Je suis consultant informatique. Dois-je décourager un client de me dire son mot de passe?
Je suis consultant informatique. Un client me connaît depuis quelques années. Il veut que je retravaille l'ordinateur portable de ses enfants. Je vais devoir me connecter au compte utilisateur Windows de ses enfants. (Je suppose que plusieurs enfants partagent un même compte.)
Cette fois, il veut déposer la machine avec moi. Il voudra me dire le mot de passe des enfants ("plan A"): il me fait confiance. Mais je ne veux pas qu'il prenne l'habitude de pratiques dangereuses comme le partage de mots de passe avec des consultants informatiques.
Je pourrais proposer et pousser un "plan B":
- Il change le mot de passe des enfants en un nouveau mot de passe temporaire.
- Je me connecte, fais le travail, puis force un changement de mot de passe à la prochaine connexion.
Ou je pourrais le pousser à me créer un compte pour que je puisse suivre un "plan C":
- J'ai réinitialisé le mot de passe des enfants.
- Je me connecte, fais le travail, puis force un changement de mot de passe à la prochaine connexion.
Pourtant, je veux le garder heureux, et je ne veux pas qu'il perde du temps ou de l'argent. Je ne veux pas le pousser vers le plan B ou le plan C à moins que cela ne soit absolument nécessaire. Je me demande:
Est-ce vraiment si mauvais pour lui de me dire le mot de passe des enfants? Si c'est mauvais, veuillez expliquer pourquoi, et veuillez citer une source si vous le pouvez.
(Facultatif :) Je dis toujours aux clients un taux horaire. Mais dernièrement, j'ai facturé à la minute. Si nous choisissons le plan C, est-il éthique pour moi de lui facturer les minutes supplémentaires que cela me prendra?
Lorsque vous traitez avec home ou petite entreprise clients, je choisirais "Plan A." Comme l'a dit Adnan, il garde des données triviales. Le contournement du mot de passe, ou même sa récupération, est assez simple.
Pour répondre à tes questions:
- Je ne peux pas penser à une seule raison pour laquelle il serait mauvais de connaître le mot de passe de connexion de ses enfants.
- Éthiquement, vous ne devez facturer que le protocole standard. C'est ce qui est convenu et payé. Si vous communiquez une norme pour la gestion des mots de passe, votre client peut soit l'accepter, soit la refuser et trouver des affaires ailleurs.
Le plan B est le plus long. Votre client pourrait ne pas être en mesure d'accéder à l'ordinateur pour commencer.
En général, nous avons demandé aux clients "comment puis-je me connecter? Si vous ne pouvez pas le faire rapidement, prévenez votre client.
En tant que consultant informatique, soyez cohérent. Si vous traitez une personne que vous connaissez 2 à 3 ans différemment d'un tout nouveau client, vous compromettez vos politiques.
Lorsque vous traitez avec un entreprise ou un client gouvernemental, vous ne devriez jamais connaître son mot de passe. Vous ne devriez jamais demander, et s'ils essaient ou réussissent à vous donner leur mot de passe, signalez-le immédiatement.
Le projet gouvernemental sur lequel j'ai travaillé, nous avons utilisé le Plan C via Active Directory. Un client s'est plaint une fois que j'ai réinitialisé son mot de passe (au lieu du plan A). Notre responsable de la cybersécurité a mâché toute la haute direction et sauvé mon bacon.
Le problème n'est pas avec this situation en particulier. Évaluons la situation ici:
- Vous êtes une personne de confiance pour eux
- Le mot de passe sécurise très probablement des données triviales
Vous donner le mot de passe n'est pas si grave dans ce cas. Le problème (comme vous l'avez dit dans votre question) est qu'il a l'habitude de donner des mots de passe.
J'irais certainement avec le plan B. Pourquoi?
C'est le meilleur compromis entre sécurité et commodité dans ce cas.
Cela lui apprendra à ne pas partager de mot de passe, surtout si la leçon vient d'une personne de confiance.
Cela vous rendra encore plus professionnel et montre votre intérêt pour la sécurité de votre client.
Vous ne savez pas, il pourrait faire passer le mot sur cette situation et d'une manière que vous contribueriez à une meilleure compréhension de la sécurité (dans ce genre de situations) dans son cercle d'amis/famille.
Quant à votre deuxième question, je ne pense pas être la meilleure personne pour y répondre, mais je dirais non. Si quelque chose vous prend 2-3 minutes et que c'est évidemment trivial par rapport à une autre tâche (réparer ce qui ne va pas avec l'ordinateur), ne facturez pas réellement au client les 3 minutes de travail supplémentaires. Cela fait que personne n'a l'air bien.
Je lui proposerais le plan B, mais pas le pousser s'il ne veut pas déranger.
Vous aurez un accès physique non supervisé à l'ordinateur portable - à moins qu'il n'y ait un mot de passe de chiffrement de disque que vous n'avez pas mentionné, c'est presque certainement suffisant pour que vous fassiez ce que vous voulez sans aucun mot de passe de compte de toute façon, y compris l'installation de portes dérobées pour un accès à distance ultérieur et la connaissance de la le mot de passe vous évite tout travail inutile.
Donc, s'il a raison de vous faire confiance, il n'a pas besoin de sécurité supplémentaire, et s'il a tort de vous faire confiance, le changement de mot de passe temporaire (ou compte supplémentaire) ne lui donne pas de réelle sécurité supplémentaire.
D'un autre côté, s'il n'a pas déjà de compte invité non privilégié, encouragez-le à en créer un, donc si ses enfants laissent leurs amis l'utiliser, ils peuvent l'utiliser. (Et si vous pouvez faire le travail nécessaire à partir d'un tel compte, utilisez-le vous-même, mais cela semble moins probable.)
Je soutiens suggestion de TildalWave .
En fait, je pense que vous devriez plutôt aller chez lui et lui montrer combien il est facile de casser le mot de passe, par exemple avec Cain & Abel (sans lui montrer comment obtenir ce logiciel, ni de quel logiciel il s'agit, donc il ne le fera pas être tenté de le faire par lui-même plus tard). ALORS vous changez le mot de passe avec lui et lui donnez quelques conseils sur un mot de passe solide et de bonnes habitudes de sécurité.
Je pense que le fait de lui montrer ces choses renforcera votre confiance mutuelle, pas la diminuera.
Mais si vous ne pouvez pas venir chez lui, alors oui, permettez-lui simplement de vous dire le mot de passe de son fils, car cela n'aura aucun "effet choquant dont il puisse apprendre" pour lui demander de changer pour un mot de passe temporaire.
À propos de combien vous pouvez facturer ... eh bien, il semble que ce soit un ami plus qu'un client, alors facturez-le comme un ami, pas un client.
Demandez-vous s'il vous serait plus difficile d'abuser de la confiance de cette personne en vous en suivant l'un des plans proposés, et si vous le vouliez vraiment? Je ne pense pas. Chacun des plans que vous proposez est tout aussi facilement exploitable - par quelqu'un d'autre que vous. Pourquoi je sais que vous n'abuserez pas de sa confiance? Parce que vous êtes venu ici pour poser des questions sur votre dilemme; Quelque chose que même une personne un peu moins honnête ne considérerait jamais, et une personne complètement malhonnête préférerait chercher une imposture de déni sur un site Web public qui facilite la preuve de l'identité de cette personne.
Donc, à mon avis, votre dilemme n'est pas de prouver votre fiabilité ou d'empêcher tout doute dans vos intentions honnêtes en proposant des plans qui pourraient en exiger moins, mais plus vous n'êtes pas habitué à des connaissances commerciales qui vous font tellement confiance également dans la vie privée. Vous avez probablement gagné cette confiance par d'autres moyens auparavant, et cette personne est prête à faire avancer cette amitié. Quelque chose qui, semble-t-il, vous a un peu surpris, j'imagine?
Nous avons donc ces trois plans, aucun d'eux parfait dans un cadre non fiable, et tous presque identiques dans un cadre fiable. Je vous propose donc simplement de suivre un plan qui sera le plus simple pour vous deux. Aussi simple que cela.
En ce qui concerne le paiement, voici ce que je fais dans de telles situations: je ne le facture jamais, ni ne demande de compensation ou de retour. Ce sont surtout des tâches de routine que je peux facilement accomplir de toute façon, et si elles sont plus difficiles (rares), je le prends comme ça - un défi. Encore mieux. Si toutefois la personne à qui je fais cette faveur insiste pour me rembourser d'une manière ou d'une autre, j'accepterai soit un petit gage d'appréciation (invitation à une bière, un morceau de tarte cuit au four sa femme, ...), ou si de l'argent est offert - donnez une adresse Web de mon organisme de charité préféré et demandez à la personne de lui faire don de cet argent et de ne plus jamais lui en parler (mais une fois que je suis absent, donc s'il est difficile pour cette personne de se séparer du l'argent offert - certains peuvent être trop généreux -, ils peuvent le garder sans remords).
Dans ce cas particulier, je dirais soit aller avec le plan B ou tout simplement accepter son mot de passe.
Le plan B est plus logique, à condition d'expliquer également exactement pourquoi vous faites ce que vous faites.
Cependant, dans certains cas, surtout s'il s'agit d'un mot de passe partagé utilisé par tous les enfants, le changement du mot de passe peut être pénible. Je pense notamment à Apple. J'ai très rarement besoin de mon Apple ID, et j'oublie invariablement le mot de passe et je dois passer par les questions de sécurité habituelles, etc. avant de pouvoir le réinitialiser. Mais chaque fois que je choisis un nouveau mot de passe et que je le crée) une variation obscure sur quelque chose de mémorable, on me dit que j'ai déjà utilisé le mot de passe. C'est une douleur, et si quelques personnes partagent le même mot de passe, les chances de verrouiller le compte peuvent être assez élevées.
Alors faites un jugement.
Le plan B est le plus sûr, car vous ne voyez jamais quel est le modèle de mot de passe de la personne (presque tout le monde a un modèle qu'il utilise pour choisir les mots de passe) Le plan C est une bonne solution de rechange. Même s'il le remet à ce qu'il était, vous avez fait preuve de diligence raisonnable en suggérant et en l'aidant avec le changement de mot de passe et vous pouvez légitimement dire que vous ne connaissez pas le mot de passe si quelque chose se produit plus tard. (vous ne savez pas à moins qu'il ne vous dise qu'il l'a réinitialisé à ce qu'il était)