Комментарии 20
Не для спора, а от непонимания: поскольку пароли — недостаточно надёжная технология, приложения переводятся на аппаратные ключи. А это устройство позволяет сделать шаг назад?
Каждый решает сам. Мы решили — это шаг вперед.
Как правило, ключи или постоянно в компах, или розданы сотрудникам и не понятно кто и когда ими пользуется.
USB over IP позволяет обеспечить подконтрольность и физическую безопасность использования ключей.
Разумеется, при принятии ряда дополнительных организационных и технических мер.
habr.com/ru/post/448110
Плюс прочие бонусы и возможности (ключ из одного филиала подключить к серверу в другом и т.д.).
У нас три DistKontrolUSB и почти два года, как забыли про проблемы с ключами.
habr.com/ru/post/445094
Как правило, ключи или постоянно в компах, или розданы сотрудникам и не понятно кто и когда ими пользуется.
USB over IP позволяет обеспечить подконтрольность и физическую безопасность использования ключей.
Разумеется, при принятии ряда дополнительных организационных и технических мер.
habr.com/ru/post/448110
Плюс прочие бонусы и возможности (ключ из одного филиала подключить к серверу в другом и т.д.).
У нас три DistKontrolUSB и почти два года, как забыли про проблемы с ключами.
habr.com/ru/post/445094
физическая безопасность ключа никому не нужна, пусть его ломается или теряется, это стоит на многие порядки дешевле защищаемой информации (если нет — можно и без паролей).
Ключ потому и появился, что его одна штука. Ситуация с паролем, когда его тупо подобрали откуда-то из Индии или это день рождения и т.п. — исключена. То есть «социальная инженерия» перестаёт работать — а это главный источник неприятностей. Добавим сюда широко известные базы паролей…
Любые изыски вроде удалённого подключения ключа — минус безопасности.
Ключ потому и появился, что его одна штука. Ситуация с паролем, когда его тупо подобрали откуда-то из Индии или это день рождения и т.п. — исключена. То есть «социальная инженерия» перестаёт работать — а это главный источник неприятностей. Добавим сюда широко известные базы паролей…
Любые изыски вроде удалённого подключения ключа — минус безопасности.
подконтрольность и физическую безопасность — Вы совершенно правы, речь разумеется, не о повреждении, а о физической невозможности бесконтрольного использования usb устройства.
Естественно речь не может идти о доступности извне: изолированная подсеть, включенный ssl и т.д., подробнее было по ссылке.
Тогда ни о каком подборе пароля не будет смысла говорить. Без комплекса административно технических мер не обойтись. Подобная железка, только часть составляющих комплекса.
Естественно речь не может идти о доступности извне: изолированная подсеть, включенный ssl и т.д., подробнее было по ссылке.
Тогда ни о каком подборе пароля не будет смысла говорить. Без комплекса административно технических мер не обойтись. Подобная железка, только часть составляющих комплекса.
Тогда зачем вообще пароли? Раз такие железные занавесы развешаны, работайте внутри как угодно. Нет же?
Как мне это видится: ключи восприняты как неприятное требование приложения, реальная безопасность никому не нужна. Потому и подыскивается способ обхода защиты. Ну, вполне может быть, что в данном конкретном случае защита и не нужна.
И потом преспокойно передаёт конкурентам.
Ещё раз: токены появились не для того, чтобы марьваннам хуже было, а чтобы именно повысить сохранность информации. Отказ от них снижает безопасность, и незачем выдумывать конкретные примеры и приводить фантастические «комплексы административно технических мер». Любой аудит безопасности сразу назовёт виновного в крахе, а именно того, кто повесил токены на парольный доступ.
Как мне это видится: ключи восприняты как неприятное требование приложения, реальная безопасность никому не нужна. Потому и подыскивается способ обхода защиты. Ну, вполне может быть, что в данном конкретном случае защита и не нужна.
Естественно речь не может идти о доступности извне: изолированная подсеть, включенный ssl и т.д., подробнее было по ссылкеБанально: человек, пользуясь скомпрометированным паролем (ага, социальная инженерия, МарьВанна, как внучку зовут?), скачивает финансовое состояние конторы на флэшку. И приложение ему разрешает, так как думает, что защищено токеном.
И потом преспокойно передаёт конкурентам.
Ещё раз: токены появились не для того, чтобы марьваннам хуже было, а чтобы именно повысить сохранность информации. Отказ от них снижает безопасность, и незачем выдумывать конкретные примеры и приводить фантастические «комплексы административно технических мер». Любой аудит безопасности сразу назовёт виновного в крахе, а именно того, кто повесил токены на парольный доступ.
Ну дык юзеры не хотят надёжности, они хотят лёгкости.
Что пароль можно записать на стикере и повесить на монитор, что флешку оставить на столе или в пека. Вопрос в безолаберности пользователя. Я так понимаю тут вопрос в том что потерять флешку сулит кучу геморроя.
нет. Флешкой (токеном, аппаратным ключом) может войти разве что находящийся в том же помещении. И забывчивость эта — заметна, исчезновение флешки заметно сразу. Пароль же имеет свойство становиться доступным всем и каждому, причём никаких следов этого нет.
Зачем воду в ступе молоть? На эту тему есть немало обоснований и стандартов.
Зачем воду в ступе молоть? На эту тему есть немало обоснований и стандартов.
Не должно это сулить кучу гемороя. Должно быть просто и безпроблемно. Чтобы пользователи не боялись его с собой носить.
Раз в год можно потерять вообще бесплатно, потом по цене токена. Тысяча-две или сколько там? Я не думаю что средний человек теряет ключи от дома или карточку от офиса чаще. А токену вместе с ними самое место.
Раз в год можно потерять вообще бесплатно, потом по цене токена. Тысяча-две или сколько там? Я не думаю что средний человек теряет ключи от дома или карточку от офиса чаще. А токену вместе с ними самое место.
Ценник, конечно, пониже, чем у USB Anywhere, но гуманностью тоже не страдает.
Кхм… А что сказать-то хотел?
"Мы вот тут устройство купили, классное очень. Но я вам его не покажу. Потому что у вас докУментов нету" ©
Техническая статья уровня "пикабу".
Токен это чтобы носить с собой.
Если человек теряет свой токен не первый раз, то можно начинать из зарплаты вычитать. Сразу терять перестанут.
Два токена у человека это ошибка проектирования системы. Надо все переделывать.
Исключение это бухгалтеры и прочие люди работающие с гос службами. Им можно поставить в их личный сейф что угодно во что воткнуты все эти токены. Воткнуты навечно. И уже доступ к этому компу в сейфе по их личному токену, который они носят с собой.
А вы ерунду какую-то написали.
Если человек теряет свой токен не первый раз, то можно начинать из зарплаты вычитать. Сразу терять перестанут.
Два токена у человека это ошибка проектирования системы. Надо все переделывать.
Исключение это бухгалтеры и прочие люди работающие с гос службами. Им можно поставить в их личный сейф что угодно во что воткнуты все эти токены. Воткнуты навечно. И уже доступ к этому компу в сейфе по их личному токену, который они носят с собой.
А вы ерунду какую-то написали.
«Купили какой-то USB over Ethernet/Wifi и он как-то заработал. Лол кек чебурек»
Что бы никому не нужно было угадывать, автор говорит про две железяки. Американский прибор это широко известный и крайне дорогой в перерасчете за один порт — DIGI AnywhereUSB, у них появилась уже 24 портовая модель (раньше была только 14 максимум), но за их цены тестить уже не хочется. Новые прошивки не смотрел, но там не было возможности лочить порт за конкретным IP адресом, не говоря уже про доступ по логину/паролю. Работает стабильно с аптаймом годами, однако у одной из моих 4х железяк со временем начинается утечка памяти и она намертво виснет, причем заливка новых прошивок не помогает. В итоге висит на мониторинге и просто ребутается ночью, когда проблема появляется. Иногда может случиться так, кто один сервак в ребуте отпустил ключ, а его хватает в этот момент другой вышедший из ребута сервак, хотя в настройках клиента корректно прописано устройство и группа портов которая должна подключаться. Тоже самое может сделать сервак от которого ключ отключили, но клиент устройства не удалили.
Второй это DistKontrol, совсем дешево при пересчете на порт, ужасный сайт из 200х, немного нарушенная логика работы в интерфейсе устройства и дикий ад при попытке это устройство обновить. Однако несмотря на все — стабильно работает уже полгода и имеет весь необходимый функционал с фильтрацией по IP и/или логин/пароль. Клиентское приложение тоже норм, хотя не хотелось бы что бы оно показывало все ключи с устройства, при том что доступ к портам ограничен по IP, но как и все описанное выше это просто мои придирки. Поставил, настроил, подключил, забыл что оно есть.
Второй это DistKontrol, совсем дешево при пересчете на порт, ужасный сайт из 200х, немного нарушенная логика работы в интерфейсе устройства и дикий ад при попытке это устройство обновить. Однако несмотря на все — стабильно работает уже полгода и имеет весь необходимый функционал с фильтрацией по IP и/или логин/пароль. Клиентское приложение тоже норм, хотя не хотелось бы что бы оно показывало все ключи с устройства, при том что доступ к портам ограничен по IP, но как и все описанное выше это просто мои придирки. Поставил, настроил, подключил, забыл что оно есть.
Жестокое окончание статьи лол.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Чёрный ящик» для вашего офиса