[Løst] Innhenting av passord for brukerkonti på arbeidsplass

[Slimda]

Hei!

 

Er det egentlig lov å be brukere oppgi passordet sitt på e-post, slik IT-avdelingen kan logge seg inn og gjøre endringer på personlige brukerprofiler? Tenker da selvfølgelig på Datatilsynets lover og regler om personsikkerhet og lignende. Noen som har stålkontroll på dette?

 

Det finnes også en funksjon innad i datasystemene som gjør at man kan se en brukers passord (dette er skrudd av hos oss), men er det lov å bruke?

 

Takker for eventuelle svar. :-)

[BlueEAGLE]

Det skal ikke være nødvendig for en IT-avdeling å ha passord for en konto for å endre profilen. De har allerede administratortilgang og vil kunne gjøre disse endringene direkte.

 

Høres mer ut som sosial manipulering enn noe annet.

[BlueEAGLE]

Når det gjelder personvernlovgiving så er det et gråere område og her er det den IT-policyen du har signert som er avgjørende. Hvis arbeidsgiver har gitt klar beskjed om at jobbens epost ikke skal brukes til private formål så er det ikke snakk om noe personvern, siden du ikke har (skal ha) personlig epost i boksen.

 

Hvis en slik beskjed ikke har blitt gitt så mener jeg relativt bestemt at arbeidsgiver ikke kan gå inn i epostboksen uten tillatelse.

 

Edit: Jeg tok feil her, gitt.

Endret 10. april 2013 av BlueEAGLE

[Slimda]

De har allerede administratortilgang og vil kunne gjøre disse endringene direkte.

Det er snakk om endring på selve brukeren, og ikke PC-en lokalt.

Brukerkontoene har personlig navn, og ifølge Datatilsynet er den å tilse som 100% personlig, og ingen har lov til å gå inn på denne kontoen med mindre man får tillatelse. (Om jeg husker riktig)

 

Jeg jobber forresten i IT-avdelingen, om det skulle være tvil. Det er ikke snakk om noe sosial manipulering av noe slag, bare ren nysgjerrighet. (Vedrørende spørsmålet selvfølgelig, ikke brukerens kontoinnhold...!)

Endret 10. april 2013 av Slimda

[BlueEAGLE]

Hvis du skal endre en brukerprofil i et system, og har administratortilgang til systemet så skal du ikke ha behov for å kjenne passordet til vedkommende. Du vil heller ikke trenge å ha tilgang til innholdet i epost for å endre brukerinntillinger.

Det er forresten personopplysningsforskriften kapittel 9 som regulerer dette.

[Icetears]

Som BlueEagle sier, det SKAL ikke være nødvendig for IT-folk i bedrifter å kjenne andres passord og påloggingsmetoder, da har jo vitsen med passord og brukerkonto forsvunnet da akkurat dette skal være privat.

Dersom IKT/støttebord mener at det er nødvendig å logge inn som en bestemt bruker så skal disse logge på med sin egen IKT bruker på gjeldene systemer inn som fjernhjelp og over brukerprofilen som trenger hjelp, de er aldri tjent med å kunne logge inn SOM brukere.

Arbeidsplassen min er en statsbedrift og vi har området P: som en personlig disk for hvert enkelt brukernavn.. Her er det såppas strenge regler som sier at om IKT må inn på den disken etter at jeg har sluttet eller gått six feet under, så må det en rettslig godkjennelse til for å ta seg inn på mitt private område, uansett om dokumentene ligger på bedriften server eller ikke.

 

For å gå inn i mailboksen til vedkommende, så må leder ha mistanke som forsvarer og gjør det nødvendig å ta seg inn i den?

[Slimda]

Spørsmålet handler ikke om å få tilgang til deres e-post-konto eller private lagringsfiler, og heller ikke at arbeidsgiver skal ha tilgang til den. Det er rett og slett muligheten for å logge seg på brukerens PC, med brukerens konto, for å se på et spesifikt problem de har på PC-en. F.eks at han får feilmelding når han prøver å sende e-post, mens det fungerer fint for andre brukere på PC-en. Vi har ikke noen magisk rutine som oppretter mailprofilen deres på PC-en deres automatisk, så vi må gjøre dette manuelt.

 

Så om personen som registrerer en sak i systemet vårt, plutselig forsvinner i et møte, eller et personlig ærend, får vi ikke løst problemet. Derav spørsmålet. Er det "lov" å be de skrive passordet sitt på e-post til Support-avdelingen, ved innsending av en henvendelse. Vi har også signert en taushetserklæring, og jeg føler derfor at kapittel 9 ikke gjelder for mitt spørsmål. Kapittel 9 snakker tross alt om "arbeidsgivers adgang".

[krikkert]

Kapittel 9 er arbeidsgivers adgang. I din rolle som IT-support er du arbeidsgivers representant.

 

Kort svar: Nei, IKT kan ikke pålegge bruker å oppgi et personlig passord. Selv om det skulle være til systemer IKT har ansvar for å drifte. Slikt pålegg krever hjemmel, og slik hjemmel finnes ei. Brukeren kan samtykke i det, men det er en fryktelig dårlig ide.

[Slimda]

Arbeidsgivers representant? Da er jeg med. Takker. :-)

[NgZ]

Det er da ikke verre enn å ha et fungerende fjernstyringssytem satt opp? Hos oss foregår slikt stort sett mens brukeren sitter ved maskinen, sånn i tilfelle. (I realiteten tar man seg en kopp kaffe.)

[Slimda]

Det er da ikke verre enn å ha et fungerende fjernstyringssytem satt opp? Hos oss foregår slikt stort sett mens brukeren sitter ved maskinen, sånn i tilfelle. (I realiteten tar man seg en kopp kaffe.)

Vi har fjernstyring, men av og til er brukerene kreative og "stikker av" etter de har forespurt hjelp. Dagens praksis er å utsette saken til senere.

[ignoreme]

Det finnes faktisk tilfeller hvor jobben blir veldig mye enklere om man har passordet til brukeren. Noen ganger MÅ man faktisk inn med akkurat den brukerkontoen for å få fikset/sett på etc en feil.

 

Ett tilfellet hvor det er mye enklere å ha passordet til kontoen; Old'e en windows profil. Noe som gjerne kan ta litt tid, om det er en del kompliserte systemer som henger med, og krever sitt. Det er en fordel, men absolutt ikke umulig å gjøre uten å få passordet til brukeren.

 

En god praksis er da å ikke spørre om passordet til brukeren, men heller om du kan endre det til ett eller annet mens du arbeider. Så kan brukeren selv endre passordet sitt tilbake.

 

Jeg gjør ofte det, når jeg sitter med kompliserte mailproblemer som jeg ikke klarer å replikere med testbrukere. Det er nemlig ikke lett å skulle koble opp en mailkonto på device X, uten brukernavn og passord

[Occi]

Det finnes faktisk tilfeller hvor jobben blir veldig mye enklere om man har passordet til brukeren. Noen ganger MÅ man faktisk inn med akkurat den brukerkontoen for å få fikset/sett på etc en feil.

Med en administratorbruker skal du jo kunne logge inn med brukerens rettigheter, bare at autentiseringen gjøres med din adminbruker? Hvordan er det forskjellig? Høres mest ut som idiotisk design på systemet du bruker.

[aklla]

Det finnes faktisk tilfeller hvor jobben blir veldig mye enklere om man har passordet til brukeren. Noen ganger MÅ man faktisk inn med akkurat den brukerkontoen for å få fikset/sett på etc en feil.

Kanskje enklere ja, men behovet burde ikke være der. I min gamle brukerstøtte-jobb spurte jeg aldri etter passordet, var en streng policy på at man aldri skulle spørre om det. Om jeg måtte inn som den brukeren var det ikke værre enn å vente til brukeren var tilgjengelig å kunne logge på selv.

 

Btw, Mail var en av de tingene jeg jobber mest med, trengte aldri passord der heller....

Man må aldri inn på den kontoen som har problemer selv.

Endret 11. april 2013 av aklla

[ignoreme]

Med en administratorbruker skal du jo kunne logge inn med brukerens rettigheter, bare at autentiseringen gjøres med din adminbruker? Hvordan er det forskjellig? Høres mest ut som idiotisk design på systemet du bruker.

 

 

 

Btw, Mail var en av de tingene jeg jobber mest med, trengte aldri passord der heller....

Man må aldri inn på den kontoen som har problemer selv.

 

Dere to må gjerne fortelle meg hvordan jeg skal fks få koblet opp en brukers e-post på en device uten brukernavn og passord.

 

Case: Brukeren sitter på andre siden av landet, og brukeren får ikke koblet opp devicen sin mot Exchange. Alt av logger ser fint ut, jeg finner heller ingenting galt med objektet til brukeren. Selv logging fra device sier lite om hva som kan være galt. Så kommer det vanskelige, brukeren har ikke andre devicer, så brukeren får ikke testet om det er devicen sin, eller om det er kontoen det er noe galt med.

 

Hva mener dere to at jeg burde gjøre her? Jeg ønsker å løse problemet for brukeren. Det gjøres da ofte enten med debugging, eller teste med andre enheter. For å teste med andre enheter, så trenger jeg ett brukernavn og passord.

 

Om det måtte være outlook/owa/ews eller noe annet brukeren skulle finne på å slite med, så er jeg helt enig med dere. Ikke missforstå meg. Men, det finnes faktisk situasjoner hvor man trenger å teste ting med brukerens egen konto, uten at brukeren kan være der å taste inn sitt eget brukernavn og passord.

 

Når slike situasjoner oppstår, og man får tillatelse til det, så foretrekker jeg å sette ett nytt passord på brukeren, så brukeren heller kan endre det tilbake senere, uten å fortelle meg det.

[aklla]

Hvilke type device er det snakk om?

Du kan uansett lage en test-konto og gi denne kontoen tilgang til brukerens epost og teste på den måten.

Eller koblet deg opp på brukerens epost med din admin-konto på en device.

 

Jeg drev med support for brukere verden over, møtte aldri brukerene personlig, alikevel resatte jeg aldri passord og fikk aldri noen passord, men dette gjaldt utelukkende pc`r da, ikke "devicer"(hva nå enn det er).

 

 

Må jo nevne at vi hadde ett særdeles sikkert regime, i alle ledd. F.eks var uansett ikke passord tilatt over telefon pga. potensiell avlyttning. E-post på mobilen var sperret, kun via OWA eller på jobb osv.

[NgZ]

Dere to må gjerne fortelle meg hvordan jeg skal fks få koblet opp en brukers e-post på en device uten brukernavn og passord.

I saken som diskuteres her er enheten en enhet. Løsning: fjernstyring.

 

Er det en annen smartdings: Slett applikasjonsdata, avinstaller, restart, installer, legg inn opplysninger på nytt. Fungerer det fortsatt ikke, er problemet enten enheten eller appen. Fungerer det for andre, er det ikke appen. Kjør factory reset.

 

Selvfølgelig er det langt enklere å kjøre med brukerens passord i mange tilfeller, men da er det ikke verre enn at man har greie rutiner for å endre passordet når dette skjer. Så endrer brukeren selv tilbake senere.

[ignoreme]

Når jeg sikter til devicer, så tenker jeg som regel på mobiler og nettbrett. Jeg burde kanskje ha spesifisert dette tidligere. Igjen, jeg er ikke uenig med dere på noen som helst måte når det gjelder systemer hvor man faktisk kan fjernstyre/bruke sin egen konto etc etc. Det jeg prøver å si, er at det finnes situasjoner hvor man ikke kommer utenom det å måtte logge på den eksakte brukeren. Og som NgZ selv sier, har man greie rutiner på endring av passord, så bør ikke det være noe problem (som jeg også har nevnt gjentatte ganger).

 

Om det kun er en bruker som sliter med ett problem, så hjelper det sjeldent å lage en testkonto, når man ikke vet hva som er feil, og ikke finner noe i logger.

 

Igjen, jeg er ikke uenig i det dere sier, men jeg står fast på at det finnes situasjoner hvor man faktisk må ha tak i brukernavn/passord for å få testet ting.

[Occi]

Igjen, jeg er ikke uenig i det dere sier, men jeg står fast på at det finnes situasjoner hvor man faktisk må ha tak i brukernavn/passord for å få testet ting.

Og jeg tør påstå det er en dårlig løsning/designfeil, og at det burde være mulig å autentisere med en annen adminbruker til aktuelle bruker, og at det da gir akkurat samme situasjon. Hvordan man autentiserer bør ikke ha noe å si for brukerens oppsett.

 

Et eksempel på dette er at du kan bruke sudo i Linux, og logge på andres brukere med ditt eget passord om du har root (adminbruker). Endre frem og tilbake på passord er en dårlig løsning, enkelt og greit. At man må logge på andre brukere til tider har jeg forståelse for.

[KVTL]

Dette reguleres jo også av arbeidsavtalen, de fleste bedrifter har gjerne et eget it- reglement. I de fleste av disse står det at passord ikke skal deles. Hvis du driver som administrator for et bedriftsnettverk, burde du ha kunnskap om hvorfor man ikke skal dele passord med andre (og spesielt via e-post/ gule lapper).

 

Har vedkommende et problem, kan dere be vedkommende selv oppsøked ere år dere begge har tid. Problem solved for begge parter.