Security Professionals - ipfw add deny all from eindgebruikers to any

Password urenregistratie beheer door werkgever?

28-01-2016, 20:42 door wirumada, 8 reacties
Mijn vrouw ontving van haar werkgever een mail dat de urenregistratie sinds begin dit jaar door haarzelf bijgehouden moest gaan worden
Maar daarvoor moest dan wel specifiek Google Chrome gebruikt worden.
Persoonlijk vind ik dat al afdwingen welke browser iemand moet gebruiken en dan zou mijn keuze zeker niet op Chrome vallen
Maar ze kreeg ook nog een mail met de inloggegevens en password

En daar gaat het nu om, ze kan dus inloggen maar niet haar eigen password maken/kiezen
Behalve lastig is het nu ook zo dat de persoon(en) die de mail heeft verstuurd onder haar naam kan inloggen en gegevens kan veranderen zonder dat mijn vrouw dat weet.
Als er naar de loggegevens gekeken word dan staat wel mooi mijn vrouw als ingelogde en muterend persoon in die data

Mag dit zomaar?
Reacties (8)
28-01-2016, 21:08 door Spiff has left the building
Door wirumada, 20:42 uur:
Mijn vrouw ontving van haar werkgever een mail dat de urenregistratie sinds begin dit jaar door haarzelf bijgehouden moest gaan worden
Maar daarvoor moest dan wel specifiek Google Chrome gebruikt worden.
Werd aangegeven waarom daarvoor specifiek Google Chrome gebruikt zou moeten worden?
Wat is daarmee mogelijk dat niet met een andere browser mogelijk is?
Is dat gevraagd aan de werkgever?

Door wirumada, 20:42 uur:
ze kreeg ook nog een mail met de inloggegevens en password
En daar gaat het nu om, ze kan dus inloggen maar niet haar eigen password maken/kiezen
Dat is voor de eerste inlog in het account niet vreemd.
Maar bestaat er vervolgens niet een optie om het password te veranderen?
Is zo'n mogelijkheid om het password te veranderen werkelijk niet beschikbaar, is dan nagevraagd waarom die optie ontbreekt? Misschien is het het geen opzet, maar iets waar de werkgever simpelweg niet aan gedacht heeft?
28-01-2016, 22:48 door [Account Verwijderd] - Bijgewerkt: 28-01-2016, 23:01
De baas wil mee kunnen kijken wat je vrouw aan uren invult maar ik vind het niet zo zorgvuldig - ja zelfs geniepig - dat deze persoonlijke database blijkbaar volledig toegankelijk is met een beheerders wachtwoord en deels, op gebruikersniveau, met hetzelfde wachtwoord. Dat is de reden dat de gebruiker het wachtwoord niet kan veranderen.
Doet me een beetje denken aan zeer eenvoudige FileMaker Pro privilege instellingen uit... 1995

Met betrekking tot geniepig: Werkgever kan naar hartelust gaan rommelen in de urencalculatie van je vrouw. Dat is op zijn minst achterbaks! Ga dan maar eens in discussie!

Met betrekking of het mag denk ik ja. De Boss is de baas over deze database en betaalt de uren uit - neem ik aan - die je vrouw invult (heel sec gesteld)
Het is gewoon een bedrijfsprotocol en als er geen verplicht te verantwoorden vragen over wat je (misschien) expliciet privé in die uren hebt uitgespookt worden gesteld en wel binnen de zogenaamde urenverantwoording, is het volgens mij volkomen wettelijk gegrond.
29-01-2016, 10:59 door Briolet
Door Aha: De baas wil mee kunnen kijken wat je vrouw aan uren invult maar ik vind het niet zo zorgvuldig - ja zelfs geniepig - dat deze persoonlijke database blijkbaar volledig toegankelijk is met een beheerders wachtwoord

Is het niet juist de functie van een urenregistratie dat de baas (Of personeelszaken) het aantal gewerkte uren weet?
29-01-2016, 11:24 door Anoniem
Door Briolet:Is het niet juist de functie van een urenregistratie dat de baas (Of personeelszaken) het aantal gewerkte uren weet?
Ja natuurlijk. Maar daar gaat het niet om. Ze moet zelf de uren invullen en zal daar verantwoordelijk
voor worden gehouden. Vervolgens is er standaard/bekend wachtwoord waardoor de door haar
ingevulde uren al dan niet per ongeluk gewijzigd kunnen worden op haar naam.
En dan mag zij bewijzen dat ze het goed heeft ingevuld ?

De baas zou niet hoeven in te loggen op haar naam om een overzicht te krijgen van het aantal gewerkte uren.
Gewoon baas op zijn eigen account om uren in te zien.
Werknemer op eigen account om uren in te vullen.

Maar zo te zien is het (verouderde/goedkope) software waarbij dit niet mogelijk is.
Dan maar elke keer als je uren hebt ingevuld zelf afdruk maken van de uren die hebt ingevuld.

Waarom Chrome ?
We kunnen alleen maar gokken, misschien heeft de baas te horen gekregen dat Chrome veiliger is.
Alleen navragen bij de baas gaat het juiste antwoord geven.
29-01-2016, 13:14 door Anoniem
De baas wil mee kunnen kijken wat je vrouw aan uren invult maar ik vind het niet zo zorgvuldig - ja zelfs geniepig - dat deze persoonlijke database blijkbaar volledig toegankelijk

Ehm. Waarvoor is een urenregistratie bedoelt ? Om verantwoording af te leggen richting werkgever ? De manier waarop kan technisch beter, maar verder is het volstrekt logisch dat men bij deze data moet kunnen.
29-01-2016, 13:21 door Anoniem
Te weinig info om iets zinnigs te zeggen...

1. Wie zegt dat de afzender van het bericht de usernames en passwords heeft kunnen zien? Mischien was het wel een auto generated mail ;)

2. Er zijn heden best veel (ook bekende!) bedrijfstools die nu eenmaal het beste werken in chrome, dit wil niet direct zeggen enkel in chrome maar wel beste in...

Welke applicatie gaat het om?
29-01-2016, 15:07 door Anoniem
Door Anoniem:
Door Briolet:Is het niet juist de functie van een urenregistratie dat de baas (Of personeelszaken) het aantal gewerkte uren weet?
Ja natuurlijk. Maar daar gaat het niet om. Ze moet zelf de uren invullen en zal daar verantwoordelijk
voor worden gehouden. Vervolgens is er standaard/bekend wachtwoord waardoor de door haar
ingevulde uren al dan niet per ongeluk gewijzigd kunnen worden op haar naam.
En dan mag zij bewijzen dat ze het goed heeft ingevuld ?

Als ze hier niet mee kan omgaan moet ze zo snel mogelijk stoppen met in loondienst werken!
Er zullen altijd anderen in het bedrijf zijn die haar een hak kunnen zetten als ze dat willen.
Dit is geen IT security probleem, dit is een probleem van onderling vertrouwen/wantrouwen.
29-01-2016, 15:14 door [Account Verwijderd]
Door Briolet 10:59 uur:
Door Aha: De baas wil mee kunnen kijken wat je vrouw aan uren invult maar ik vind het niet zo zorgvuldig - ja zelfs geniepig - dat deze persoonlijke database blijkbaar volledig toegankelijk is met een beheerders wachtwoord

Is het niet juist de functie van een urenregistratie dat de baas (Of personeelszaken) het aantal gewerkte uren weet?

Inderdaad maar je slaat gemakshalve over waar mijn reactie om draait: een qua beheer slordig ingestelde database met één wachtwoord dat zowel toegankelijkheid biedt voor schrijven èn lezen zowel door gebruiker alswel beheerder. En dat is indien er sprake is van een niet aan slordigheid te wijten opzet van deze database maar opzettelijk zo geconcipieerd geniepig.

Of zoals anoniem om 11:24 uur schrijft: (in vette letters door mij geaccentueerd waar deze database toe kan leiden)

Ze moet zelf de uren invullen en zal daar verantwoordelijk
voor worden gehouden. Vervolgens is er standaard/bekend wachtwoord waardoor de door haar
ingevulde uren al dan niet per ongeluk gewijzigd kunnen worden op haar naam.
En dan mag zij bewijzen dat ze het goed heeft ingevuld ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.