Da's een easy fix toch, da's instant nettoverhoging! Gezinshoofd, kind ten laste, kindergeld. Kassa kassa.
Da's een easy fix toch, da's instant nettoverhoging! Gezinshoofd, kind ten laste, kindergeld. Kassa kassa.
Dr. Sheldon Cooper
Well-known member
IT-managers van grote bedrijven die admin credentials via mail sturen in 2026...
ThekillingGoku
Well-known member
En da zal ongetwijfeld nog altijd gebeuren in 2036 man.
cege
Well-known member
Da's buiten mijne scope natuurlijk. Maar ik kan mij inbeelden dat HR wel vaak eens van die grapkes moet tegen komen.
Lijkt mij alleszins 'prime entertainment' te zijn voor zij die erbij betrokken zijn.
Mijn madam doet de payroll in HR afdeling.
Dat is daar wekelijks koekenbak met dergelijke verhalen. In het begin hihi haha. Maar na 10y is het vooral een zoveelste ongoocheling in de mensheid als er weer een idioot met het zoveelste geniale idee afkomt.
Een bloemlezing:
- "Je moet een stuk in het zwart betalen, voor iedereen beter". Om de zoveel weken een topper
- Domiciliefraude wegens allerlei redenen. Mensen die hun domicilie verzetten om de 6 maanden en dan de werkgever informeren, terwijl iedereen weet dat ze niet verhuisd zijn. Vb onze buurvrouw (!) of all people die al 3-4y woont waar ze woont, meldt om de 3mnd een domicilie wijziging. En die weet dus dat haar buurvrouw (!) dat moet processen. De eerste 2x heeft ze er iets van gezegd, de volgende keren niet. Waarom die domicilie moet rondfietsen, geen idee.
- Foefelen met kinderen ten laste (en domicilie) om lagere voorheffing te hebben
- Foefelen met kinderen ten laste om te foefelen met bedrijfswagens, (hospitalisatie)verzekeringen etc - Open en bloot terwijl je van een km ver ziet wat de foefelbedoeling is
- Gefoefel met collectieve schulden en loonbeslag allerlei. Vb, vent werkt in bedrijf (met loonbeslag) en dan proberen contract op naam van de vriendin te zetten zodat er geen loonbeslag meer is. Ik moet de eerste niet-volledig-retarded werkgever nog tegenkomen die er in zou meegaan. Of ook uiteraard vragen om stuk in het zwart te betalen. OF OF OF, je kunt het niet bedenken. Meestal, hoe achterlijke, hoe waarschijnlijker dat ze het bedenken.
Naast het payroll gedeelte uiteraard ook de volle emmer aan verhalen van gefoefel werkverzuim allerlei, fraude met doktersbriefjes (vb 2 lettertypes of scheve vakjes op de ingescande briefjes), 'woon-werkverkeer' ongevallen die aangegeven worden 200km van thuis op een niet-werkdag etc etc.
Welke manier zou je dan liefst zien? ( de mail is uiteraard idioot, maar ik ben er nog altijd niet 100% uit wat de beste manier is)
De admin credentials zijn bij ons echt lachwekkend qua password strength 
Dr. Sheldon Cooper
Well-known member
Genoeg manieren om een password te delen he zonder het gewoon open en bloot in een mail te zetten.
Wij hebben een interne tool om een password te delen met iemand anders, krijgen ze one-time access om het te lezen.
Bitwarden Send is ook zoiets dat je kunt gebruiken.
cege
Well-known member
Ik heb me er ook schuldig aan gemaakt vroeger. Als ik 200 emails heb na verlof en er zijn er 103 voor access requests, ja, sorry. Als er geen lightweight approach is intern om pwds te delen, dan vliegen die gewoon in een email. Zeker als het met een first-time change pwd is.
Als je bij ons het proces moet volgen moet je een email sturen met een login, een orthogonale methode (lees: Teams of zo) om het pwd te delen en het 'mag niet obvious zijn' dat ze bij elkaar horen. Wat gebeurt er dan helft van de keren ? Je stuurt een email met login, teams met pwd. En je krijgt ofwel een email terug 'waar is pwd' of een teams bericht 'wtf is dit password' en je bent vertrokken voor 10 min gezever, met wat geluk nog een telefoontje van 10 minuten waar ze afdwalen naar rabbit holes aan 300 per uur...
Muscleduck
Well-known member
Wij delen wachtwoorden voor nieuwe collega's ook altijd via mail. Vroeger deden we One Time Secret, maar mensen zijn te dom om er NIET op te klikken tot de collega er bij is, en uiteindelijk voeg je geen extra veiligheid toe.
ThekillingGoku
Well-known member
Je zegt het zelf al, een 'interne tool' om one-time read password te voorzien. Een tool op zich is al een barrière, maar als het dan ook nog eens iets propriëtair is, dan moet je dat niet verwachten van externen & 90% van uw interne mensen weet niet dat het bestaat.
Bitwarden Send is opnieuw een tool die je 'moet hebben', dus voor de meesten irrelevant. Al dan niet betalend, dunno.
Er zijn dan nog wel wat random 'free' websites te vinden die een one-time access service zullen hebben, maar in hoeverre die te vertrouwen zijn qua data privacy is nog maar zeer de vraag.
Basically, als er geen duidelijk gedocumenteerd proces is binnen de organisatie, waarvan iedereen vanaf weet (en genoeg op gehamerd wordt), dan zullen die tools eerder obscuur blijven. Bij gevolg krijg je uw wachtwoord via de route van de minste weerstand, vooral als het 'extern' gedeeld moet worden.
Want intern, who cares right? Je krijgt dan gewoon toegang tot het wachtwoordbeheer systeem v/d organisatie lijkt mij, via een URL naar het interne systeem of zoiets.
Dr. Sheldon Cooper
Well-known member
Geen idee hoe vaak internen buiten IT-mensen credentials moeten delen met externen dus lijkt me een standaard procedure voor de IT-dienst toch?
Ik verwacht gewoon dat een IT manager van een gigantisch bedrijf toch een betere manier weet om admin credentials te delen (en niet het type dat je daarna meteen moet aanpassen) dan gewoon plain text via mail.
Maar ik sta daar precies alleen in hier
Silence
Well-known member
Chef die begint te klagen over een collega "die heeft het werk niet uitgevonden hè". Ik reageer er niet echt op om dan aan te vullen met "Maarja, zo hebben we er ook nie veel last van hè"
Nee wie niks doet kan niks fout doen, maar die krijgt wel hetzelfde loon voor 1/3e van het werk en voor u is dat blijkbaar oké.. noted
Nee wie niks doet kan niks fout doen, maar die krijgt wel hetzelfde loon voor 1/3e van het werk en voor u is dat blijkbaar oké.. noted
Password vault gebruiken en via die weg delen.
ThekillingGoku
Well-known member
Ik zou zelf ook dat soort pw niet graag plain text via mail sturen. Maar als het bedrijf geen andere faciliteiten aanbiedt, dan spreek ik uit ervaring dat mensen gewoon doen wat het meest voor de hand ligt. Of dat dan het meest veilige is, dat wordt dan ineens bijzaak.Geen idee hoe vaak internen buiten IT-mensen credentials moeten delen met externen dus lijkt me een standaard procedure voor de IT-dienst toch?
Ik verwacht gewoon dat een IT manager van een gigantisch bedrijf toch een betere manier weet om admin credentials te delen (en niet het type dat je daarna meteen moet aanpassen) dan gewoon plain text via mail.
Maar ik sta daar precies alleen in hier
Vergeet niet dat veel lekken of whatever 'human error' zijn eh. Al dan niet via 'phishing'.
Maar tegelijkertijd, als dit soort zaken op regelmatige basis blijven gebeuren is het bedrijf vaak mee verantwoordelijk, want dan betekent dat meestal dat men de nodige tools niet heeft of de relevante WN's niet traint in het gebruik er van.
Ik heb trouwens al vanalles gezien.
- Username via mail + PW via SMS,
- one-time access URL,
- txt file op een of andere server waar we wel beide toegang tot hebben,
- Teamviewer & wachtwoord over typen van z'n scherm
- ...
Nog erger zelfs ...
Als ik er zo een krijg & ik een 'reply' moet sturen, dan haal ik bv. die credentials er altijd uit. Maar hoe vaak ik niet zie dat anderen dan gewoon die credentials almaar opnieuw blijven over-en weer mailen. Crazy.
'k Heb zelfs al geweten dat ik het uit de reply haal, maar dat men dan begint te replyen op een ander bericht uit die thread, waar dan wél die creds nog in zitten.
Ja, tenzij men somehow iets uitvindt dat wachtwoorden volledig kan vervangen, zal dat nog altijd een probleem zijn anno 2036, niet enkel anno 2026.
Muscleduck
Well-known member
Daar zijn we al he, deels.
stupid_noob
Administrator
Hier worden wachtwoorden via ontetimesecret gedeeld, en usernames nog eens in een aparte mail of via Teams. Staat zelfs in al onze policies voor ISO27001 dat een wachtwoord nooit zomaar gedeeld mag worden. Via Teams mag intern ook nog omdat onze chatgeschiedenis daar gewist wordt.
ThekillingGoku
Well-known member
Goh, sort of, kind of, not really.
Biometrics op toestellen & passkeys op (sommige) websites.
De biometrics zijn echter een laag boven de wachtwoorden & de passkeys zijn in principe toestel-specifiek & leven dan in feite ook boven een wachtwoord.
Biometrics zijn gebruiksvriendelijk genoeg dat iedereen het verstaat (en gebruikt) op pakweg hun mobiele toestellen.
Passkeys dat verstaat geen kat.
So euuuh ... ze zijn nog lang niet van hun wachtwoorden vanaf.
cege
Well-known member
Ik heb ook lang in 27001 geopereerd. Maar dat wil niks zeggen. Dat is van een zeker standaard, maar daar gebeuren ook nog veel farcen. Vb, de deur stond altijd open tenzij er audit was. Schermen werden enkel afgeschermd tijdens audit, etc. Processen werden in 5-10-20% van de gevallen met de voeten getreden. Audit vraagt 'toon keer een voorbeeld'. Je pakt met opzet iets van iemand waarvan je weet dat het altijd OK is. De weinige keren dat je prut vasthebt en er is een inbreuk, tover je je 'delinquency procedure' boven. Flowchart van 4 blokjes en je geeft on-the-spot een training bij de inbreukpleger.
Ik heb ook inbreukplegeres gehad die ik pro-actief om de 2 maanden alle trainingen liet volgen. 2 mnd later weer delinquent, rinse and repeat. Je moet toch al heel stoer zijn om als manager een goede werknemer buiten te gooien omdat hij ergens een 27001 proces niet goed volgt. In ons geval support die support gaf voor 10 applicaties, 1 daarvan onder 27001. De regels waren strenger voor die ene tgo de andere. Meneer trok zich er niks van aan/vergat de procedures/was niet goed getraind (schrappen wat niet past). Dan shit happens...
Dus ja, daar gingen zelfs soms user/pwd combis via plain mail naar klanten terwijl er 7 man sales in CC stond...
zwarten
Well-known member
Grote urgentie voor een dossier. Dinsdagmorgen wordt er in het team afgesproken dat we taak X uitvoeren. Ik verzamel mijn resources om die taak tot een goed einde te brengen. Conflicterend met andere dossiers waar die personen ook nog op werken dus ik haal resources weg van andere dossiers en geef mijn project voorrang. Veel vijven en zessen bij mijn N+1 om dit allemaal in goede banen te leiden. Dinsdagnamiddag... Ah mss gaan we die taak X toch niet uitvoeren. 
Heel formeel gezegd dat ze dik mijn kloten kunnen kussen en we die taak WEL gaan uitvoeren al staan ze op hunne kop. Ik ga iedereen zijn planning hier voor niets omzeep gaan helpen.
Heel formeel gezegd dat ze dik mijn kloten kunnen kussen en we die taak WEL gaan uitvoeren al staan ze op hunne kop. Ik ga iedereen zijn planning hier voor niets omzeep gaan helpen.
MrPurple13
Active member
Inderdaad, sommige mensen.
Al dikwijls dichtbij een "corrigerende tik" geweest.
Aangenomen voor functie A.
Na 1 week: ik wil graag functie B doen. A doe ik niet graag.
Dat kan zijn, maar je hebt gesolliciteerd voor functie A. Voor B zoeken we niemand + daar heb je de kwalificaties niet voor.
-Dan wil ik opslag om me te motiveren voor functie A.
*Ge kunt ook gewoon vertrekken he. Nu of na uw proefperiode kies maar.
Andere die op eigen initiatief overuren klopt.
Vervolgens constant klaagt over zijn grote pot aan overuren.
Ze niet wil opnemen, want die dagen krijg je geen dagvergoeding.
Ze niet wil laten uitbetalen, want grootste deel naar belastingen.
Ene die elk jaar laat is met zijn hoofdverlof aan te vragen.
Jan, vergeet uw verlof niet aan te vragen he.
-Hoe kan ik dat nu al weten wanneer ik verlof wil.
Half juni: ik wil heef de maand juli verlof!
Dat gaat nu niet meer he kerel. Mensen die begin jaar al netjes aangevraagd hebben, gaan nu eenmaal voor.
Ergste van al is dan dat ze zo overtuigd zijn van hun gelijk dat jij de moeilijke mens bent.
Vergelijkbare onderwerpen
