Cosa faresti?

Vorrei fare un elenco di tutti questi accessi e mi offrirei di aiutare la persona che aveva il compito di cambiarli tutti. Man mano che ogni modifica della password veniva completata (dall'altra persona, utilizzando password a me sconosciute), la cancellavo dall'elenco.

Durante il mio ultimo mese, inviavo l'elenco aggiornato con ciascuno dei miei rapporti sullo stato, quindi l'elenco finale del mio ultimo giorno.

Se qualcuno fosse rimasto invariato, starei tranquillo, sapendo che ho dato loro un mese insieme a tutto ciò di cui avevano bisogno per portare a termine il lavoro.

Sei davvero vulnerabile a questo tipo di accuse. Tuttavia, questo è in parte un pasticcio creato da te, perché finora non hai utilizzato buone pratiche di sicurezza. Lo sai, e non voglio dilungarmi.

In genere ci sono tre tipi di modelli di sicurezza per un sito web orientato ai servizi.

• Un accesso (account / password) per l'account aziendale. Tutti gli utenti dell'azienda devono condividere la password e ognuno di loro può causare il caos. MailChimp è così, per esempio.
• Un account / password principale per l'account aziendale. È possibile condividere solo la password, ma offrono anche la possibilità di creare singoli account secondari , un login / password per ogni dipendente. Ogni attività viene registrata nel suo account secondario PayPal funziona in questo modo: i miei dati di accesso per la società ABC sono ABCCo-Harper e ABCCo-HarperAdmin. (Il primo è riservato solo al punto vendita).
• Il sito consente solo account di persone reali , quindi associa le aziende agli umani. Esempi sono una "Pagina" aziendale di Facebook, in cui un numero qualsiasi di persone sono amministratori, collaboratori o inserzionisti.

I server nei tuoi locali accettano sicuramente il modello "subaccount"; interrompi la condivisione di root e configura account amministratore con sudo.

Districare questo Web contorto

È troppo tardi per fare la cosa più importante: deviare dalla tua strada per selezionare fornitori con robuste architetture di password. Quando ho impostato i nostri sistemi aziendali, ero molto selettivo su questo; tuttavia, la metà dei nostri account è del tipo a password condivisa perché così pochi fornitori supportano account sub / reali.

Sui siti "solo per account umani reali", il sito ti ha già costretto a un modello di sicurezza competente . In questo momento: assicurati che le persone corrette nella tua azienda abbiano un account e promuovili in modo appropriato; almeno uno deve essere il grado più alto. Il tuo ultimo giorno: dì al sistema di dissociare il tuo account con la risorsa dell'azienda. Vai tranquillo.

Sui siti capaci di account secondari individuali, subito : imposta i subaccount per le persone corrette nella tua azienda, incluso te stesso, emettili password e dimentica le password che hai emesso. Assicurati che il personale appropriato abbia la password principale e chiedi loro di cambiarla immediatamente. Il tuo ultimo giorno : allontanati e non accedere nuovamente al tuo account secondario. Dovrebbero eliminarlo , ma se non lo fanno, chi se ne frega? Il journaling del sistema dimostrerà che non hai fatto nulla.

Su tutti gli altri siti, innanzitutto: assicurati che le persone interessate abbiano le password corrette.

Hai una varietà di password che non sono cambiate per troppo tempo. Cambiali. Ciò vale anche per qualsiasi password che hai memorizzato in un modo che sai essere stupido. Presumi che sia compromesso e cambialo ORA e dai loro la nuova password. Devi farlo ora, mentre c'è ancora un mese di tempo di recupero. Farlo nella tua ultima settimana è troppo tardi.

E ripulisci dietro di te; dopo averle reimpostate, elimina tutte le password da luoghi in cui non dovrebbero essere, come le email (!), i documenti Google e simili. Non sono sicuro di come mi sento riguardo ai gestori di password; sono lontani dal peggio e non dal modo meno brutto per affrontarlo.

E non fare nuovi guai; se qualcuno chiede una password, non mandarla via email / tweet / Facebook Messenger. Smettila. Scrivilo su carta, sigillalo in una busta e consegnalo a loro. La sicurezza fisica è il loro problema. Oppure chiamali al telefono e leggiglielo.

Distribuzione di nuove password

Ho a che fare con technophobe peli appuntiti, quindi creo le password su carta. Creo un documento MS-Word che elenca ogni account e A B C D E F G dove andrebbero le password. Che può essere distribuito elettronicamente. Poi ho un altro foglio che dice semplicemente A B C D E F G con uno spazio per una password per ciascuno, e che consegno a mano. Per i manager dai capelli appuntiti che difficilmente le useranno, ho messo le password principali in una busta dicendo "Password principali! Non aprire se non in caso di emergenza".

Per quanto riguarda la generazione delle password, alla fine ho finito di dischi AOL :) Quindi utilizzo un frammento di perl e / usr / lib / dict / words per generare una password di tipo CorrectHorseBatteryStaple ottimizzata per funzionare sulla maggior parte dei siti ed essere mobile-friendly (cioè non stai digitando turni più di caratteri).

Facendole reimpostare dietro di te

Quando si distribuiscono loro nuove password, inviare un'e-mail separata informandoli professionalmente che hai cambiato password, l'elenco degli account per cui hai cambiato password, e dichiara di aver fornito l'elenco delle password su carta (o comunque). CC questo al tuo indirizzo email personale fuori sede e BCC al tuo avvocato . Inutile dire che questa email NON deve contenere password .

Quindi, quando esci, invia loro un'altra e-mail nello stesso modo ricordando loro che stai per lasciare la società in data / ora e per favore cambia le password condivise dietro di te. Ancora una volta, CC al tuo personale e BCC al tuo avvocato.

In realtà, a questo punto, hai fatto tutto il possibile. Se hanno problemi, tu e il tuo avvocato sventolate quei documenti in tribunale, dimostrando che era loro responsabilità cambiare le password dietro di voi, e glielo avete detto . (Ovviamente neghi anche di fare qualsiasi cosa; ma mostrando la loro negligenza, riduci qualsiasi richiesta di risarcimento danni.)

Si spera, se fai come dico, li hai "riscaldati" all'idea di cambiare le loro password di tanto in tanto. Anche loro sanno che devono farlo; hai appena fatto il lavoro pesante per loro.

Ora, iscrivi un alleato in azienda per reimpostare le password dietro di te.

NON accedere in nessun caso a un account "per vedere se hanno cambiato la password". Non importa quanto sei curioso! Non dovresti nemmeno possedere altre password; dovresti averle eliminate da dove conservi le password. Sii accurato. Certamente se c'è un contenzioso, citeranno in giudizio il tuo laptop e un elenco di account da 1password, ecc. Se mostrano che hai conservato le password, ciò minerà la tua difesa che non sei stato tu.

In qualità di manager IT con oltre 2 decenni sul campo, posso dirti che non c'è nulla di cui bisogno . Una corretta sicurezza IT significa che il dipartimento deve avere record di quali utenti o applicazioni hanno accesso a quali risorse. Quando qualcuno se ne va, o c'è un controllo, o semplicemente cambiando password / chiavi / ecc. In base a una pianificazione, questi record dovrebbero essere referenziati e aggiornati. Sfortunatamente, non tutti i dipartimenti IT lo fanno, il che li lascia inconsapevolmente vulnerabili.

Sebbene non sia necessario, fare un elenco di tutto ciò a cui hai accesso mostra la buona fede della tua azienda. Potrebbe non essere una cattiva idea dire loro di investire in un adeguato sistema di controllo delle password.

In primo luogo, vorrei identificare le persone / persone che assumono il tuo ruolo. Se non riesci a trovare quella persona, rendila tuo manager.

Apri un account LastPass Corporate (altro accesso sicuro, addebitato direttamente all'azienda. Invita te stesso e la persona sostitutiva all'account. Aggiungi tutti i dettagli di accesso che hai protetto (in modo insicuro) nella tua email.

Tutti gli accessi che sono legati direttamente a te - modificali in modo che utilizzino i dettagli aziendali, ad esempio invece di registrarti come "fred.bloggs@example. com ", utilizza" systems@example.com ", che può quindi portare a una lista di distribuzione.

Man mano che aggiungi identità a lastPass, rimuovile da qualsiasi sistema a cui potrai accedere dopo essere uscito Disabilita anche tutti i dettagli di accesso personali (ad esempio i tuoi account utente AWS - NON eliminare gli account utente root :)) una volta che sai che non ne avrai più bisogno.

Conserva un record in Excel di tutte le modifiche apportate (ad es. "Account AWS 123456 - password modificata per Fred Bloggs" - non inserire alcuna informazione segreta lì dentro). Dai quel record al tuo manager quando esci, disassocia il tuo account personale da LastPass (se era collegato all'account aziendale) e invia un'e-mail al tuo manager suggerendo vivamente di cambiare la password principale di LastPass e tutti gli account all'interno.

Come qualcun altro ha detto in precedenza; non provare ad accedere ad alcun account "per vedere se la password è stata cambiata". Non vuoi che venga visualizzato alcun record di controllo dei tuoi accessi dopo che te ne sei andato.

Quando ti trovi in ​​questo tipo di posizione critica, la cosa professionale da fare è comporre un documento / manuale di passaggio di consegne per chi subentra nel ruolo.

Ciò includerebbe qualsiasi conoscenza specifica del ruolo , procedure dettagliate per qualsiasi cosa importante o specifica del lavoro e una sezione che include nomi utente e password.

Questo serve come riferimento per la persona successiva e diventa parte delle risorse dell'azienda. Ho visto i documenti di consegna che ho realizzato oltre un decennio fa ancora in uso diverse persone dopo, con loro che si sono semplicemente aggiornati o aggiunti nel corso degli anni. Un buon documento di consegna è una preziosa risorsa formativa e di riferimento.

Prenditi il ​​tuo tempo e fallo correttamente. Li faccio completi di screenshot, diagrammi e procedure suddivise fino alle basi come se i lettori fossero principianti.

Cosa faresti? Grazie in anticipo!

Non fare nulla. Se hai ancora la possibilità di accedere a qualsiasi account dopo il tuo ultimo giorno, non farlo! Sì, l'azienda può subire una sorta di violazione della sicurezza e tu puoi essere accusato, ma finché smetti di accedere a quegli account non ci saranno prove di illeciti da parte tua.

Se sei uscito in buoni rapporti, non dovrebbero nemmeno considerarti un sospetto se si verifica una violazione della sicurezza. Ho lasciato alle aziende tali informazioni privilegiate e ho avuto l'autocontrollo per non tentare di utilizzarle. Fai lo stesso e non dovresti preoccuparti di nulla.

Chiariamo alcune cose prima di fare una raccomandazione:

Quando lasci non dovresti più accedere alla tua rete aziendale tipicamente tramite il manuale del dipendente, un NDA, ecc ... una sorta di accordo, se non è presente a. il tuo datore di lavoro è stupido b. non dovresti più accedere alla causa dell'etica della rete.

Quindi, una volta che hai smesso di preoccuparti, non ne possiedi nulla, incluso il tuo account & email di lavoro.

Ora, se vuoi essere gentile ... crea un documento o meglio ancora un file Keepass e condividilo. Puoi controllare Keepass nel codice sorgente.

Probabilmente è troppo tardi per questo, ma se puoi o in futuro, sfrutta una tecnologia come Active Directory / LDAP con un archivio chiavi centralizzato. La configurazione della tua azienda è semplicissima.

In questo momento, la soluzione migliore è trasferire tutto a qualcun altro. Se possibile, dovrebbero aggiornare tutte le password, chiavi e segreti e metterle in un archivio chiavi dietro la sicurezza.

Con tali tecnologie, avresti un insieme centralizzato di utenti, ruoli, gruppi e autorizzazioni. Con il giusto ecosistema, come Active Directory con Azure Key Vault, tutti i segreti possono essere centralizzati e nascosti dietro un criterio che definisce il giusto set di autorizzazioni.

Inoltre, ad esempio, è possibile utilizzare Active Directory per praticamente tutto. La posta elettronica, l'ambiente Azure, gli accessi al server, ecc. Tutto è un account di dominio e tutto è sempre nascosto da una cosa: il tuo login di dominio. Questo è elegante.

Quando un dipendente lascia il posto di lavoro, il suo account viene semplicemente disabilitato e quindi anche il suo accesso a ogni chiave e segreto è disabilitato. Il loro accesso a ogni server, controllo del codice sorgente o ambiente cloud è disabilitato. È molto pulito. Ci vuole solo un'architettura aziendale adeguata. Potrebbero esistere alcuni strumenti di migrazione, ma spostare tutte le chiavi sarebbe un po 'complicato, a seconda di come le hai memorizzate (Excel, blocco note, tovaglioli, ecc.)

Non devi fare nulla. Nel sistema legale, c'è lo standard di "innocente fino a prova contraria". Ciò significa che se hanno una violazione della sicurezza e ti incolpano per questo, devono dimostrare in tribunale che sei stato tu a hackerarli usando le tue credenziali. Che, dati i loro spaghetti di sicurezza, probabilmente non saranno in grado di fare anche se li hai hackerati, quindi legalmente probabilmente non sei responsabile di nulla (IANAL).

Professionalmente, quello che dovresti fare sei tu dovrebbe dire loro "queste sono le cose a cui so di avere accesso" (potresti avere accesso ad altre cose che non conosci / hai dimenticato) ed enumerarne quante più possibile. Quindi invia quell'e-mail al tuo capo e / o al reparto infosec della tua azienda. Dopodiché, non c'è molto che puoi fare; è loro compito revocare le tue autorizzazioni e assicurarsi di non avere accesso dopo aver lasciato. Se scelgono di non farlo, è sulla loro testa, non sulla tua. Quanto alla tua responsabilità, eticamente (e probabilmente anche legalmente) non dovresti usare quelle credenziali che hai, anche se sono ancora valide, per qualsiasi motivo , dopo il tuo ultimo giorno in ufficio. Che sono sicuro che probabilmente era comunque il tuo piano e non aveva bisogno di essere riaffermato, ma questo è il lungo e il corto.

Come nota finale di confusione, non saranno in grado di ruotare chiavi / password a breve termine (es. il giorno dopo la mia uscita). Alcune password non sono mai state cambiate da quando sono stati creati gli account, anche dopo che altri dipendenti se ne sono andati.

È sbagliato, non ha senso e devi esortarli a cambiare questa politica. Può sembrare una richiesta scortese, ma le conseguenze se qualcuno fa danni con quelle credenziali e ti accusa potrebbe essere molto peggio del rischio di bruciare ponti con l'azienda.

Scriverei una mail al capo come :

Caro capo, questa mail serve a ricordare che ho ancora accesso ai seguenti account:. Dato che me ne andrò, ti chiedo gentilmente di intraprendere azioni durante questo periodo di tempo per modificare le credenziali e assegnarle ad altre persone. Cordiali saluti

L'ultimo giorno (o pochi giorni prima), invierei un'altra mail affermando chiaramente che se le credenziali non verranno modificate, intraprenderò azioni legali per proteggermi.

Inoltre, BCC invia entrambe le mail al tuo avvocato.