Sei davvero vulnerabile a questo tipo di accuse. Tuttavia, questo è in parte un pasticcio creato da te, perché finora non hai utilizzato buone pratiche di sicurezza. Lo sai, e non voglio dilungarmi.
In genere ci sono tre tipi di modelli di sicurezza per un sito web orientato ai servizi.
- Un accesso (account / password) per l'account aziendale. Tutti gli utenti dell'azienda devono condividere la password e ognuno di loro può causare il caos. MailChimp è così, per esempio.
- Un account / password principale per l'account aziendale. È possibile condividere solo la password, ma offrono anche la possibilità di creare singoli account secondari , un login / password per ogni dipendente. Ogni attività viene registrata nel suo account secondario PayPal funziona in questo modo: i miei dati di accesso per la società ABC sono ABCCo-Harper e ABCCo-HarperAdmin. (Il primo è riservato solo al punto vendita).
- Il sito consente solo account di persone reali , quindi associa le aziende agli umani. Esempi sono una "Pagina" aziendale di Facebook, in cui un numero qualsiasi di persone sono amministratori, collaboratori o inserzionisti.
I server nei tuoi locali accettano sicuramente il modello "subaccount"; interrompi la condivisione di root e configura account amministratore con sudo.
Districare questo Web contorto
È troppo tardi per fare la cosa più importante: deviare dalla tua strada per selezionare fornitori con robuste architetture di password. Quando ho impostato i nostri sistemi aziendali, ero molto selettivo su questo; tuttavia, la metà dei nostri account è del tipo a password condivisa perché così pochi fornitori supportano account sub / reali.
Sui siti "solo per account umani reali", il sito ti ha già costretto a un modello di sicurezza competente . In questo momento: assicurati che le persone corrette nella tua azienda abbiano un account e promuovili in modo appropriato; almeno uno deve essere il grado più alto. Il tuo ultimo giorno: dì al sistema di dissociare il tuo account con la risorsa dell'azienda. Vai tranquillo.
Sui siti capaci di account secondari individuali, subito : imposta i subaccount per le persone corrette nella tua azienda, incluso te stesso, emettili password e dimentica le password che hai emesso. Assicurati che il personale appropriato abbia la password principale e chiedi loro di cambiarla immediatamente. Il tuo ultimo giorno : allontanati e non accedere nuovamente al tuo account secondario. Dovrebbero eliminarlo , ma se non lo fanno, chi se ne frega? Il journaling del sistema dimostrerà che non hai fatto nulla.
Su tutti gli altri siti, innanzitutto: assicurati che le persone interessate abbiano le password corrette.
Hai una varietà di password che non sono cambiate per troppo tempo. Cambiali. Ciò vale anche per qualsiasi password che hai memorizzato in un modo che sai essere stupido. Presumi che sia compromesso e cambialo ORA e dai loro la nuova password. Devi farlo ora, mentre c'è ancora un mese di tempo di recupero. Farlo nella tua ultima settimana è troppo tardi.
E ripulisci dietro di te; dopo averle reimpostate, elimina tutte le password da luoghi in cui non dovrebbero essere, come le email (!), i documenti Google e simili. Non sono sicuro di come mi sento riguardo ai gestori di password; sono lontani dal peggio e non dal modo meno brutto per affrontarlo.
E non fare nuovi guai; se qualcuno chiede una password, non mandarla via email / tweet / Facebook Messenger. Smettila. Scrivilo su carta, sigillalo in una busta e consegnalo a loro. La sicurezza fisica è il loro problema. Oppure chiamali al telefono e leggiglielo.
Distribuzione di nuove password
Ho a che fare con technophobe peli appuntiti, quindi creo le password su carta. Creo un documento MS-Word che elenca ogni account e A B C D E F G dove andrebbero le password. Che può essere distribuito elettronicamente. Poi ho un altro foglio che dice semplicemente A B C D E F G con uno spazio per una password per ciascuno, e che consegno a mano. Per i manager dai capelli appuntiti che difficilmente le useranno, ho messo le password principali in una busta dicendo "Password principali! Non aprire se non in caso di emergenza".
Per quanto riguarda la generazione delle password, alla fine ho finito di dischi AOL :) Quindi utilizzo un frammento di perl e / usr / lib / dict / words per generare una password di tipo CorrectHorseBatteryStaple ottimizzata per funzionare sulla maggior parte dei siti ed essere mobile-friendly (cioè non stai digitando turni più di caratteri).
Facendole reimpostare dietro di te
Quando si distribuiscono loro nuove password, inviare un'e-mail separata informandoli professionalmente che hai cambiato password, l'elenco degli account per cui hai cambiato password, e dichiara di aver fornito l'elenco delle password su carta (o comunque). CC questo al tuo indirizzo email personale fuori sede e BCC al tuo avvocato . Inutile dire che questa email NON deve contenere password .
Quindi, quando esci, invia loro un'altra e-mail nello stesso modo ricordando loro che stai per lasciare la società in data / ora e per favore cambia le password condivise dietro di te. Ancora una volta, CC al tuo personale e BCC al tuo avvocato.
In realtà, a questo punto, hai fatto tutto il possibile. Se hanno problemi, tu e il tuo avvocato sventolate quei documenti in tribunale, dimostrando che era loro responsabilità cambiare le password dietro di voi, e glielo avete detto . (Ovviamente neghi anche di fare qualsiasi cosa; ma mostrando la loro negligenza, riduci qualsiasi richiesta di risarcimento danni.)
Si spera, se fai come dico, li hai "riscaldati" all'idea di cambiare le loro password di tanto in tanto. Anche loro sanno che devono farlo; hai appena fatto il lavoro pesante per loro.
Ora, iscrivi un alleato in azienda per reimpostare le password dietro di te.
NON accedere in nessun caso a un account "per vedere se hanno cambiato la password". Non importa quanto sei curioso! Non dovresti nemmeno possedere altre password; dovresti averle eliminate da dove conservi le password. Sii accurato. Certamente se c'è un contenzioso, citeranno in giudizio il tuo laptop e un elenco di account da 1password, ecc. Se mostrano che hai conservato le password, ciò minerà la tua difesa che non sei stato tu.