайте вопрос тем, кто будет восприимчив. Но стараться изо всех сил ставить под сомнение безопасность систем, которые не являются частью вашей ответственности или ответственности вашего отдела в качестве нового сотрудника, не связанного с ИТ, — это плохая идея и хороший способ получить репутацию сотрудника с высокими эксплуатационными расходами.
Наконец, в качестве небольшого отступления, большинство крупных организаций, если мы определяем их как нечто порядка 10 000+ сотрудников (а не 500 сотрудников и т. д.), будут иметь надежную программу управления рисками. На самом высоком уровне безопасность заключается не только в том, что «это лучшая техническая конфигурация безопасности, поэтому вы должны это сделать», но, скорее, она сводится к принятию исполнительных решений о балансировании рисков и преимуществ. Так что, скорее всего, люди знают об этом и решили, что стоит рискнуть и придерживаться такой политики паролей.
В идеальном мире люди рассматривали бы идеи, исходя из их достоинств, а не авторитета источника, и люди были бы счастливы получить информацию о том, что они приняли неправильное решение, чтобы они могли исправить его и избежать той же ошибки в будущем. .
Но в идеальном мире все были бы честными, никто не пытался бы украсть вашу информацию или использовать ее злонамеренно, нам не нужны были бы пароли, и мы бы не обсуждали это.
В реальной жизни большую часть времени тот, кто только начал работать в компании несколько недель назад, не пользуется уважением. Ты еще не зарекомендовал себя. Вы можете быть самым умным человеком в комнате, но никто этого не знает. И поэтому люди, которые были там некоторое время и зарекомендовали себя, вряд ли воспримут критику с вашей стороны.
Не всегда, конечно. Но часто.
Если бы я был тобой, я бы просто пошел с этим сейчас. Завоюйте уважение, выполняя качественную работу. Работа, которая не подразумевает, что чья-то работа была плохой. Затем, когда вы зарекомендуете себя, у вас будет достаточно уважения, чтобы, когда вы вежливо скажете, что какое-то прошлое решение было плохой идеей, люди могли захотеть вас слушать.
Если вы твердо уверены в том, что это важный вопрос (я следую вашему примечанию, чтобы не комментировать мою точку зрения на этот вопрос), вам следует обсудить его с отделом кадров. Похоже, вы находитесь в начале своей карьеры — вы постоянно будете сталкиваться с подобными проблемами. Ваша работа как инженера — находить проблемы и сообщать о них/исправлять их.
Если вы обратитесь в отдел кадров (а не в отдел ИТ), они должны быть в состоянии принять ваши отзывы и передать их соответствующим образом. Может случиться так, что ничего не будет сделано — тогда вам решать, принимать это или нет (вы можете уйти с работы или отказаться от пособий, если вопрос достаточно важен для вас). HR не будет мстить, и если вы представите свою проблему профессионально, это не должно вызвать у вас никаких проблем. Кто знает? Может быть, вы будете сотым человеком, который пожалуется, и они, наконец, исправят это. В любом случае, вы будете более ценным сотрудником и лучшим инженером, если не упустите проблему.
Джейн С