我在做一份临时工作,所以他们不会给我任何密码来访问我需要的网站和资源。相反,他们告诉我转移到另一台普通员工所在的计算机,并且每个密码都已设置并保存在浏览器上。
老实说,我进入路由器(因为他们使用默认凭据)来获取 WiFi 密码,所以我可以在手机上使用它,并发现它与公司所做的活动有很大关系(例如,如果他们是一家餐馆,他们的密码是 coffe123)。考虑到这一点,我只是想看看相同的模式是否用于其他类型的资源,例如电子邮件地址、托管帐户等,是的,它们是。
在用新帐户注册另一个域时,我看到我的老板在键盘上慢慢打字,然后又弱到 f*,我就猜到了密码。
我应该告诉他们吗?我怕我潜伏太多会惹上麻烦。
澄清一下:这不是一家大公司,我们只是几个员工,但我不知道计算机和安全性,因此无法匿名报告问题或联系系统管理员或 IT 相关人员。
虽然毫无疑问,弱密码对您的公司来说是一个问题,但我强烈建议您不要将您所做的事情告诉您的老板。
贵公司出于某种原因决定不让临时工访问站点和资源。您不仅通过猜测路由器的密码获得了对无线 LAN 的未经授权的访问权限,而且您还通过针对其他资源(您不应该拥有密码的资源)探测凭据来扩展访问权限。然后,您基本上与您的老板擦肩而过。
虽然您的雇主政策中似乎存在关于访问公司资源及其密码政策的缺陷,但所有这些事情都可能被您的雇主视为“黑客行为”,并且绝对超出了您的授权范围。
如果我是你,我会注销 WLAN,如果你想访问它,我会向你的雇主询问密码。除此之外,您应该停止尝试在任何接入点上使用其他人的密码,只是“看看是否使用了相同的模式”。根据相关国家的法律制度,您很可能会面临此类行为的法律问题。
那么你应该如何处理你所拥有的信息呢?
如果您的雇主给您一个服务或资源的密码,您可以指出,例如该密码很容易被其他人猜到。不过,我不会在这里直接提及其他密码。
如果您的老板似乎感兴趣,您可以自愿为公司研究密码最佳实践。如果他们是认真的,这将消除您的担忧。
如果公司中有 IT 人员,您可以将这些问题告诉他,因为他可能会更好地理解安全密码策略的必要性。
除非您已收到明确或隐含的 (*) 授权,否则尝试猜测密码以访问未授予您的资源是一种敌对行为,即使密码微不足道或写在您不应该拥有的地方读。如果您在封面上找到带有“机密 - 保留给允许的人”的传单并且您仍然阅读了它,这也是一种敌对行动。
你能做的最多的就是在传单的情况下说“我在那里看到了一份机密文件,有人可以在没有其他人注意到的情况下阅读它。它是否真的包含敏感信息,如果是的话,它不应该存储在一个更安全的地方?” -> 意思是我看到了一个可能的安全问题,我警告过你,但我尊重机密标记。
或者如果你发现了一个同事的密码(如果下面的故事是可能的):“嘿,我不得不登录电脑,我正在考虑别的事情,我输入了一个我在家使用的密码。然后我意识到我登录了您的帐户。我立即退出了,但是您确实应该将密码更改为专业帐户”
*如果您负责评估整体安全性,则授权可以是隐含的。但是在这种情况下,您应该询问是否可以在发现一个简单的密码后立即继续。
我和其他人说的差不多,但这对你来说确实可能是一个法律问题(我不是律师)。在英国 (*) 一项相关法案是1990 年的《计算机滥用法案》,它在一开始就说:
1 未经授权访问计算机资料。
(1) 任何人在以下情况下构成犯罪——
(a)他使计算机执行任何功能,以保护对任何计算机中保存的任何程序或数据的访问
(b)他打算保护[F2,或使其保护]的访问未经授权;和
(c) 当他使计算机执行该功能时,他就知道是这种情况。
即,如果您尝试访问您知道不应该访问的任何内容。
第 2 小节说,无论什么计算机、什么数据或什么类型的数据都无关紧要,没有什么可以使它正常。
第 3 小节说:
(3) 犯有本条规定的罪行的人应承担以下责任——
(a) 在英格兰和威尔士,一经即决定罪,可处以不超过 12 个月的监禁或不超过法定最高限额的罚款,或两者兼施;
然后该法案的第 2 条规定未经授权的访问意图实施或促进实施进一步的犯罪。- 您实施了未经授权的访问行为(获得路由器访问权限),以便您可以实施另一项未经授权的访问行为(wifi 访问)。
在您的一条评论中,您说
无意造成伤害
但是该法案的第 3 条是未经授权的意图损害或鲁莽损害计算机操作等的行为- 即使您不打算伤害,如果您鲁莽行事,那就足够了。将不安全、未知、未经授权的个人设备(电话)加入公司网络“可能”使他们面临各种密码锁风格等等的风险。
我强烈怀疑这是否适用于小型企业中访问路由器的人,但如果他们想争论,你已经找了一份临时工作,闯入了他们的网络、他们的电子邮件、他们的域/网站托管,不小心将他们的网络和公司运营置于危险之中,谁知道您打算实施什么盗窃、勒索、勒索或损害。
更糟糕的是,他们不懂 IT,他们对它有多有趣或有多好奇,或者你的行为有多严肃或微不足道不感兴趣,如果他们弄错了它就不会看起来很适合你。
我应该告诉我的老板他们的密码太糟糕了吗?
是的,你应该。但除非你有理由认为他们会接受,否则不要这样做。他们应该关心。但他们没有。这不是你的公司,也不是你的问题。如果他们表现出兴趣,请说明为什么(原则上)存储的浏览器密码有风险,或者共享帐户有风险,或者简单的密码有风险。
如果没有备份,鼓励他们进行备份。“嗨,我正在阅读有关 GitLab 几乎丢失 300Gb 数据的新闻,这让我觉得我们这里没有很好的备份——我们可以为 $xyz 设置一个,你觉得如何?”
(*) 其他司法管辖区可用。
当我年轻的时候,我曾经把自己置于和你一样的境地。我对一份临时工作感到厌烦,并开始四处寻找安全漏洞。我试图通过向系统管理员发送一封匿名电子邮件来结束它,但结果适得其反:
关于我朋友差点被解雇的部分让我陷入了困境。在我的傲慢中,我完全没有意识到我可能造成的任何附带损害。同样令我惊讶的是,当我被叫到那个房间被解雇时,人们对我有多么害怕。驳回您对人们理性回应的任何想法。
我的建议是立即停止使用任何未经授权的访问。如果您真的无法在没有密码的情况下完成工作,请指出这一点,如果他们给您该密码,请指出它有多弱。除此之外,别管它。 我知道这很困难。有一天,您将能够更好地影响这些政策。你只需要耐心等待。