Pull to refresh

Comments 231

В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц.
А в некоторых организациях такие инициативы исходят от начальства, а админ вынужден подчиняться.

Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.
Намного большая дыра — это когда в организации 50% штата женщины и девушки и у каждой под клавой лежит бумажка с новым пассом.

(Нет, я не выдумываю).
Ну тут сильно зависит от целей защиты. Если просто от взлома «из интернета», то бумажка довольно безопасна. Особенно если штат в 2-3 человека и у каждого свой кабинет. Если же народу много, да еще рассаженных «по модному» (кучей в большом помещении с перегородками), тут уже бумажки выглядят предупредительным в голову.
Основная цель смены локальных паролей к учетным записям — защита от взлома «изнутри». В том то и проблема.
Бумажки под клавиатурой тут ускорят дело, да.
Но даже если не будет смены паролей, то со временем всё равно сотрудники друг другу расскажут свои любимые пароли, которые они и на работе себе установили. Ведь бывают ситуации, когда сотрудника нет на месте, а нужны файлы с его компьютера или запустить под его учётными данными что-либо.

Разумеется, мы говорим не о фирме, где грамотный системный администратор правильно настроил права доступа и всех научил, как действовать, когда им нужны файлы другого человека или нечто подобное — ситуации, когда пароль и передаётся третьим лицам.
А с того, что так устроен рабочий процесс и такие нерадивые пользователи — хранят рабочие документы на рабочем столе, а не в сетевом расположении.
а потом при открытии «A:\Какой-то_Очень_Хитрый_Отдел\Уважаемая_Фирма_Заказчик\Офигеть_Какой_Важный_Вариант_Проектов_Для-Кого-то_Очень_Важного\Важный_Проект_Важной_Фирмы\Очень_Короткий_Адрес_Расположения_Объекта\Краткое_Описание_Очередного_Варианта_Решения_Задания\Обзорное_Что-то_От_Числа_Месяца_Года_С_Учётом_Замечаний_И_С_Поправками_От_Число_Месяца_года_Правленое.<расширение>»
Программа или модуль сделает грустные глаза и на этом всё. Т.к. путь от 250 знаков чреват очень неожиданными открытиями.
Да и лазить замучаешься, особенно если проект размазан по куче каталогов…
А некоторые специальные програмки распространяемые в принудительном порядке, принципиально с сетевыми дисками не работают, ни под каким соусом, за исключением жёсткого монтирования каталогов в локальную файловую систему, и то, не без сюрпризов.
И не у всех сервак способен выдавать гигабайты всем желающим.
У нас пара компов, на А10 и виндовс 10, с сетевых дисков тащит(открывает) файлы со скоростью 50-200 кб/с.
Я же не утверждаю, что это правильный рабочий процесс и так надо делать. Это просто иллюстрация того, что такие ситуации имеют место быть. А уж почему они возникают в отдельно взятых организациях — вопрос к тем, чья это зона ответственности.

У нас вот программист 1С любит длинные названия папок с огромной глубиной вложенности.
Никакой альтернативы серверному хранению документов нет. Кроме технической неспособности какого-то софта работать с сетью (с сетевыми шарами). В идеале схема должна выглядеть так — каждому юзеру при входе мапится пачка сетевых дисков с нужными документами, а на рабочем столе раскладываются ярлыки с не очень нужными документами.

«Лазить замучаешься» — можно решить, опять-таки, группировкой ярлыков в локальной папочке. Документов на рабочих станциях быть не должно.

На моём предыдущем месте работы юзеры сначала горестно вопили, что когда документы хранятся на сервере — «это неудобно, это (якобы) тормозно» и т. п. После чего им объяснили, что на серверах всё регулярно бэкапится, и лежит не на десктопных ненадёжных дисках, а на системах покрепче. В случае же вылета рабочей станции разбираться и тянуть данные с неё никто не будет — им выдадут новый комп, и всё. Даже если диск цел — то данные с него будут извлекаться только по служебкам, завизированными лично начальником отдела и директором фирмы. А если с диском на рабочей станции проблемы, и какие-то документы оказались потеряны, то будет виноват тот самый конкретный %username%, который эти документы на этом диске хранил, и сей факт будет иметь для %usename% определённые организационные последствия.
Мне казалось, что с копеечным Office 365 с SharePoint, бесплатными облачными хранилищами и т.п. эти проблемы исчезли у практически у всех. А всякие владельцы жутких секретов в состоянии оплатить нормальную инфраструктуру и администрирование.
Бюрократия безжалостна. У нас один раз вообще пришлось подписываться за человека, который уже умер. Смерть не может являться причиной невыполнения проекта.
UFO just landed and posted this here
Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.


Ну я прям не знаю. Если легкоподбираемые пароли всё равно позволят получить доступ ко всему, хоть их и несколько — один сложный ИМХО всё же надёжнее будет. Его как минимум дольше подбирать.
Давайте представим, что кто-то хочет целенаправленно получить доступ к неким аккаунтам жертвы. И у жертвы один пароль на все аккаунты.
Варианты получения пароля:
1. Подбор.
2. Взлом базы хранения паролей всех сервисов, где есть аккаунт жертвы — может есть такие, где база плохо защищена и пароли в открытом виде.
3. Устроиться на ту же работу, где жертва и узнать пароль, поискав листочек с паролем на рабочем месте жертвы.
4. Есть ещё вариант — копаться в мусоре, ведь мало кто задумывается над тем, что он выкидывает.
И если Вам кажется, что третий пункт — глупость и никто этим заниматься не будет, то ошибаетесь. Зависит от того, кто жертва.
А бывают и просто мстительные коллеги.
Не вижу причин, чтобы разрешать пользователям использовать те же пароли, что и в их личных аккаунтах, не относящихся к работе, чтобы они потом были известны всем сотрудникам организации.
Давайте теперь представим, что у жертвы разные, но простые пароли на разных аккаунтах. И хакер их узнаёт подбором/перебором, не особо заморачиваясь копанием мусора, устройством на ту же работу и втиранием в доверие. Это быстрее и проще.
А теперь давайте представим, что наша жертва — никому не нужный чувак с работы, который косо посмотрел на коллегу-му**ка и этот коллега решил отомстить.
И подсчитаем количественное соотношение наших гипотетических ситуаций — какая встречается чаще?
чаще встречается один простой пароль («домашний»), или еще и один сложный («рабочий») написанный на бумажке.

а вот подобрать этот сложный пароль коллеге с работы будет непросто, если он не знает так сказать «общих принципов взлома паролей».
Там, где требуется регулярно менять пароли, те пользователи, которые помудрее, обычно добавляют в конце цифру, и при требовании смены пароля просто увеличивают её.
Это и есть шаблонизация.
А что делать?
Запоминать новый сложный пароль каждые три месяца — то еще удовольствие.
Или каждый месяц. Об этом то и речь, что все шаблонизируют, ибо деваться некуда. По этой причине утечка даже старых БД может быть фатальной. Не говоря уже о «памятках» и прочих прекрасных вещах.
Ну если предположить что у нас утекла БД, то без принудительной смены у нас скомпрометировано 100% паролей, а так может ещё и пронесет кого. Да и шаблоны можно сделать такими, что не так просто будет подобрать пароль не зная шаблона, даже если будет n предыдущих паролей известно.
Какой процент девочек-рекрутеров будут заморачиваться сложным шаблоном?
Так эти же девочки не будут заморачиваться и генерацией сложного пароля даже если у нас не будет «протухания».
Понятно что «протухание» — далеко не самая полезная мера безопасности.

Мой комментарий был про ситуацию с «утечкой старой БД» когда выходит что без принудительной смены хуже чем с ней.
UFO just landed and posted this here
Вряд ли можно… Точнее сказать, сложный шаблон спасёт одиночную учётную запись (например, если Вы используете один пароль на все учётки, но этот пароль реально стойкий (под 40-50 знаков, где символ "♫" является одним из самых простых). Но если речь идёт о корпоративных учётках, то принцип шаблонизации плох тем, что ВСЕ сотрудники знают принцип шаблона. Тогда любой уволенный 3-4 года назад сможет «сгенерировать» сегодняшний пароль действующего сотрудника, а ведь инсайдерские взломы тоже составляют не малый процент причин утечки.
Погодите: Вы предполагаете, что утекли сами старые пароли? Или все-таки их соленые хэши?
Или пароли. Из файла \\server\share\boss\работа\пароли сотрудников.xls
«А вдруг уволишься или заболеешь? Как на твой компьютер попасть?» Не везде же есть [грамотный] админ. Редкая смена паролей тут, правда, не поможет совсем.
Ну так утечка старой БД в случае без принудительной смены паролей еще хуже.
Чем МойСложныйПароль№ хуже МойСложныйПароль? (Ну я не имею в виду именно эти три слова :))
А если утекли соленые хэши старых паролей то вообще хорошо. Не идеально, но гораздо лучше. Особенно если хеш формируется на стороне клиента. Лишь бы после МойСложныйПароль9 не стал МойСложныйПароль1.
У нас именно так и есть, записи на листочках и шаблонизация и с пользователей этого не выбить. Если только надзирателей выставить, чтобы не записывали не куда.
UFO just landed and posted this here
Всё отлично, но вот после того как пользователь узнал и установил свой новый пароль — он должен его выучить. А если пароль сложный — то это тем более непросто для среднего человека. Соответственно, в промежуток времени между установкой пароля и его запоминанием — этот пароль будет у пользователя легкодоступен. На бумажке, на стикере, в заметках на телефоне… И чем хуже у человека память на такие пароли, и чем сложнее сам этот пароль — тем дольше этот «срок уязвимости», вплоть до момента получения нового пароля.
UFO just landed and posted this here
Даже если сотрудник пароль выучил, но потом хорошо провёл отпуск… :)))
Я как-то из-за политики смен паролей в виндовом сервере (на который я очень редко захожу — тестовая машина) забыл пароль админа. После потраченных 3 часов вспоминаний и подборов больше не придумаваю абсолютно другие пароли, а добавляю цифры :)
Не катит, новый пароль не должен содержать части старого. А меняется каждый месяц. В итоге у всех пароли типа 1234567Ab и т.д. в разной последовательности.
А как система может это проверить?
Она где-то хранит пароли?
Мне несколько раз попадались сайты, которые на попытку восстановить пароль ругались, что мой новый пароль отличается от старого всего одним символом. Вот такие вот сумрачные гении попадаются.
У Киви, например, есть проверка на использование ранее использованных паролей.
Видимо, хранят старые хеши.
Не, ранее использованные — это понятно. Хэши можно хранить и всё.
А вот чтобы говорить, что у тебя новый пароль использует часть старого — нужно хранить сами пароли, а не их хеш.
Можно и хэш хранить. Просто перед хэшированием и записью в базу нового пароля, несколько раз прогоняем его по шаблонизации, описанной выше в статье, и сравниваем со старым кэшем. При наиболее банальных модификациях — этого достаточно, говорим айайай. А небанальные нас устраивают.
Как я понимаю, по правильному хешу никакой шаблонизации или схожести паролей не поймаешь.
Если у тебя старый пароль только в виде хеша, то насколько на него похож новый пароль — не узнать.
При смене пароля надо вбить старый и например два раза новый. Тут то их и можно сравнить.
С предыдущим да, а с пред-предыдущим и ещё глубже?
Можно просить вводить еще пред-предыдущий! :D
Старые пароли могут просто храниться в хранилище, которое может быть дешифровано текущим паролем. При смене пароля текущий добавляется в хранилище, а паролем от хранилища становится новый пароль. Но если пароль забыть и принудительно сбросить, то история паролей пропадает.
Существует криптографическая теория обработки данных (гомоморфное ширование), при которой данные хранятся в зашифрованном виде, но при этом возможно выполнение операций над ними.

Т.е. теоретически можно хранить пароли так, чтобы их невозможно было расшифровать, но при этом определять вхождение в виде подстроки.
Можно еще хранить три хеша: от пароля, пароля без одного символа, пароля без двух символов.
Срежем <Пасс1, Пасс2> и <Пасс1!, Пасс2">
Возможно хеширующий алгоритм позволяет сравнивает части паролей.
не хранит, пользователь сам вводит старый и новый пароли в процессе смены.
UFO just landed and posted this here

я добавляю цифру в начале пароля, т.к. алгоритм проверяет, что новый и старый пароли начинаются по-разному :)

Опишу свой опыт: во всех организациях (сфера электроэнергетика) абсолютно все пароли знают все сотрудники, а смена пароля только бесит так как ты забываешь пароль и приходится его записывать… чаще всего бумажки с паролями валяются или на столах или еще где. Когда сотрудник уходит в отпуск он сообщает коллегам свой пароль и порой через электронную почту. Если бы был один пароль, то его бы легко запомнили все, но постоянная смена пароля приводит к последствиям которые описаны в статье.

В большинстве организацией в электроэнергетике не зарезан доступ к почте. Точнее зарезан но не совсем. На данный момент через браузеры я не могу законнектиться на свою gmail почту, но через Franz я могу законнектиться и кидать что угодно. На данный момент я могу ставить сторонний софт вплоть до Tor'а. И к слову: СБшники у нас бывшие военные.
У нас когда ввели практику «протухания» пароля раз в месяц, всем пользователям (а это тысячи человек) установили один и тот же пароль по типу 123456Zz. Безопасность во все поля просто
Могу поделиться опытом из своей сферы. Когда пароли истекают, то люди банально приписывают ещё одну цифру/букву. Всех бесит, так как сеть закрытая, и изолирована от интернета.
К примеру пароль MyPassword2015 превращается в MyPassword2016. Безопасности это никак не добавляет.
Прекрасная история в тему
Как-то раз в советские времена довелось мне посетить «машинный зал» оборонного завода N. Прихожу рано утром, набираю на цифровом замке код — дверь не открывается. Набираю другой код, вхожу, включаю ЕС, иду ставить магнитные ленты на лентопротяжки.

Слышу сзади: «Стой, соколик, где стоишь, и руки вверх!» Оборачиваюсь. Бабушка — божий одуванчик с «макаровым». «Пошли, — говорит, — к начальнику охраны, будем разбираться, кто ты такой и как оказался на территории режимного ВЦ во внеурочное время». А мне-то что — допуск и предписание у меня есть. «Пойдёмте, — отвечаю, — раз такое дело».

Начальник охраны оказался бдительным соколом сталинского разлива. Пролистал мои документы, скривился и говорит: «В принципе, ты имеешь право здесь находиться, но есть одна большая неувязка. Я с утра код на двери в машинный зал сменил, но никому его не сообщал и не сообщу до завтрашней утренней планёрки. Ты его уже знаешь. Что это значит? У нас утечка информации!» И смотрит на меня исподлобья с хитрым прищуром.

Битых два часа пришлось мне ему доказывать, что я, недавний выпускник мехмата, страшным усилием мозга чисто случайно догадался, какой будет код на двери 2 января 1985 года, если предыдущий код был «1984».

ithappens.me)
Не такая прекрасная история, но произошла со мной
Студентом был на практике в банке. Все ушли на обед (я возвращался) а мне по памяти сообщили пароль, но он не подошел. Номеронабиратель был вверхногами (т.е. засунул пальцы в щель и нащелкиваешь их вверх — к себе) и с экраном. Первый ряд «1234», второй «5678», третий "#90*". Через несколько попыток я догадался что номер был продиктован правильно по расположению но по раскладки или телефона или клавиатуры. (кол-во рядов не совпадает, но не проблема) Приятно было наблюдать удивление админов когда они нашли меня в комнате от которой мне дали не верный пароль.
Я просто меняю пароль 10 раз и выставляю свой старый пароль — лучше один хороший, чем новый на бумажке.
(ну и в системе нигде не надо перевводить пароль)
А не проще уже начать пользоваться keepass?
Возможно и проще, но не имею опыта с KeePass, да и не хочется еще и в паролях зависеть от третьего софта.
Ну это до тех пор, пока вы не введете свой любимый пароль в какую-нибудь корпоративную систему и вам его не пришлют его обратно email-ом в открытом виде (демонстрируя, что разработчики нужной супер системы чихать хотели на хэширование паролей в базе).

Являясь разработчиком, первую регистрацию прохожу с 5min email. Кроме этого я использую три пароля — для сайтов с низким, средним и высоким доверием.
Мне как-то попалась система, которая требовала пароль с буквами в обоих регистрах, цифрами и спецсимволами длинной от 7 и до 10 символов. В тот раз подход, подобный вашему, впервые дал для меня сбой, так как пароля удовлетворяющего таким требованиям у меня не было.

Либо вы меня не поняли, либо я вас, либо вам везло. Я тоже пользовался когда-то несколькими паролями и их производными для разных сайтов, теперь же keepass мои волосы гладкие и шолковистые.
А моя зависимость от софта принесла свои плоды. Когда-то, когда у меня стояла Windows 95 мне приходилось достаточно часто набирать серийный номер для продолжения установки винды. Вводить приходилось настолько часто, что серийник въелся мне в мозг, я сейчас его могу закрытыми глазами набрать. Сейчас этот серийный номер используется для генерации сложных паролей для определенной группы сайтов, с shift и без него (с shift числа заменяются спецсимволами), с перестановкой групп, с разной длиной. Для других групп сайтов используется другой серийный номер, уже от Windows XP)

Считаю практику протухания паролей относительно небезопасной, ее нужно внедрять только там, где она, действительно, необходима.
А как использовать KeePass для входа в систему?
Вот тоже думаю над этим. Пока придумалось взять или сделать USB брелок эмулирующий клавиатуру.
Можно использовать на стороннем устройстве, например, телефоне. Только пароль делать не 40-символьный с доп.знаками, а просто подходящий по политикам, легко набираемый. KeePass тут будет просто как памятка, а не источник копипаста.
Я для таких случаев пользуюсь 1Password. Пересел на него с KeePass.
Для входа в сторонние системы использую 1Password для андроида. По моему гораздо удобнее чем записывать пароли вроде «gD2kJq0vMo1».
Спасибо, но нет. Я не буду покупать этот продукт. У keepass есть нормальная версия для мобильных. До недавнего времени долго не было адекватных версий для мак, но уже год как keeweb хорошо с этим справляется
Использую шаблон пароля уже лет 10. поменял 3 работы, везде смена пароля каждые 30 -45 дней.
Для личных целей использую пароль Буквенно-цифровой, большими и маленькими буквами, с использованием спец символов, меняю после подозрения на компрометацию, или по желанию.

Был период (около 2х лет) когда демонстративно записывал пароль на бумажку и клеил на монитор, но как я понял, никого не волнует подобное поведение.
Самое прикольное это когда звонят и просят сказать пароль в упор не замечая приклеенную на монитор бумажку с этим самым паролем.
У нас в офисе больше половины сотрудников возрастом 40+ и почти все они хранят пароль от учётки на бумажке. Смена пароля каждые 2 месяца.
Шаблонизация паролей — всем известная беда. Ещё хуже бывает, когда работа построена таким образом, что отсутствие сотрудника вынуждает его сообщать свой пароль коллегам, ибо физически заменить его есть кем, а с временным доступом к его ресурсам (делам) для другого сотрудника никто заморачиваться не будет. И такое повсеместно, даже в банках. И так будет продолжаться до тех пор, пока целью будет безопасность на бумаге, а не в реальности.
А в случаях такой секретности, нельзя использовать «железные» решения?
дополнительные затраты, а при отсутствии знаний штатных админов — весьма существенные. интегрировать смарткарты в корпоративные приложения, у которых их нет «в коробке» тот ещё гемор.
image

Мой заказчик использует вот такие штуки. У сотрудника есть постоянный пин-код и регулярно изменяющийся номер, который он видит на экранчике.

Что скажете насчет безопасности (и клиентолюбивости) такого метода?
У нас сотрудники иногда пропуски забывают дома, либо теряют их, чего уж говорить про такие токены. Забыл токен = топай домой за ним? 1час в одну сторону + 1час в другую = 2часа потерянного рабочего времени. Никому не в радость — ни директору, ни работнику.
Ну вот у заказчика не забывают. Видимо есть удачная мотивация. Или решение проблемы забытого токена на месте, не знаю. Собственно не вижу большой разницы с рассылкой пароля через смс/приложение на мобильном.

Мобильный, конечно, тоже можно забыть дома.
Для таких забывашек придумали приложение на мобильном.
Я в курсе про OTP генераторы, но ведь речь идет про физический исполнитель (см.картинку), и ни слова про «используется два варианта — физический или программный». Как правило, если заказчик параноик, то он форсит вот такие железные токены, и не воспринимает программные модули, мол «вирус попадет и всё, кирдык». Тот, кто более-менее адекватен — другой разговор…
К карте-пропуску или токену нужна ещё одна приблуда, устанавливающаяся дома (как в гостиницах): пока не вынешь карту/токен из держателя, не закроешь дверь дома.
Хорошо когда один живёшь, а так с каждым приходящим-уходящим проблема будет.
Да, именно так и должно быть. Забыл токен — иди домой, получай выговор за прогул. Потерял — готовься к худшему.
У нас такие были на одном проекте. Если потерял токен — то пишешь бумажку, платишь копеечку, старый деактивируют — дают новый. Потеря времени — да, но народ довольно быстро привык.
Забыл токен = топай домой за ним?

Я токен просто на ключи вешаю. Связку ключей забыть сложно.
Да идти домой. И соответственно, терять в деньгах на штрафе, Не поверишь один — два раза и он всегда с собой.
На предыдущей работе были такие токены. Правда в дополнение к обычным паролям…
На токен можно повесить временный пароль с ограниченным сроком действия. Полчаса, скажем, вместо пина + циферок с токена надо будет вводить просто «ядебил», потом опять обычная схема.
Для RSA можно и программку на телефон поставить, не обязательно хардварные штуки — с ними дольше и напряжнее.
А так — на телефоне программу открыл, пинкод ввел, текущий пароль получил.
Сертификат выдается например на несколько месяцев. Сотрудник еще работает — продлили. Уволился — закрыли.

Полностью согласен. Одно устройство на все случаи жизни.
И лучше если какой-нибудь keypass будет один, но с открытым API. Чтобы любую систему можно было подключить
Достаточно 2 пароля запомнить. И делать ими рокировку раз в месяц. Сам использую keePass
Недостаточно: у нас вот например пароль не имеет права совпадать с десятью предыдущими. Помимо того, что пароль принудительно меняется раз в месяц, обязан содаержать спец.символы, цифры и буквы в разных регистрах, и не содержать последовательностей одинаковых символов длиной больше двух.
У нас на работе любители «своего пароля» меняют сразу 10 раз, и потом меняют уже на «свой нужный» :)
Ха! Для этого есть опция запрета смены пароля чаще чем раз в сутки!
У нас эта опция включена, а ещё включена опция блокировки аккаунта при вводе неверного пароля и есть сайт на котором можно различить аккаунт с помощью секретных вопросов. Но, на сайте есть ещё возможность просто сбросить пароль, подтвердив личность ответами на секретные вопросы, и установить новый пароль. При этом, новый пароль не проверяется на повторы.
В итоге, когда срок действие пароля истекает, мы просто его сбрасываем и указываем тот же пароль. Active Directory домен, не знаю родной сайт или нет ( при стандартной процедуре смены пароля все политики учитываются)
Ну и для полной секьюрности:
image
хэш прошлых паролей хранится? Даже и не подумал что так нужно)) тогда по месяцам смены пароля, числа в начале или в конце: ****04 — апрельский пароль))
На сколько знаю, глубина проверки на совпадение с предыдущими настраивается, и её может как не быть вовсе (при истечении срока пароль меняется на такой же), так и быть на полную уникальность (ни одного повторения)
UFO just landed and posted this here
Отпечатки тоже нужно менять каждый месяц? Плюс части старого отпечатка не могут содержаться в новом.
UFO just landed and posted this here
Это был сарказм, направленый в сторону черезмерно усердных IT-Sec-ов.
Использование любых биометрических данных крайне опасно. Если пароль при его компрометации можно просто поменять, то биометрические данные — нет. Поэтому биометрические данные должны быть защищены гораздо более сильно, чем пароли. И способ их применения также ограничен — их явно неразумно использовать для удалённой аутентификации в банк-клиенте.
UFO just landed and posted this here
Лучший пароль, который я видел, это:
— Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой… ламерский…
<...>
— Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
<...>
Чингиз выдыхает и ледяным голосом произносит:
— Сорок тысяч обезьян в жопу сунули банан.
(с) Лукьяненко. Фальшивые зеркала
Для тех, кто хорошо набирает вслепую пятипальцевым методом можно сдвигать ряд вверх и менять регистр. Тогда получается что-то вроде

Duyu4nhwdasjbuk5-js6benput3nd363ignkr6r6;

Я тож так думал, а потом понадобилось зайти с мобильного, а там другая раскладка

Моллюски отгрызли мои гарцующие гениталии
(с) UNIX. System Administration Handbook (русский перевод, изд. «Питер», «БХВ-Петербург»).
UFO just landed and posted this here
Теперь ещё объясните разницу между «печатная», «заглавная» и «прописная» — правда, интересно.
Иногда «прописная» используется как антоним для «печатная», что вводит в заблуждение.
UFO just landed and posted this here
Ситуация с паролями — симптом ущербного процесса обеспечения безопасности. Службе безопасности нужно ставить в обязанность наладку реального безопасного рабочего процесса (а не абстрактную безопасность) с приоритетом работоспособности над ограничениями, учитывающего человеческий фактор, объективные рабочие ситуации (а не соображения безопасников на тему, как должно быть в теории) и потребности, реальные возможности и ресурсы каждого элемента и участника.

Только реальные условия и требования вышибают идейный бред из голов безопасников. Когда им придётся думать о реальном массовом мотивированном поведении, а считать, что «мы прикажем — юзера выполнят». Это как раз тот случай, когда не справляющимся СБшникам действительно лучше уйти. Если ограничения во имя «безопасности» мешают делу, то безопасник стал злоумышленником: нет разницы, почему дело встало.
Ну ситуации разные бывают. Пусть не каждый месяц, но раз в полгода, например, захотели безопасники/админы сменить пароль, но 40-летние тётеньки подняли шум и скандал, обвиняя безопасника/админа во всех грехах, просто потому, что они не хотят и не могут запомнить новый пароль, это нарушает их комфорт. И что теперь, безопаснику/админу уходить? Или всё же пригрозить тёткам штрафом, а особо упрямых уволить? Ведь из-за упрямой некомпетентности действительно может произойти утечка секретов.
А если эти несколько тёток не просто бумажки перебирают, а являются ценными специалистами с многолетним опытом? А админа реально найти и заменить?
Не надо оценивать ситуацию так, будто админ — центр Вселенной.
Проблема — в необходимости использовать пару логин/пароль. Если следовать «лучшим практикам» безопасности, то в каждой системе необходимо использовать уникальную пару.

Проведём наблюдение: в скольких системах человек, активно пользующийся ИТ-средствами, имеет аккаунт?

Даже если просто оценить количество наиболее используемых систем в течение года: минимум три компьютера (десктоп рабочий и домашний, смартфон), пара интернет/мобильных/онлайн-банков, пара почтовых аккаунтов, пять аккаунтов в соцсетях, три платёжных системы, пятёрка багтрекеров, пятёрка сайтов перевозчиков (РЖД, авиа и т.д.), пара образовательных сайтов, тройка аккаунтов в госсистемах (ЕСИА для наологовой и РОИ, госуслуги, активный гражданин).

Итого 30 аккаунтов минимум, Карл, только на часто используемое в течение года! Вот кому это надо?
(Восстановления пароля каждый нарушает означенную выше «практику» и невозбранно увеличивает временные затраты на взаимодействие с системами.)
UFO just landed and posted this here
У нас был одно время такой маразм с системой учёта времени — там мало что пароль каждый месяц новый, так ещё и с кучей правил — надо было использовать буквы в обоих регистрах, цифры, несколько прошлых паролей нельзя, последний символ не должен быть цифрой, да ещё и если в новом пароле какие-то символы стоят на тех же местах что и в старом, то тоже не проходит, то есть одну- две буквы не заменить.

Короче, все обвешались бумажками, а я пришёл вот к какому хаку — вместо запоминания пароля я запомнил расположение клавиш, ну к примеру, EWQ1324s. И каждый месяц я сдвигался по клаве направо, соответственно следующий будет REW2435d, потом TRE3546f, и так далее. Первую букву пароля на данный месяц я писал прямо в календарь. Помогло безболезненно пережить этот кошмар.
Помогло безболезненно пережить этот кошмар.
Упомянутый тут не единожды KeePass помог бы пережить его проще. Естественно, если политика разрешает установку софта.
KeePass я пользуюсь, точнее SplashID, что по сути тоже самое, но гайки были закручены до отказа — мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал, а набирать каждый раз случайно сгенерированный пароль глядя на экран смартфона неудобно. В общем «перемещаться» по клавиатуре оказалось для меня удобнее всего. При этом пароль вообще нигде не хранится, окромя головы. Плюс возникла «мышечная память» — я стал набирать этот пароль ну очень быстро, несмотря на то, что он менялся каждый месяц.
мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал

Бррр… ужасы какие…
Интересно: для непосвященного система безопасности внешне кажется надежной, по факту — пароли хранятся в открытом виде.
шаблонизация в чистом виде, о чем собственно и статья :)
У меня есть почта на одном известном сервере. которую я завел на заре интернета в 2001 году. Там стоит 4-символьный пароль. Прошло уже 15 лет. Пароль все тот же, никто ничего не сломал. Ради интереса не буду его менять и дальше, хотя сервис упорно требует. Посмотрим, насколько хватит.
Вероятно, вы тот самый Неуловимый Джо.
Позвольте. А откуда вы знаете что никто ничего не сломал? Возможно сломали, но вас забыли об этом предупредить? Или возможно ваша безопастность — заслуга этого сервиса который не дал своей базе утечь налево за все эти годы (все же никто не будет сидеть и подбирать пароли через форму входа, любой сколько-нибудь приличный сервис заблокирует атакующего до того как он успеет проверить даже комбинации из всего 4х символов).
Подтверждаю Ваши подозрения. Был у меня сервер на старом пентиуме. Да точнее это был домашний роутер на два провайдера с ftp чтобы заливать и шарить файлы.
Как-то раз заходя на него я нашел файлы в корне ftp говорящие о конфигурации моего компьютера. Беглый осмотр ничего не показал, а квалификация не позволила мне копнуть глубже, понадеялся что мой Pentim II с 5Гб винчестера никому не нужен.
Именно. Почему уверен, что никто не ломал — на почте этой одно время в открытом виде лежала некая инфа, которую взломавший наверняка бы стянул (доступ в разные ММО и тп, который регали родственники, а потом забросили играть). аккаунт стима, когда он еще не был столь популярен — ничего из этого не утекло.
У меня каким-то образом всё-таки увели такой аккаунт. Хотя я и был неуловимым Джо (не пользовался им, да и имечко было довольно случайное).
Я уже много паролей с совершенно случайной последовательностью символов наизусть помню.

Основная проблема, что я их помню больше механически, и если попадаю в ситуацию, когда пароль надо ввести на виртуальной клавиатуре (через телефон или мышкой), долго туплю.
Большую часть своих паролей храню в lastpass, кроме критически важных (например от интернет-банка).
Кто в теме, скажите, стоит ли переехать на keepass?
keepass(X) опенсорсный.
У наших юзеров пароль от доменной учётки генерируется случайно и хранится в персональной touch-memory + клавиатурный пароль. Смена не обязательна. 99% рабочих приложений — браузерные, авторизация при входе сквозная. По-моему, идеальный вариант, как скажете?
Насколько я понимаю, смену паролей практикуют на тот случай, если пароль или база с паролями будет украдена, но долго не использована.

Главная проблема — это хранение и передача паролей в открытом виде. Если пользователь забыл пароль, то не должно быть ни единого способа этот пароль подсказать, только создать новый пароль. Даже Яндекс грешит хранением паролей в открытом виде.
Требования к периодической смене есть и в законодательной нормативке.
В основном это против случайной утечки пароля.
Если пароль не меняется годами, он постепенно становится известен все большему кругу лиц.
Требование о смене пароля раз в год и требование о смене пароля ежемесячно (с хранением в открытом виде и прочими прелестями) — разное
Учет рабочего времени тоже обычно ни к чему хорошему не приводит и не является полезной практикой.

Мониторинг сетевой активности может быть полезен для анализа узких мест и приоретизации трафика, но никак не для анализа личной эффективности Петрова и Васечкина по частоте пользования «развлекательных» сайтов.

На предыдущей работе были и СКД, и анализатор трафика, и даже в своё время счетчик трафика на разных сайтах (с отключением доступа к оным по превышению лимита), сейчас ничего такого нет, и слава Бобу. Производительность зависит не от этого.
Конечно эффективность не от этого зависит. Как раньше ходили толпами «покурить», так и сейчас. Как же раньше мою религию некурящего задевали — не дай бог я выйду с ними — я же бездельник, а они — «просто курят».
Как хорошо было уйти из офисной жизни. Теперь в офисы работать — ни ногой.
Контролируют что проще. Время нахождения проще и универсальнее всего (секретарша и программист находятся на месте одно время — отдача 100%). Одно средство, чтобы управлять ими всеми (почти Ц) Можно программистов по количеству залитых строк кода контролировать — так же бесполезно, но ещё и не универсально.
Уйти от бумажек с паролями можно административными методами – регулярно проводить тесты сотрудников в присутствии представителя ИТ службы. Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.

Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
Как это спасёт от шаблонизации?
И вообще, ужесточение мер не выход. Достаточно доходчиво объяснить сотруднику, что за любые действия под его учёткой несёт ответственность только он.
Проблема не в шаблонизации от безответственности. В исследовании шаблонизированные пароли были на банковских счетах, а что может более ответственным, чем сохранностью кровью и потом заработанных?
Угу, работаю на очистных — численность смены охраны ~ 0.3 от рабочей смены зарплаты думаю все 0.5 будет, на соседа повесили еще и обслуживание проходной (система учета) т.к. эти бугры прыщи с одной извилиной от фуражки не могут даже новый пропуск ввести. Не смотря на такое количество дармоедов, с площадки можно кучу дерьма украсть :).
«регулярно проводить тесты сотрудников в присутствии представителя ИТ службы» Вы из которых (сотрудник, вертухай безопасник, IT служба, нацгвардия)?
Имею опыт сисадмина 11 лет (дерево доменов, более 500 учеток, + удаленные доступ), а потом еще 3 года в безопастниках IT. сейчас АСУТП.
Всегда был против повальной политики смены паролей. А пример моего пароля: ijg,ibligrprg (песня про Щерса) к каждому месту ассоциативная песня.
Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.
ТК РФ будет против.
Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
А почему работника должны волновать риски работодателя?
UFO just landed and posted this here
По закону нельзя просто так взять и уменьшить/не выплатить премию. Впрочем увеличить/выплатить просто так тоже нельзя. Согласно 129 ст. ТК РФ премия — это часть заработной платы.
Выплата премий регламентируется либо трудовым договором, либо положением о премировании. И вот в таком документе должно быть отражено за какие заслуги премия платится и в каких количествах. Соответственно, чтобы порезать человеку премию на том основании, что он не помнит свой пароль, нужно как-то фиксировать это требование. И вот как такое требование нормально закрепить в том же положении о премировании или трудовом договоре я хз. Т.е. зафиксировать-то просто, но вот зафиксировать так чтобы суд, в случае тяжбы, не признал такое требование ничтожным — это уже задачка сложнее.

С другой стороны работник, скорее всего, не будет париться и идти в суд (и ждать пару лет решения, ага) чтобы ему выплатили премию.
UFO just landed and posted this here
Да, при таком подходе наверное покатит. Правда, насколько я понимаю, чтобы незнание пароля считалось нарушением трудовой дисциплины нужно, чтобы требование знание пароля наизусть было зафиксировано в трудовых обязанностях работника. Что вроде реализуемо.

С другой стороны все это — тонна бюрократии, отчетности и времени непонятно для чего. Проще уж реально внедрить какие-нибудь rsa токены.
Лайфхак: в качестве пароля используйте какое-нибудь определение из математики, cs или что вас интересует. Или 10-20 сложных слов из языка, который изучаете.
Мотивация запоминать пароль и менять почаще — бонус.
Всякие шибко умные сайты и корпоративные политики могут требовать большие/маленькие буквы, цифры и спецсимволы.
Это ещё хорошо, что они не требуют паролей с Alt-кодами (у меня и такой был)
Большие и маленькие буквы, а так же знаки препинания — есть в любом определении. Да и в списке слов их легко получить: Cat, dog & elephant.
В крайнем случае, можно добавлять одинаковый набор спец символов к каждому паролю, т.е. их придётся запомнить один раз.
Вся проблема в том, что информационная безопасность — это очень комплексная штука и она упирается не только в вычислительную технику, но и в человека. При этом в большинстве компаний эту задачу вываливают на админа, который делает то, чему обучен — решает вопрос со стороны вычислительной техники. И как правило у админа есть только ответственность за утечку и нет административного ресурса для решения такой задачи. Про то, что должен еще быть чекист, который закручивает гайки со стороны человека как-то не вспоминают.

Где то видел клевую идею. В качестве пароля брать фразу мотиватор на локальную краткосрочную цель. Скажем «надо скопить на отпуск» или «доделай уже ремонт». И пинает каждый раз доделать висяк и забыть такой пароль сложно и сложность пароля высока.
Это если у тебя есть цель поменять пароль, то можно без проблем подобрать легко запоминающийся, криптостойкий и укладывающийся в шаблоны. А если ты считаешь админа фриком с причудливыми тараканами в голове, то и пароль будет «123», и этот пароль будет написан на стикере наклеенном на мониторе и весь офис будет уведомлено о текущем пароле.
И на монитор можно приклеить и никто не догадается ;)
Истинно так. Но увы, ничего не поменяется в обозримом будущем.
Напишу-ка я свой первый комментарий!
Работал я почти два года в министерстве, в Казани, в одном из самых маленьких.
Да, каждый месяц меняли пароль по приказу совсем сверху.
И да, у >90% сотрудников лежали бумажки с паролем под клавой, я при случае проверял всегда) И, даже у админа.
Пожалуйста, не гуглите что за министерство, а то совсем тошно станет)
UFO just landed and posted this here
Я логин от альфаклика запомнить не могу, а на пароль уже и подавно забил, неудобный сервис вообще… сбербанк куда удобнее (необходимо помнить пинкод из 5-ти цифр и всё, хотя для первого логина нужен длинный логин)
UFO just landed and posted this here
Честно говоря путаю клик и мобайл, мобайл у меня почему-то все время просил ввести и логин и пароль, иногда вроде бы логин запоминал, но его можно было случайно сбросить… В общем сервис платный, а доступ к нему был довольно геморройный решил отказаться, было это давно, возможно сейчас что-то у них по другому, но меня уже это не сильно волнует.
У Сбербанка проблема ещё более серьёзная: логины и пароли от онлайн-банка, наоборот, крайне живучие.

Потерял старый листочек с паролем, пошёл к банкомату, получил новый — пользуюсь. Сменил логин — вообще красота. Нашёл старый листочек, ввёл от него старые данные — спокойно вошёл в онлайн-банк по старым логину и паролю.

Походу, при запросе доступа в онлайн-банк просто создаётся новый алиас, а старые не уничтожаются.
Это плохо.
Но свой логин/пароль (на сколько заметил — без ограничений) однозначно удобная вещь. Короче ясно, листочки с банкомата надо съедать уничтожать после использования.
Не после. Перед прочтением уничтожить :)
Вот я тоже переживаю, брал листок с пинами в банкомате (которые можно вводить для подтверждения покупок вместо кода из смс), и где-то дома посеял его.

Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел, видимо нужно обращаться в сбербанк напрямую с заявлением.

Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!) и еще на новый номер умудряются присылать требования погасить задолженность незнакомого мне человека (видимо этот телефон ранее был добавлен в базу банка для другого счета по которому сейчас долг). Для того чтобы смс приходили на новый номер телефона пришлось сходить в банк 3 или 4 раза, причем каждый раз уверяли, что номер телефона был успешно изменен, вот как после этого верить словам сотрудника банка? Слова расходятся с фактами, говорит, что поменяли, а по факту смс в этот же день приходит на другой номер. Сначала думал, что вина в неопытных сотрудниках банка, но скорее всего у них просто ПО кривое и нужно менять номер телефона для каждой услуги отдельно и список этих услуг или выборку по номеру телефона и привязанным к нему услугам просто невозможно сделать.
Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!)

Та же проблема, при регистрации в Сбербанк-онлайне используется новый номер телефона, а при получении одноразовых кодов используется старый номер. Причём в отделении сбербанка старый номер удалить не могут, т.к. его в базах нигде нет.

Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел
Элементарно: идёте к банкомату, печатаете новый список паролей, и старый становится недействительным. Ну а с новым делайте что угодно, хоть уничтожьте.
Я тратил минут 10 на перебивание его в KeePass, а бумажный уничтожал. Раньше не все сервисы можно было через СМС подтвердить, некоторые только паролем, выручало.
Только есть одна беда: при перевыпуске карты будет новый логин/пароль, но старый продолжает работать. При утере старого листочка с паролем — всё.
Я не про пароль к онлайн-банку, а про одноразовые пароли для оплат (печатаются по 20 штук за раз), те точно недействительны становятся.
Это я бы тоже проверил, что-то мне подсказывает что с перевыпуском карты они продолжат действовать. Хотя можно попробовать с другой карты получить эти 20 паролей.
На счёт перевыпуска не знаю, но при перепечатывании чека прежние отменялись, проверял.
В том-то и дело, что старый остаётся действительным наравне с новым.
Отменили листочки в Сбере уж как несколько месяцев назад. Теперь только СМС.
Во как. Весной ещё печатал.
Те, кто в теме краж средств с карты мошенниками путём клонирования SIM, были сильно удручены этими действиями Сбера.
Лучше бы вместо всего сделали кодовую таблицу. Типа введите символы из ячеек A7, J2 и D7.
У Яндекса раньше было на деньгах, потом убрали, увы. Самая клёвая аутентификация.
Жена вообще не парится с запоминанием ихних паролей. Не нашла листочек — пошла новый напечатала.
А чем обосновано такое требование? Почему вообще многие компании за пользователей решают, какие у них должны быть пароли, ограничивая безопасность. Противоречивые требования (пароль не длиннее 8 символов, но и не короче 10, спецсимволы обязательны и одновременно запрещены) вымораживают.

Лично я с развитием мобильных устройств предпочитаю использовать длинные пароли, но не содержащие спецсимволов и букв в верхнем регистре. Скорость набора такого 12-символьного пароля гораздо выше, чем традиционного 8-символьного. Криптостойкость, как это ни странно, тоже выше.
Еще есть требования, чтобы пароль не содержал часть вашего имени или электронной почты(!)

IMHO лучше регистрозависимый пароль из 10-12 символов, без спец.знаков.

Если есть необходимость в большей защите, то прикрутить двух-факторную аутентификацию, если по каким-то причинам не подходит, тогда доступ по токенам (eToken, ruToken или просто защищенный контейнер с сертификатом на флешке), можно также использовать СЗИ от НСД, коих нынче огромный выбор.
А есть какие-то решения для авторизации в виндовом домене через смартфон (желательно и apple и android)?
Чтобы просто подтвердить в телефоне, что это ты заходишь без необходимости ввода паролей?
UFO just landed and posted this here
нет, вообще не то.Чтобы авторизоваться в настольной системе в виндовом домене не вводя пароль, а подтвердив на своём телефоне, что ты входишь.
Как Google prompt
Работал в компании из топ200 по миру.
Каждый месяц надо было менять пароли. Подбирал по шаблону.
Впрочем, с некоторыми сервисами было наоборот. Паролем у каждого был его адрес электронной почты. И предупреждали, что менять его нельзя, иначе всё может перестать работать.
Вообще вся это истерия с паролями от низкой граммотности и «большого ума». Мало кто желает в совокупности рассмотреть проблему безопасности. Нужно думать не только о цифрах и мифической безопасности но и о людях использующих продукт. Почему-то очень не любят думать об эргономике. Хорошо продуманная и реализованная эргономика сама по себе отучает от неправильных привычек и предохраняет от ошибок и снижает риски. Но это же сложно, проще придумать дурашлепское правило с частой сменой паролей. Пусть я не безопасник по профилю но выполнял и эту функцию будучи сисадмином. Надо сказать, что еще до прочтения умных статей понял что самая большая дырка в безопасности это человек, каким бы пароль у него ни был. Если кратко резюмировать то лучшие результаты дали длинные пароли с редкой сменой и блокировкой учетки в случае подбора. От распространнения паролей отучали различными административными и юмористическими способами (хорошая и злая шутка оказалась эффективней начальственных тумаков). Были и побочные эффекты — наш безадминный филиал был заблокирован атакой kido, если не изменяет память, вирусная машина перебирала пароли к учетками и заблокировала в AD напрочь все (хитрый винт нашелся и на эту часть). Нужно подходить к задаче с умом и решать её под конкретные условия а не идя на поводу стереотипов потому что «так принято».
Мало кто желает в совокупности рассмотреть проблему безопасности.
Истинно так.
Все эти регулярные смены паролей и абсурдные требования подчас напоминают крепостные ворота в деревянном заборчике в метр высотой. Эдакая непоколебимая уверенность в том, что злоумышленник будет ломиться исключительно в самую защищенную точку системы.
Если нужна чисто информация, вся эта безопасность и IT в целом идут лесом, т.к. работает банальный подкуп сотрудника, имеющего к ней доступ. Как правило в этих организациях зарплаты рядовых сотрудников (не руководящего состава) не такие уж и большие, так что способ работает.
Скорее, ворота посреди чистого поля :)
Я вот тоже как-то работал в корпорации, где политика безопасности требовала менять пароль раз в месяц, при этом новый пароль не должен был повторять несколько предыдущих (к счастью, частичное совпадение не проверялось). Первые несколько раз пытался «честно» ставить новый, потом окончательно надоело. Зато теперь я помню число Пи до 14 знаков после запятой.
Зато теперь я помню число Пи до 14 знаков после запятой.
… а мы большинство ваших паролей :)
Да там уже наверняка и учётки-то моей несколько лет как нет, кого теперь могут беспокоить те пароли? Ну а в тех местах, где ко мне не предъявляют таких странных требований, я и не творю подобных глупостей :-)
Не понимаю проблемы!
Каждому сотруднику заводится личный номерной блокнотик.
И карандашиком, блёкло и мелко, записывает в него свой текущий пароль вида — да хоть
7$o[E__d_-1##752№ыmDq6Vx2

При смене пароля старый вымарывается, записывается новый.
Никаких бумажек под клавиатурами, никакой необходимости в шаблонах/токенах/софте на смартфоны.
Никаких истерик по поводу «я не могу запомнить».
За разглашение пароля, за забытый блокнот — штраф и выговор.
Чем это отличается от бумажки под клавиатурой? Будет личный номерной блокнотик под клавиатурой лежать.

Ну и относительно записи блёкло и мелко на бумажном носителе:
«ы» от «bi» сложно будет отличить.
Как и догадаться о раскладке «Е» и «x» и о количестве подчёркиваний в "__".
Отличаться будет тем, что сотрудник будет обязан носить этот блокнотик с собой, с паспортом/правами. За забытый под клавиатурой — штраф.
А пароль пусть заполняет сам, чтобы сам смог прочесть.
Я на работу не ношу паспорт, а права просто по форм фактору хорошо в кардхолдер помещаются, поэтому я их не вынимаю, но если не еду на машине совершенно не обязан брать с собой.

Блокнотик можно спрятать под системник, шкаф, монитор, в тумбу, предварительно переписав нужный пароль на стикер. Спросили — вот он. не спросили и будет там пылиться.
Будете каждый день ворочать весь офис?

С таким директором — самодуром, на месте начальника отдела, я бы в своей тумбочке на ключике хранил блокнотики своих сотрудников и выдавал бы перед проверкой. Если, конечно, мне сотрудники были бы ценны.
Штрафовать можно и без блокнотиков, только вряд ли у вас так много сотрудников останется в организации.
Ну смотрите. Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то. Вы ведь не прячете ключи от квартиры под системник, шкаф и монитор?
Банковская карта даёт Вам доступ к деньгам.
То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.
А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.
Логично ведь носить его с собой?
Но память не у всехх хорошая, зато у бумаги она всегда хороша. Логично записать пароль на бумажку/в блокнот, и его уже носить с собой.
А если по соображениям безопасности требуется смена пароля, в чём проблема вымарать старый пароль и вписать новый, потратив 1 минуту в месяц/квартал.
Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.

Весь шум-то по поду частой смены паролей — из-за чего? Из-за того, что новый стойкий пароль трудно запоминать, поэтому его приходится записывать. Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.
Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то.

Нет. Если я с женой выхожу гулять, то ключи не беру. Или она не берёт.
Когда я знал, что мать постоянно дома, вообще мог ключи не брать с собой.

Так же я не ношу с собой ключи от машины, ключи от машины отца, от гаража, от дачи отца, от дачи тёщи, от квартиры отца, от квартиры тёщи, от дома бабушки. Хотя всё это у меня есть и всё это очень ценно, и периодически мне необходимо.

То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.

Откройте свой паспорт на последней странице, там написано, что вы обязаны делать. И «бережно хранить» совершенно не совместимо с «постоянно носить с собой»

А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.

Расскажите это сотрудникам, которые клеят пароли на стикерах. Их менять паспорт и ключи от квартиры раз в три месяца не заставляют.

Логично ведь носить его с собой?

Вообще не логично.

вымарать старый пароль

Вы мне напоминаете фильм про разведку 60-х годов. Никто вымарыванием не занимается, это не надёжно, секретные тетради в первом отделе просто сжигают.

Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.

Ну так о том и пост, что не работает это. При этом сделать смену пароля раз в три месяца политиками домена, легче чем приучить пользователей не придумывать простые пароли и никому их не рассказывать даже «по производственной необходимости». Потому что первое делается централизованно, а второе нужно делать с каждым сотрудником непосредственно. Задача не масштабируема. Для этого нужно выделить если не отдел, то как минимум одного человека. А ему деньги платить нужно.

Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.

Что мешало всем офисным сотрудникам со стикерами на мониторе взять эту бумажку в кошелёк с паспортом и деньгами?
То что не носят они регулярно с собой паспорт, деньги, аттестат зрелости, диплом о высшем образовании, медицинский полис, документы на квартиру, свидетельство о регистрации брака, свидетельство о рождении, ИНН и СНИЛС.

И не должны.

Потому что чем больше вещей, тем легче их забыть.

Потому что забыв зонтик и попав под дождь, всё это промокнет.

Потому что в тёмной подворотне выхватят сумку с этим добром, вытащат деньги и потом придётся паспорт по помойкам всего квартала искать.

Потому что компрометация пакета важных данных гораздо ценнее, чем одного.
По утерянному в метро стикеру сложно что-то восстановить. По блокноту с названием компании и именем сотрудника уже легче. С паспортом ещё легче.

Потому что человек может ходить на работу с пустыми руками, с кардхолдером, телефоном и связкой ключей в кармане.
В принципе если бы пропуск был на телефоне, я бы и без кардхолдера ходил бы.

Потому что люди могут что-то забыть и цель прогресса позволить им делать это, а не наказывать сильнее за любую ошибку.

Поэтому выигрывают технологии, которые облегчают, а не усложняют жизнь.
Те же яйца, даже еще хуже.
Представил себе админа на вахте, который будет генерить стойкий пароль, складывать из него «печать» и при входе сотрудника в помещение ставить штампик на запястье (как в клубах «печатки» иногда делают «оплатившим»). Удобно) Никаких бумажек — нужен пароль, отогнул рукав рубашки, посмотрел, вбил, раскатал рубаху обратно) При выходе из здания — руки с мылом мыть)) как раз МинЗдрав одобрит)
Эх… надо бы начальству порекомендовать… только где найти такую «барабанную» печатку, чтобы там ещё и спец.символы были (желательно весь UTF-8 хотя бы >.< )
только рукава красятся и печать смазывается, особенно если работник потеющий. в клубах УФ печати ставят для этого, только там нет требования к чёткости изображения, и код виден только под УФ лампой.
Очень понравился пароль для тех, кому надоело на кружке :))))
Мне очень понравился в своё время пароль от системной учётки ZYbrjveYtCrf;eGfhjkm
И особенно прикольно было, что его все знали.
Тоже хороший пароль :) Верхний и нижний регистр, спецсимволы. Только цифр нет :)
Я бы просто букву «о» (в слове «пароль» или «никому», например) заменил на нолик, вот так: «пар0ль», «ник0му». Есть варианты, как внедрить. Опять же, это затруднит подбор по словарю.
Но затруднит и ввод. Меня всегда выбешивал стандартный (майкрософтский, если память не изменяет) Pa$$w0rd
А так да, любая фраза в другой раскладке (хотя от брутфорса по словарю пофигу) уже норм.
Не сильно затрудняет, дело привычки. Если «о» в английской раскладке, так даже и не заметишь.
А что сложного в том, чтобы придумать и запомнить ОДИН соответствующий требованиям пароль и добавлять к нему год и месяц? Безопасности это не понизит, просто сведёт к нулю вредное воздействие админа… ну и удлинит пароль на 4 цифры, а время его набора на 0.5 секунды.
А что сложного в том, чтобы придумать и запомнить ОДИН соответствующий требованиям пароль и добавлять к нему год и месяц?
Прочтите, о чём статья. Это и называется «шаблонизация», то есть дыра в безопасности, с помощью которой удалось произвести взлом 17% банковских счетов моментально.
Здесь ключевое слово «соответствующий требованиям». Шаблонная прибавка к хорошему паролю его не испортит. Я предлагаю не «vova0816», а «H=u!8*q9-10816» использовать.
По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей.
Какие бы сложные пароли не были, попади они в руки злоумышленников — шаблон вычисляется очень просто. И дальнейшие (актуальные) пароли будут скомпрометированы.
В том и дело, что «соответствующий требованиям» пароль соответствует этим самым требованиям лишь определённый срок. В определённых случаях даже двух-цифровые коды на замках в подъезд или трёх/четырёх-цифровые коды на замках на велосипедах — выполняют свою задачу — их перебор ДОСТАТОЧНО долог для того, чтобы «переборщик» вызвал подозрения и был остановлен или же перебора банально не хватит для того, чтобы незаметно его «взломать без повреждений».
В этом контексте перебор паролей для «ЭВМ» гораздо быстрее, поэтому «очень сильный» пароль состоит уже не из 2-4 цифр, а из, как это полагается, минимум, восьми символов, включая цифры, буквы, регистр, знаки… Такой пароль банальным перебором будет взламываться в лучшем случае не один день, а если это не 8 символов, а всё-таки больше, то и взлом под сомнением…
Другое дело, когда под гнётом шаблонизации (как единственного приёма, способного «запоминать» регулярно меняющиеся пароли) сам «ключ» даже сокращается — ведь для выполнения требований Вам нужно 8 знаков, а «префикс» на этот год Вы «уже» придумали. И получается у Вас вместо «H=u!8*q9-™$+х%» тот самый «H=u!8*q9-10816», а в следующем году будет «H=u!8*q9-10817». Вы чётко убеждены, что такой пароль не взломать, а где-то тем временем какой-то злоумышленник банально каким-то образом сливает архивы (или может быть Вы вдруг этот пароль — чётко зная, что он всё равно скоро «истечёт» сливаете через «открытые каналы» типа аськи или по SMS)… и видит этот злоумышленник, что в 2014-ом у Вас был пароль «H=u!8*q9-10814», в 2015 — «H=u!8*q9-10815»… Всё… подбирать больше ничего не нужно. Вы остаётесь в полной уверенности безопасности, а взломщик остаётся с победой.
Другими словами, теряется такая важная штука в ИТ-безопасности как «компрометация». Если Вы, к примеру, придумали один мастер-пароль в два абзаца хексом, то фиг его в скором времени кто-то взломает. И как только обнаруживается подозрение «слива», все старые пароли утекают в трубу. Тут же — о сливах не беспокоятся, так как «старые» пароли считаются условно бесполезными, а ведь в них содержится по сути 80% новых паролей.
При этом особо отмечу, что важны не только ВАШИ старые пароли. Если шаблонизация вводится на уровне фирмы, и злоумышленник в сливе видит всего ОДИН Ваш пароль, и всего ОДИН пароль Вашего колеги и все они помимо «реально стойкой» крипто-строки вдруг продолжаются обычными цифрами, то вот он — куш — разделяй и властвуй.
В другом случае (без шаблона) слив бы злоумышленнику дал гораздо меньше — максимум — он смог бы углядеть «требования» и исключить из брутфорса ненужные сочетания (например, иногда вводятся странные правила, что «лесенка» запрещена, хотя знание о 100% отсутствии лесенки это ускорение перебора, или запрещается начинать пароль с большой буквы или с нуля… чётко указывается кол-во символов, например: 9, а это уже не от 8 до 12, это уже на пару порядков меньше вариантов.
Статья о том, как излишняя «парол'изация» для безопасности становится скорее парАлизацией ;)
Когда работал в ФНС, там была политика ежемесячной смены паролей. Ну и соответственно Low и Up символы + цифры.
Думаете тетеньки забывали свои пароли? Никогда. Потому что пароль они делали вида «Месяц + год» (например сейчас у них бы стоял пароль «Август2016»). Правда тот, кто знал эту «систему» — мог «взломать» любую рабочую станцию.
Собственно, ничто не ново под Луной…
Про подобные фокусы с шифрами от сейфов я ещё у Фейнмана читал, а было это лет 70 назад.
Как хорошо, что я не читаю geektimes, только habr/infosec, да и там рекламы поганой 90%

Кто пустил гуманитариев писать статьи о самом важном??? О паролях???
Сами пароли, по сути, говно. НО! Они ДОЛЖНЫ быть сложными. Это аксиома.
Для всех чуть важных вещей — PKI и 2FA, всё!!!

200 комментов. Детский сад.
Ну так напишите один нормальный коммент, как исправить ситуацию, с которой весь мир борется.
Я не в курсе, с чем там борется весь мир)
Но вопрос элементарный.
Ощущение, что 90% из ИТ, из менеджмента ИТ в принципе не читали основ,
ни password гида
https://www.microsoft.com/en-us/research/publication/password-guidance/
ни основ устройства инфраструктуры
ни основ противодействия тому же PtH

А с бумажками под клавиатурами должна бороться СБ, периодическими рейдами
+ административные документы из серии «сотрудник несет ответственность за пароли своих учетных записей, в случае физической утечки смерть через карапупу»
Во если бы вы почитали комменты из «детского сада», то поняли бы, что тут об этом и говорят. И какое бы «карапупу» не грозило сотруднику, бумажки есть и будут. И шаблонные пароли тоже, с которыми церберы из СБ уже ничего не поделают, так как пароли соотвествуют их же требованиям. И убытки бизнеса в случае утечки на сотрудника никак не повесить.
А какие будут убытки у бизнеса, после утечки пароля Превед2016 у рядового сотрудника Иванова?
Почту сольют? Ок.
А еще что?
Все зависит от того, насколько злоумышленник знаком с тем, как работает организация у Иванова.

Например с его почты можно переслать в бухгалтерию счет на оплату чего-либо, с просьбой «это в наш отдел канцтовары» или «это очередной платеж на что-то там».
Например с его почты можно узнать партнеров по бизнесу и выслать счет им с просьбой оплаты продукции, которая выпускает компания Иванова, но понятно что номер счета указать не тот.
Например можно стянуть базу клиентов и «перехватить» их.
Да мало ли что. И вообще почитайте классику, того же Митника о том что такое хакер. Это не тот, кто взламывает пароли. Это тот, кто знает как работает система и пользуется этим для достижения целей, а то, что технически сейчас везде компьютеры и взламывать нужно через них — это уже технические детали.
Sign up to leave a comment.

Articles