如果用户想要更改密码,他们必须让 IT 部门随机生成一个密码,或者必须通过电话告知他们新密码。无论哪种方式,IT 部门显然都需要知道密码是什么(他们存储此信息的位置未知)。
IT 部门声称这是公司政策,但我不明白其中的道理。用户不可能采取任何措施来阻止公司访问。
事实上,我觉得这会让事情变得不那么安全,因为不方便的过程使得繁忙的 IT 部门不太可能定期致电用户来更改密码。
答案1
我只知道一个原因,那是一个恐怖故事,审计员要求 IT 部门提供所有用户的密码。
除了有人盲目地遵循那个恐怖的场景(而不是宣称审计员可怕无能)之外,没有任何理由可以证明这是一个好主意。
只是为了使这一点更明确一点:
- 您无需向任何人透露您的密码。这包括 IT 人员。他们可能会要求您登录(并在他们不看您的键盘时让您输入密码)以帮助解决问题,但他们绝不会要求您提供密码。
- 访问共享资源(例如同事下班)时应谨慎行事。解决方案不是获取其他用户的密码,而是获取访问所需数据的权限。(再次强调,绝不共享密码)。
- 永远不要在电话里告诉任何人密码。...我想我可以继续说下去,但没有任何理由让任何人在工作时知道你的密码。没有。没有。没有。没有。没有。没有。没有。没有。
很好,现在问题已经解决了,你的标题是:“公司有什么理由阻止用户更改密码”。我也想不出任何合理的理由。事实上,必须有人生成初始密码。如果你不能在不告知的情况下更改密码,你需要去 IT 办公室,让他们移开视线或离开房间,然后输入你的初始密码。你还需要每年重复一次(或者更频繁地重复,如果你预计有人可能会看到你输入密码)。
总而言之,这简直是疯狂的。
答案2
这种奇怪的政策可能有部分原因。有时系统网络需要密码更改从一台服务器发起并传播到其余服务器。如果存在混合服务器(例如具有自己的安全/审计跟踪的 Microsoft 和 Linux 服务器),则可能会发生这种情况。这会带来很多长期问题,但是 IT 部门确实可以做出改变。负责中央密码服务器的团队花了一年多的时间才让一切恢复正常。不知道他们为什么花了这么长时间。
我从 IT 的另一面看到了一些非常奇怪的事情。这可能是合法的,可能是客户合同的结果,也可能是迫使 IT 采取这种设置的其他限制。有时,IT 会被告知你可能无法说明使用这种糟糕设置的原因。大多数人力资源规则中都有“禁止共享密码”的条款。
我见过的最后一个情况是,高管想要知道所有人的密码,或者有一个需要所有人密码的监控程序。我解释说,这种情况不会发生。我得到了更高级别高管的支持,否则……