Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное. Данное явление дошло до всех в различный период. Автор столкнулся c этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.
Для тех, кто пользовался pass-менеджерами типа KeePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена.
Постоянная смена паролей, вместо того, чтобы повысить уровень безопасности внутри организации приводит только к тому, что ее, безопасности, уровень понижается. И для этого есть целый ряд адекватных причин.
Большинство рядовых пользователей стремится свои пароли запоминать и pass-менеджерами пользуются далеко не все. Если вы рекомендуете своим родным или знакомым менять пароли раз в несколько месяцев, вы оказываете им медвежью услугу. Ведь постоянная смена пароля ведет:
- К его упрощению, ведь сразу запомнить сложный пароль тяжело, а пользоваться им придется, по всей видимости, постоянно;
- Как следствие, используются, например, только цифры, или буквы имени, даты и т.п;
- Если политика безопасности требует криптостойкий пароль с переменным регистром, цифрами и спец. символами, их начинают записывать на бумажки и клеить под клавиатуру. А некоторые еще и «ламинируют» скотчем. В особо тяжелых случаях клеится это дело на монитор.
Ярчайший пример «записывания», а в данном случае — распечатки паролей. В 2015 году на Хабре была статья о взломе французского телеканала, где в эфире в кадр попала обсуждаемая «памятка»
Окей. Если на персональном рабочем месте у нас есть возможность установить пасс-менеджер и не знать беды, то существуют ситуации, когда человек просто не может установить стороннее ПО на рабочий компьютер.
Вы никогда не задумывались, почему при проведении некоторых сложных операций в банке, кассир так долго, по вашему мнению, возится не пойми с чем?
В своей работе рядовой сотрудник (кассир) использует около десятка учетных записей в различном ПО или его сегментах. Кроме входа в учетную запись при проведении операции каждую нужно подтверждать собственным паролем плюс, достаточно часто — паролем старшего кассира или руководителя отделения (все мы слышали этот крик «КОНТРОЛЬ!»). От банка к банку все пароли могут меняться около раза в месяц, а некоторые и того чаще.
В теории, все выглядит прилично. Пароли везде, где это необходимо, не меньше восьми символов, везде разные. На практике все они повсеместно записываются на бумажках и хранятся в кармашках жилеток или под клавиатурой.
По итогу, вместо двухуровневой системы защиты мы получаем решето с уже упомянутыми «памятками» только потому, что бытует мнение о том, что «менять пароли просто так — это полезно».
Одним из наиболее распространенных путей запоминания пароля, если использование pass-менеджера невозможно, но пароль менять каждые N дней приходится, является его шаблонизация. Данный факт подтверждается исследованием в области безопасности сотрудниками Университета Северной Каролины еще за 2010 год.
В своей работе они сымитировали генерацию паролей пользователями исходя из принципа шаблонизации, а после, исходя из этого, провели «атаку» на счета с учетом перебора максимально вероятных паролей до того, как система безопасности среагирует на происходящее. По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей. На тот момент исследователям с учетом шаблонности паролей удалось получить доступ к 17% (!!!) банковских счетов менее чем за 5 попыток. Еще 41% процент счетов был взломан за, примерно, 3 секунды.
С более подробными алгоритмическими выкладками можно ознакомиться в самой работе.
Это исследование еще раз подтверждает то, что однажды созданный сложный пароль там, где у человека нет возможности использовать специализированное ПО для хранения ключей, лучше, чем постоянная замена более простыми вариантами.
Ведь наш мозг лентяй по природе своей, поэтому стремится все упростить и шаблонизировать. А это, в свою очередь, приводит к тому, что при попадании наших даже неактуальных данных в руки более-менее ушлых злоумышленников, постоянная смена пароля, если он шаблонный (а так чаще всего и происходит), нам не поможет, а только исключит возможность использования по-настоящему сложного для взлома ключа.
Комментарии (228)
DrPass
08.08.2016 13:24+9Там, где требуется регулярно менять пароли, те пользователи, которые помудрее, обычно добавляют в конце цифру, и при требовании смены пароля просто увеличивают её.
ragequit
08.08.2016 13:25+6Это и есть шаблонизация.
Bytamine
08.08.2016 13:30+1А что делать?
Запоминать новый сложный пароль каждые три месяца — то еще удовольствие.ragequit
08.08.2016 13:32+2Или каждый месяц. Об этом то и речь, что все шаблонизируют, ибо деваться некуда. По этой причине утечка даже старых БД может быть фатальной. Не говоря уже о «памятках» и прочих прекрасных вещах.
gogorsh
08.08.2016 13:46Ну если предположить что у нас утекла БД, то без принудительной смены у нас скомпрометировано 100% паролей, а так может ещё и пронесет кого. Да и шаблоны можно сделать такими, что не так просто будет подобрать пароль не зная шаблона, даже если будет n предыдущих паролей известно.
ragequit
08.08.2016 13:47Какой процент девочек-рекрутеров будут заморачиваться сложным шаблоном?
gogorsh
08.08.2016 13:55Так эти же девочки не будут заморачиваться и генерацией сложного пароля даже если у нас не будет «протухания».
Понятно что «протухание» — далеко не самая полезная мера безопасности.
Мой комментарий был про ситуацию с «утечкой старой БД» когда выходит что без принудительной смены хуже чем с ней.
Kanut79
08.08.2016 14:08На самом деле есть достаточно простые и оригинальные методы генерации паролей для вот таких вот юзверей. Например вот такое: https://www.sicher-im-netz.de/dsin-muster-passwortkarte
Не то чтобы супер, но лучше чем обычный пароль «на всю жизнь».
PycoBeg
10.08.2016 13:04Вряд ли можно… Точнее сказать, сложный шаблон спасёт одиночную учётную запись (например, если Вы используете один пароль на все учётки, но этот пароль реально стойкий (под 40-50 знаков, где символ "d" является одним из самых простых). Но если речь идёт о корпоративных учётках, то принцип шаблонизации плох тем, что ВСЕ сотрудники знают принцип шаблона. Тогда любой уволенный 3-4 года назад сможет «сгенерировать» сегодняшний пароль действующего сотрудника, а ведь инсайдерские взломы тоже составляют не малый процент причин утечки.
martin_wanderer
08.08.2016 14:21Погодите: Вы предполагаете, что утекли сами старые пароли? Или все-таки их соленые хэши?
Pakos
09.08.2016 15:20Или пароли. Из файла \\server\share\boss\работа\пароли сотрудников.xls
«А вдруг уволишься или заболеешь? Как на твой компьютер попасть?» Не везде же есть [грамотный] админ. Редкая смена паролей тут, правда, не поможет совсем.
LynXzp
09.08.2016 15:02Ну так утечка старой БД в случае без принудительной смены паролей еще хуже.
Чем МойСложныйПароль№ хуже МойСложныйПароль? (Ну я не имею в виду именно эти три слова :))
А если утекли соленые хэши старых паролей то вообще хорошо. Не идеально, но гораздо лучше. Особенно если хеш формируется на стороне клиента. Лишь бы после МойСложныйПароль9 не стал МойСложныйПароль1.
GaneevRR
09.08.2016 15:09У нас именно так и есть, записи на листочках и шаблонизация и с пользователей этого не выбить. Если только надзирателей выставить, чтобы не записывали не куда.
alsii
10.08.2016 17:57Карточки паролей. Каждый новый пароль в обязательном порядке записывается вместе с датой установки и подписью сотрудника на бумажную карточку, которая запечатывается в конверт, опечатывается и подписывается сотрудником и сдается руководителю, который хранит их в сейфе. В произвольный момент времени появляются сотрудники службы безопасности и требуют конверт произвольного сотрудника. Проверяется:
- Работоспособность последнего записанного пароля.
- Соответствие всех паролей принятым нормам безопасности.
- Периодичность смены паролей.
После проверки сотрудник службы безопасности делает отметку о проверке и подписывает ее. При выявлении нарушений применяются меры административного воздействия. После проверки сотрудник проводит внеплановую смену пароля.
Кое-где эта схема работает.
А еще кое-где пароли в конвертах хранятся в службе безопасности. В день истечения срока действия пароля сотрудник вызывается, получает свой конверт и меняет пароль.
uncle_sem
10.08.2016 19:55Всё отлично, но вот после того как пользователь узнал и установил свой новый пароль — он должен его выучить. А если пароль сложный — то это тем более непросто для среднего человека. Соответственно, в промежуток времени между установкой пароля и его запоминанием — этот пароль будет у пользователя легкодоступен. На бумажке, на стикере, в заметках на телефоне… И чем хуже у человека память на такие пароли, и чем сложнее сам этот пароль — тем дольше этот «срок уязвимости», вплоть до момента получения нового пароля.
alsii
11.08.2016 11:33Это всего лишь способ борьбы с шаблонизацией и другими нарушениями правил составления паролей. Метод достаточно эффективный, по крайне мере простых и эффективные способов его обхода мне неизвестны. Насчет бумажек с паролем, там другие методы, вполне очевидные применяются. Но это все не имеет никакого отношения к тому, насколько хороши сами правила.
Mel
08.08.2016 13:54+2Я как-то из-за политики смен паролей в виндовом сервере (на который я очень редко захожу — тестовая машина) забыл пароль админа. После потраченных 3 часов вспоминаний и подборов больше не придумаваю абсолютно другие пароли, а добавляю цифры :)
RubyFOX
08.08.2016 17:16Не катит, новый пароль не должен содержать части старого. А меняется каждый месяц. В итоге у всех пароли типа 1234567Ab и т.д. в разной последовательности.
5oclock
08.08.2016 21:31А как система может это проверить?
Она где-то хранит пароли?mrsantak
08.08.2016 23:47Мне несколько раз попадались сайты, которые на попытку восстановить пароль ругались, что мой новый пароль отличается от старого всего одним символом. Вот такие вот сумрачные гении попадаются.
kneeze
09.08.2016 00:35У Киви, например, есть проверка на использование ранее использованных паролей.
Видимо, хранят старые хеши.5oclock
09.08.2016 00:38+3Не, ранее использованные — это понятно. Хэши можно хранить и всё.
А вот чтобы говорить, что у тебя новый пароль использует часть старого — нужно хранить сами пароли, а не их хеш.
tcapb1
09.08.2016 09:09+1Можно и хэш хранить. Просто перед хэшированием и записью в базу нового пароля, несколько раз прогоняем его по шаблонизации, описанной выше в статье, и сравниваем со старым кэшем. При наиболее банальных модификациях — этого достаточно, говорим айайай. А небанальные нас устраивают.
5oclock
09.08.2016 09:30Как я понимаю, по правильному хешу никакой шаблонизации или схожести паролей не поймаешь.
Если у тебя старый пароль только в виде хеша, то насколько на него похож новый пароль — не узнать.
Reey
09.08.2016 10:05При смене пароля надо вбить старый и например два раза новый. Тут то их и можно сравнить.
ploop
09.08.2016 10:13С предыдущим да, а с пред-предыдущим и ещё глубже?
DistortNeo
09.08.2016 13:24+1Старые пароли могут просто храниться в хранилище, которое может быть дешифровано текущим паролем. При смене пароля текущий добавляется в хранилище, а паролем от хранилища становится новый пароль. Но если пароль забыть и принудительно сбросить, то история паролей пропадает.
DistortNeo
09.08.2016 13:21Существует криптографическая теория обработки данных (гомоморфное ширование), при которой данные хранятся в зашифрованном виде, но при этом возможно выполнение операций над ними.
Т.е. теоретически можно хранить пароли так, чтобы их невозможно было расшифровать, но при этом определять вхождение в виде подстроки.
xapienz
10.08.2016 08:48я добавляю цифру в начале пароля, т.к. алгоритм проверяет, что новый и старый пароли начинаются по-разному :)
Alex_Hannibal
08.08.2016 13:43Опишу свой опыт: во всех организациях (сфера электроэнергетика) абсолютно все пароли знают все сотрудники, а смена пароля только бесит так как ты забываешь пароль и приходится его записывать… чаще всего бумажки с паролями валяются или на столах или еще где. Когда сотрудник уходит в отпуск он сообщает коллегам свой пароль и порой через электронную почту. Если бы был один пароль, то его бы легко запомнили все, но постоянная смена пароля приводит к последствиям которые описаны в статье.
В большинстве организацией в электроэнергетике не зарезан доступ к почте. Точнее зарезан но не совсем. На данный момент через браузеры я не могу законнектиться на свою gmail почту, но через Franz я могу законнектиться и кидать что угодно. На данный момент я могу ставить сторонний софт вплоть до Tor'а. И к слову: СБшники у нас бывшие военные.
goodwind
08.08.2016 13:44+1У нас когда ввели практику «протухания» пароля раз в месяц, всем пользователям (а это тысячи человек) установили один и тот же пароль по типу 123456Zz. Безопасность во все поля просто
ifvrt12
08.08.2016 14:21+1Могу поделиться опытом из своей сферы. Когда пароли истекают, то люди банально приписывают ещё одну цифру/букву. Всех бесит, так как сеть закрытая, и изолирована от интернета.
К примеру пароль MyPassword2015 превращается в MyPassword2016. Безопасности это никак не добавляет.
qbertych
08.08.2016 15:49+12Прекрасная история в темуКак-то раз в советские времена довелось мне посетить «машинный зал» оборонного завода N. Прихожу рано утром, набираю на цифровом замке код — дверь не открывается. Набираю другой код, вхожу, включаю ЕС, иду ставить магнитные ленты на лентопротяжки.
Слышу сзади: «Стой, соколик, где стоишь, и руки вверх!» Оборачиваюсь. Бабушка — божий одуванчик с «макаровым». «Пошли, — говорит, — к начальнику охраны, будем разбираться, кто ты такой и как оказался на территории режимного ВЦ во внеурочное время». А мне-то что — допуск и предписание у меня есть. «Пойдёмте, — отвечаю, — раз такое дело».
Начальник охраны оказался бдительным соколом сталинского разлива. Пролистал мои документы, скривился и говорит: «В принципе, ты имеешь право здесь находиться, но есть одна большая неувязка. Я с утра код на двери в машинный зал сменил, но никому его не сообщал и не сообщу до завтрашней утренней планёрки. Ты его уже знаешь. Что это значит? У нас утечка информации!» И смотрит на меня исподлобья с хитрым прищуром.
Битых два часа пришлось мне ему доказывать, что я, недавний выпускник мехмата, страшным усилием мозга чисто случайно догадался, какой будет код на двери 2 января 1985 года, если предыдущий код был «1984».
(с ithappens.me)LynXzp
09.08.2016 15:12Не такая прекрасная история, но произошла со мнойСтудентом был на практике в банке. Все ушли на обед (я возвращался) а мне по памяти сообщили пароль, но он не подошел. Номеронабиратель был вверхногами (т.е. засунул пальцы в щель и нащелкиваешь их вверх — к себе) и с экраном. Первый ряд «1234», второй «5678», третий "#90*". Через несколько попыток я догадался что номер был продиктован правильно по расположению но по раскладки или телефона или клавиатуры. (кол-во рядов не совпадает, но не проблема) Приятно было наблюдать удивление админов когда они нашли меня в комнате от которой мне дали не верный пароль.DenomikoN
08.08.2016 15:51+4Я просто меняю пароль 10 раз и выставляю свой старый пароль — лучше один хороший, чем новый на бумажке.
(ну и в системе нигде не надо перевводить пароль)boblenin
08.08.2016 18:08+1А не проще уже начать пользоваться keepass?
DenomikoN
08.08.2016 19:15+1Возможно и проще, но не имею опыта с KeePass, да и не хочется еще и в паролях зависеть от третьего софта.
boblenin
08.08.2016 20:42Ну это до тех пор, пока вы не введете свой любимый пароль в какую-нибудь корпоративную систему и вам его не пришлют его обратно email-ом в открытом виде (демонстрируя, что разработчики нужной супер системы чихать хотели на хэширование паролей в базе).
DenomikoN
09.08.2016 10:18Являясь разработчиком, первую регистрацию прохожу с 5min email. Кроме этого я использую три пароля — для сайтов с низким, средним и высоким доверием.
mrsantak
09.08.2016 11:07Мне как-то попалась система, которая требовала пароль с буквами в обоих регистрах, цифрами и спецсимволами длинной от 7 и до 10 символов. В тот раз подход, подобный вашему, впервые дал для меня сбой, так как пароля удовлетворяющего таким требованиям у меня не было.
boblenin
09.08.2016 19:30Либо вы меня не поняли, либо я вас, либо вам везло. Я тоже пользовался когда-то несколькими паролями и их производными для разных сайтов, теперь же keepass мои волосы гладкие и шолковистые.
halfhope
09.08.2016 09:09А моя зависимость от софта принесла свои плоды. Когда-то, когда у меня стояла Windows 95 мне приходилось достаточно часто набирать серийный номер для продолжения установки винды. Вводить приходилось настолько часто, что серийник въелся мне в мозг, я сейчас его могу закрытыми глазами набрать. Сейчас этот серийный номер используется для генерации сложных паролей для определенной группы сайтов, с shift и без него (с shift числа заменяются спецсимволами), с перестановкой групп, с разной длиной. Для других групп сайтов используется другой серийный номер, уже от Windows XP)
Считаю практику протухания паролей относительно небезопасной, ее нужно внедрять только там, где она, действительно, необходима.
Stiver
08.08.2016 19:34+1А как использовать KeePass для входа в систему?
boblenin
08.08.2016 20:40Вот тоже думаю над этим. Пока придумалось взять или сделать USB брелок эмулирующий клавиатуру.
ploop
09.08.2016 00:02Можно использовать на стороннем устройстве, например, телефоне. Только пароль делать не 40-символьный с доп.знаками, а просто подходящий по политикам, легко набираемый. KeePass тут будет просто как памятка, а не источник копипаста.
ifvrt12
09.08.2016 00:40Я для таких случаев пользуюсь 1Password. Пересел на него с KeePass.
Для входа в сторонние системы использую 1Password для андроида. По моему гораздо удобнее чем записывать пароли вроде «gD2kJq0vMo1».
oops1
08.08.2016 13:46+3Использую шаблон пароля уже лет 10. поменял 3 работы, везде смена пароля каждые 30 -45 дней.
Для личных целей использую пароль Буквенно-цифровой, большими и маленькими буквами, с использованием спец символов, меняю после подозрения на компрометацию, или по желанию.
Был период (около 2х лет) когда демонстративно записывал пароль на бумажку и клеил на монитор, но как я понял, никого не волнует подобное поведение.
toxicdream
09.08.2016 07:02Самое прикольное это когда звонят и просят сказать пароль в упор не замечая приклеенную на монитор бумажку с этим самым паролем.
Malevolent
08.08.2016 13:51У нас в офисе больше половины сотрудников возрастом 40+ и почти все они хранят пароль от учётки на бумажке. Смена пароля каждые 2 месяца.
ploop
08.08.2016 13:51Шаблонизация паролей — всем известная беда. Ещё хуже бывает, когда работа построена таким образом, что отсутствие сотрудника вынуждает его сообщать свой пароль коллегам, ибо физически заменить его есть кем, а с временным доступом к его ресурсам (делам) для другого сотрудника никто заморачиваться не будет. И такое повсеместно, даже в банках. И так будет продолжаться до тех пор, пока целью будет безопасность на бумаге, а не в реальности.
myrov_vlad
08.08.2016 14:21А в случаях такой секретности, нельзя использовать «железные» решения?
donvictorio
08.08.2016 14:57дополнительные затраты, а при отсутствии знаний штатных админов — весьма существенные. интегрировать смарткарты в корпоративные приложения, у которых их нет «в коробке» тот ещё гемор.
realbtr
08.08.2016 14:28+2
Мой заказчик использует вот такие штуки. У сотрудника есть постоянный пин-код и регулярно изменяющийся номер, который он видит на экранчике.
Что скажете насчет безопасности (и клиентолюбивости) такого метода?
TimsTims
08.08.2016 15:07+1У нас сотрудники иногда пропуски забывают дома, либо теряют их, чего уж говорить про такие токены. Забыл токен = топай домой за ним? 1час в одну сторону + 1час в другую = 2часа потерянного рабочего времени. Никому не в радость — ни директору, ни работнику.
realbtr
08.08.2016 15:10Ну вот у заказчика не забывают. Видимо есть удачная мотивация. Или решение проблемы забытого токена на месте, не знаю. Собственно не вижу большой разницы с рассылкой пароля через смс/приложение на мобильном.
Мобильный, конечно, тоже можно забыть дома.
xut
08.08.2016 15:49+1Для таких забывашек придумали приложение на мобильном.
TimsTims
08.08.2016 21:29Я в курсе про OTP генераторы, но ведь речь идет про физический исполнитель (см.картинку), и ни слова про «используется два варианта — физический или программный». Как правило, если заказчик параноик, то он форсит вот такие железные токены, и не воспринимает программные модули, мол «вирус попадет и всё, кирдык». Тот, кто более-менее адекватен — другой разговор…
DabjeilQutwyngo
08.08.2016 16:40К карте-пропуску или токену нужна ещё одна приблуда, устанавливающаяся дома (как в гостиницах): пока не вынешь карту/токен из держателя, не закроешь дверь дома.
DistortNeo
08.08.2016 17:41+1Да, именно так и должно быть. Забыл токен — иди домой, получай выговор за прогул. Потерял — готовься к худшему.
boblenin
08.08.2016 18:10У нас такие были на одном проекте. Если потерял токен — то пишешь бумажку, платишь копеечку, старый деактивируют — дают новый. Потеря времени — да, но народ довольно быстро привык.
Stiver
08.08.2016 19:37+1Забыл токен = топай домой за ним?
Я токен просто на ключи вешаю. Связку ключей забыть сложно.
maldalik
09.08.2016 04:17Да идти домой. И соответственно, терять в деньгах на штрафе, Не поверишь один — два раза и он всегда с собой.
На предыдущей работе были такие токены. Правда в дополнение к обычным паролям…
rstepanov
09.08.2016 11:01На токен можно повесить временный пароль с ограниченным сроком действия. Полчаса, скажем, вместо пина + циферок с токена надо будет вводить просто «ядебил», потом опять обычная схема.
saboteur_kiev
08.08.2016 16:31Для RSA можно и программку на телефон поставить, не обязательно хардварные штуки — с ними дольше и напряжнее.
А так — на телефоне программу открыл, пинкод ввел, текущий пароль получил.
Сертификат выдается например на несколько месяцев. Сотрудник еще работает — продлили. Уволился — закрыли.
realbtr
08.08.2016 16:35Полностью согласен. Одно устройство на все случаи жизни.
И лучше если какой-нибудь keypass будет один, но с открытым API. Чтобы любую систему можно было подключить
OtshelnikFm
08.08.2016 14:33-1Достаточно 2 пароля запомнить. И делать ими рокировку раз в месяц. Сам использую keePass
martin_wanderer
08.08.2016 14:38+7Недостаточно: у нас вот например пароль не имеет права совпадать с десятью предыдущими. Помимо того, что пароль принудительно меняется раз в месяц, обязан содаержать спец.символы, цифры и буквы в разных регистрах, и не содержать последовательностей одинаковых символов длиной больше двух.
TiKo
08.08.2016 15:56+2У нас на работе любители «своего пароля» меняют сразу 10 раз, и потом меняют уже на «свой нужный» :)
Dimano
08.08.2016 15:57+6Ха! Для этого есть опция запрета смены пароля чаще чем раз в сутки!
DenomikoN
08.08.2016 19:22+1У нас эта опция включена, а ещё включена опция блокировки аккаунта при вводе неверного пароля и есть сайт на котором можно различить аккаунт с помощью секретных вопросов. Но, на сайте есть ещё возможность просто сбросить пароль, подтвердив личность ответами на секретные вопросы, и установить новый пароль. При этом, новый пароль не проверяется на повторы.
В итоге, когда срок действие пароля истекает, мы просто его сбрасываем и указываем тот же пароль. Active Directory домен, не знаю родной сайт или нет ( при стандартной процедуре смены пароля все политики учитываются)
OtshelnikFm
08.08.2016 19:47хэш прошлых паролей хранится? Даже и не подумал что так нужно)) тогда по месяцам смены пароля, числа в начале или в конце: ****04 — апрельский пароль))
ploop
08.08.2016 14:42На сколько знаю, глубина проверки на совпадение с предыдущими настраивается, и её может как не быть вовсе (при истечении срока пароль меняется на такой же), так и быть на полную уникальность (ни одного повторения)
Farxial
08.08.2016 15:02Как вариант, можно использовать утилиту, которая сканирует отпечатки пальцев/сетчатку/etc. и
1. На основе результата вычисляет пароль (он может быть и результатом хеширования или PBKDF2)
[2. Делает запрос на сервер ключей конторы, который выдаёт пароль от нужного ресурса, авторизуясь паролем из #1]
3. Доставляет пароль, полученный на #1 или #2, в окно браузера или другой программыboblenin
08.08.2016 18:12+1Отпечатки тоже нужно менять каждый месяц? Плюс части старого отпечатка не могут содержаться в новом.
Farxial
08.08.2016 18:24Одни отпечатки = один человек, же. Но если организация меняет работников каждый месяц — можно :)
На счёт второй фразы не очень понял. Я не разбираюсь в сканировании отпечатков. Но, вроде, в Windows и на мобилках есть поддержка сканера — они как-то получают из отпечатка число.
DistortNeo
08.08.2016 20:55+1Использование любых биометрических данных крайне опасно. Если пароль при его компрометации можно просто поменять, то биометрические данные — нет. Поэтому биометрические данные должны быть защищены гораздо более сильно, чем пароли. И способ их применения также ограничен — их явно неразумно использовать для удалённой аутентификации в банк-клиенте.
Farxial
08.08.2016 22:02Тогда что-нибудь другое, не компрометируемое (или компрометируемое в меньшей степени), например USB-токен с PIN-кодом. Главное чтобы такой объект был один (а в случае смены она происходила максимально безболезненно для пользователя) и аутентификация им преобразовывалась в аутентификацию множеством паролей (раз уж для аутентификации требуются именно пароли).
CrazyViper
08.08.2016 15:19+5Лучший пароль, который я видел, это:
— Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой… ламерский…
(с) Лукьяненко. Фальшивые зеркала
<...>
— Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
<...>
Чингиз выдыхает и ледяным голосом произносит:
— Сорок тысяч обезьян в жопу сунули банан.realbtr
09.08.2016 13:30Для тех, кто хорошо набирает вслепую пятипальцевым методом можно сдвигать ряд вверх и менять регистр. Тогда получается что-то вроде
Duyu4nhwdasjbuk5-js6benput3nd363ignkr6r6;
MTyrz
09.08.2016 21:08Моллюски отгрызли мои гарцующие гениталии
(с) UNIX. System Administration Handbook (русский перевод, изд. «Питер», «БХВ-Петербург»).
alsii
10.08.2016 18:12Стро?чна?я бу?ква — буква, размер которой меньше прописных. Строчные буквы используются по умолчанию для написания текстов во всех случаях, за исключением тех, где по правилам требуется использование прописных (больших) букв. Например, буква «а» — строчная, а «А» — прописная.
Прописная, она же заглавная буква — буква, которая увеличена в размере в сравнении со строчными буквами.
DistortNeo
10.08.2016 19:58Теперь ещё объясните разницу между «печатная», «заглавная» и «прописная» — правда, интересно.
Иногда «прописная» используется как антоним для «печатная», что вводит в заблуждение.alsii
11.08.2016 11:48Действительно вводит. Антоним для "печатная [буква]" — "рукописная". Иногда "письменная". Заглавные (они же прописные, они же "большие") и строчные (они же "маленькие") буквы могут встречаться и в печатных, и в рукописных документах.
Возможно вариант "прописная" в значении "рукописная" возник в просторечии как производное от "пропись" = "образец каллиграфического письма", а также "тетрадь, содержащая такой образец".
Ну и еще есть устойчивое выражение "сумма прописью", означает запись числительных (обыно в финансовых документах) в виде слов, а не цифрами. Может быть как в печатных, так и в рукописных документах.
DabjeilQutwyngo
08.08.2016 15:31+4Ситуация с паролями — симптом ущербного процесса обеспечения безопасности. Службе безопасности нужно ставить в обязанность наладку реального безопасного рабочего процесса (а не абстрактную безопасность) с приоритетом работоспособности над ограничениями, учитывающего человеческий фактор, объективные рабочие ситуации (а не соображения безопасников на тему, как должно быть в теории) и потребности, реальные возможности и ресурсы каждого элемента и участника.
Только реальные условия и требования вышибают идейный бред из голов безопасников. Когда им придётся думать о реальном массовом мотивированном поведении, а считать, что «мы прикажем — юзера выполнят». Это как раз тот случай, когда не справляющимся СБшникам действительно лучше уйти. Если ограничения во имя «безопасности» мешают делу, то безопасник стал злоумышленником: нет разницы, почему дело встало.
stalinets
09.08.2016 23:55-1Ну ситуации разные бывают. Пусть не каждый месяц, но раз в полгода, например, захотели безопасники/админы сменить пароль, но 40-летние тётеньки подняли шум и скандал, обвиняя безопасника/админа во всех грехах, просто потому, что они не хотят и не могут запомнить новый пароль, это нарушает их комфорт. И что теперь, безопаснику/админу уходить? Или всё же пригрозить тёткам штрафом, а особо упрямых уволить? Ведь из-за упрямой некомпетентности действительно может произойти утечка секретов.
Muzzy0
11.08.2016 11:40А если эти несколько тёток не просто бумажки перебирают, а являются ценными специалистами с многолетним опытом? А админа реально найти и заменить?
Не надо оценивать ситуацию так, будто админ — центр Вселенной.
alsii
10.08.2016 18:20+1Существует два, принципиально разных подхода к обеспечению безопасности. Первый применяется в сфере государственной безопасности и основан на том, что вред от утечки информации не поддается реальной оценке и принимается очень большим. В этом случае бюджет на обеспечение безопасности принимается как максимально возможный исходя из имеющихся финансовых возможностей. Второй подход применятся в сфере бизнеса. Там, вред от утечки как правило можно оценить более точно, поэтому бюджет безопасности расчитывается таким образом, чтобы обеспечивать приемлемый уровень рентабельности. Кроме того в первом подходе наибольшую опасность представляет именно утечка информации, а во втором — блокирование доступа к ней или ее уничтожение.
Ситуация в России складывается таким образом, что большинство специалистов в области безопасности либо сами большую часть своей карьеры специализировались на первом подходе, либо учились у таких специалистов. Отсюда и приоритеты.
AndreyDmitriev
08.08.2016 15:48+2У нас был одно время такой маразм с системой учёта времени — там мало что пароль каждый месяц новый, так ещё и с кучей правил — надо было использовать буквы в обоих регистрах, цифры, несколько прошлых паролей нельзя, последний символ не должен быть цифрой, да ещё и если в новом пароле какие-то символы стоят на тех же местах что и в старом, то тоже не проходит, то есть одну- две буквы не заменить.
Короче, все обвешались бумажками, а я пришёл вот к какому хаку — вместо запоминания пароля я запомнил расположение клавиш, ну к примеру, EWQ1324s. И каждый месяц я сдвигался по клаве направо, соответственно следующий будет REW2435d, потом TRE3546f, и так далее. Первую букву пароля на данный месяц я писал прямо в календарь. Помогло безболезненно пережить этот кошмар.ploop
08.08.2016 16:33Помогло безболезненно пережить этот кошмар.
Упомянутый тут не единожды KeePass помог бы пережить его проще. Естественно, если политика разрешает установку софта.AndreyDmitriev
08.08.2016 16:52+1KeePass я пользуюсь, точнее SplashID, что по сути тоже самое, но гайки были закручены до отказа — мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал, а набирать каждый раз случайно сгенерированный пароль глядя на экран смартфона неудобно. В общем «перемещаться» по клавиатуре оказалось для меня удобнее всего. При этом пароль вообще нигде не хранится, окромя головы. Плюс возникла «мышечная память» — я стал набирать этот пароль ну очень быстро, несмотря на то, что он менялся каждый месяц.
ploop
08.08.2016 16:59мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал
Бррр… ужасы какие…
ftdgoodluck
08.08.2016 19:38+2Интересно: для непосвященного система безопасности внешне кажется надежной, по факту — пароли хранятся в открытом виде.
Neuromantix
08.08.2016 15:59У меня есть почта на одном известном сервере. которую я завел на заре интернета в 2001 году. Там стоит 4-символьный пароль. Прошло уже 15 лет. Пароль все тот же, никто ничего не сломал. Ради интереса не буду его менять и дальше, хотя сервис упорно требует. Посмотрим, насколько хватит.
JagdCrab
09.08.2016 00:11+2Позвольте. А откуда вы знаете что никто ничего не сломал? Возможно сломали, но вас забыли об этом предупредить? Или возможно ваша безопастность — заслуга этого сервиса который не дал своей базе утечь налево за все эти годы (все же никто не будет сидеть и подбирать пароли через форму входа, любой сколько-нибудь приличный сервис заблокирует атакующего до того как он успеет проверить даже комбинации из всего 4х символов).
LynXzp
09.08.2016 15:22Подтверждаю Ваши подозрения. Был у меня сервер на старом пентиуме. Да точнее это был домашний роутер на два провайдера с ftp чтобы заливать и шарить файлы.
Как-то раз заходя на него я нашел файлы в корне ftp говорящие о конфигурации моего компьютера. Беглый осмотр ничего не показал, а квалификация не позволила мне копнуть глубже, понадеялся что мой Pentim II с 5Гб винчестера никому не нужен.
Valdei
09.08.2016 13:33Рамблер? )
Neuromantix
09.08.2016 15:34Именно. Почему уверен, что никто не ломал — на почте этой одно время в открытом виде лежала некая инфа, которую взломавший наверняка бы стянул (доступ в разные ММО и тп, который регали родственники, а потом забросили играть). аккаунт стима, когда он еще не был столь популярен — ничего из этого не утекло.
vlivyur
10.08.2016 10:01У меня каким-то образом всё-таки увели такой аккаунт. Хотя я и был неуловимым Джо (не пользовался им, да и имечко было довольно случайное).
saboteur_kiev
08.08.2016 16:33Я уже много паролей с совершенно случайной последовательностью символов наизусть помню.
Основная проблема, что я их помню больше механически, и если попадаю в ситуацию, когда пароль надо ввести на виртуальной клавиатуре (через телефон или мышкой), долго туплю.
ffs
08.08.2016 16:46Большую часть своих паролей храню в lastpass, кроме критически важных (например от интернет-банка).
Кто в теме, скажите, стоит ли переехать на keepass?
barbaris76
08.08.2016 16:59У наших юзеров пароль от доменной учётки генерируется случайно и хранится в персональной touch-memory + клавиатурный пароль. Смена не обязательна. 99% рабочих приложений — браузерные, авторизация при входе сквозная. По-моему, идеальный вариант, как скажете?
DistortNeo
08.08.2016 17:37+1Насколько я понимаю, смену паролей практикуют на тот случай, если пароль или база с паролями будет украдена, но долго не использована.
Главная проблема — это хранение и передача паролей в открытом виде. Если пользователь забыл пароль, то не должно быть ни единого способа этот пароль подсказать, только создать новый пароль. Даже Яндекс грешит хранением паролей в открытом виде.
Spewow
08.08.2016 17:54Требования к периодической смене есть и в законодательной нормативке.
В основном это против случайной утечки пароля.
Если пароль не меняется годами, он постепенно становится известен все большему кругу лиц.
knstqq
09.08.2016 11:52Требование о смене пароля раз в год и требование о смене пароля ежемесячно (с хранением в открытом виде и прочими прелестями) — разное
river-fall
08.08.2016 19:23Учет рабочего времени тоже обычно ни к чему хорошему не приводит и не является полезной практикой.
Мониторинг сетевой активности может быть полезен для анализа узких мест и приоретизации трафика, но никак не для анализа личной эффективности Петрова и Васечкина по частоте пользования «развлекательных» сайтов.
На предыдущей работе были и СКД, и анализатор трафика, и даже в своё время счетчик трафика на разных сайтах (с отключением доступа к оным по превышению лимита), сейчас ничего такого нет, и слава Бобу. Производительность зависит не от этого.OtshelnikFm
08.08.2016 19:54Конечно эффективность не от этого зависит. Как раньше ходили толпами «покурить», так и сейчас. Как же раньше мою религию некурящего задевали — не дай бог я выйду с ними — я же бездельник, а они — «просто курят».
Как хорошо было уйти из офисной жизни. Теперь в офисы работать — ни ногой.
Pakos
09.08.2016 15:39Контролируют что проще. Время нахождения проще и универсальнее всего (секретарша и программист находятся на месте одно время — отдача 100%). Одно средство, чтобы управлять ими всеми (почти Ц) Можно программистов по количеству залитых строк кода контролировать — так же бесполезно, но ещё и не универсально.
ftdgoodluck
08.08.2016 19:46-1Уйти от бумажек с паролями можно административными методами – регулярно проводить тесты сотрудников в присутствии представителя ИТ службы. Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.
Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.ploop
09.08.2016 00:12Как это спасёт от шаблонизации?
И вообще, ужесточение мер не выход. Достаточно доходчиво объяснить сотруднику, что за любые действия под его учёткой несёт ответственность только он.ragequit
09.08.2016 00:15Проблема не в шаблонизации от безответственности. В исследовании шаблонизированные пароли были на банковских счетах, а что может более ответственным, чем сохранностью кровью и потом заработанных?
quqdron
09.08.2016 09:22+2Угу, работаю на очистных — численность смены охраны ~ 0.3 от рабочей смены зарплаты думаю все 0.5 будет, на соседа повесили еще и обслуживание проходной (система учета) т.к. эти
бугрыпрыщи с одной извилиной от фуражки не могут даже новый пропуск ввести. Не смотря на такое количество дармоедов, с площадки можно кучу дерьма украсть :).
«регулярно проводить тесты сотрудников в присутствии представителя ИТ службы» Вы из которых (сотрудник,вертухайбезопасник, IT служба, нацгвардия)?
Имею опыт сисадмина 11 лет (дерево доменов, более 500 учеток, + удаленные доступ), а потом еще 3 года в безопастниках IT. сейчас АСУТП.
Всегда был против повальной политики смены паролей. А пример моего пароля: ijg,ibligrprg (песня про Щерса) к каждому месту ассоциативная песня.
mrsantak
09.08.2016 10:57+1Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.
ТК РФ будет против.
Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
А почему работника должны волновать риски работодателя?alsii
10.08.2016 18:27ТК РФ будет против.
Не будет. Это делается через уменьшение размера премии, которая может составлять значительную часть зарплаты. В особо тяжелых случаях через выговор (прощай премия на год).
mrsantak
10.08.2016 21:33По закону нельзя просто так взять и уменьшить/не выплатить премию. Впрочем увеличить/выплатить просто так тоже нельзя. Согласно 129 ст. ТК РФ премия — это часть заработной платы.
Выплата премий регламентируется либо трудовым договором, либо положением о премировании. И вот в таком документе должно быть отражено за какие заслуги премия платится и в каких количествах. Соответственно, чтобы порезать человеку премию на том основании, что он не помнит свой пароль, нужно как-то фиксировать это требование. И вот как такое требование нормально закрепить в том же положении о премировании или трудовом договоре я хз. Т.е. зафиксировать-то просто, но вот зафиксировать так чтобы суд, в случае тяжбы, не признал такое требование ничтожным — это уже задачка сложнее.
С другой стороны работник, скорее всего, не будет париться и идти в суд (и ждать пару лет решения, ага) чтобы ему выплатили премию.alsii
11.08.2016 12:09Смотрите, зарплата состоит из трех частей: оплаты за труд, компенсационных выплат и стимулирующих выплат. Стимулирующие выплаты (включа премию) выплачиваются обычно при отсутствии нарушений трудовой и производственной дициплины (это указывается в положении о премировании). В трудовом договоре пишется что-то вроде: "работнику может выплачиваться дополнительное вознаграждение в соотвествии с положение о премировании действующим на предприятии".
Фиксируется все просто. Выпускается инструкция, устанавливающая порядок использования паролей, доводится до каждого сотрудника под расписку. Когда приходят безопасники, это называется "проверка". По результатам проверки составляется акт, где в том числе указаны все нарушения. Когда готовится очередной приказ о выплате премии в нем указывается каким работникам и за какое нарушение премия снижается или не выплачивается. С приказом сотрудник так же ознакамливается под расписку. Обжаловать, конечно можно, но если юрист грамотный, то выплата премии оказывается не обязанностью, а правом работодателя.
Это все достаточно очевидно в любой фирме где есть нормальные юристы и делопроизводители.mrsantak
11.08.2016 15:19Да, при таком подходе наверное покатит. Правда, насколько я понимаю, чтобы незнание пароля считалось нарушением трудовой дисциплины нужно, чтобы требование знание пароля наизусть было зафиксировано в трудовых обязанностях работника. Что вроде реализуемо.
С другой стороны все это — тонна бюрократии, отчетности и времени непонятно для чего. Проще уж реально внедрить какие-нибудь rsa токены.
u1789
08.08.2016 20:43Лайфхак: в качестве пароля используйте какое-нибудь определение из математики, cs или что вас интересует. Или 10-20 сложных слов из языка, который изучаете.
Мотивация запоминать пароль и менять почаще — бонус.river-fall
09.08.2016 13:37Всякие шибко умные сайты и корпоративные политики могут требовать большие/маленькие буквы, цифры и спецсимволы.
DistortNeo
09.08.2016 14:03Это ещё хорошо, что они не требуют паролей с Alt-кодами (у меня и такой был)
u1789
09.08.2016 16:24Большие и маленькие буквы, а так же знаки препинания — есть в любом определении. Да и в списке слов их легко получить: Cat, dog & elephant.
В крайнем случае, можно добавлять одинаковый набор спец символов к каждому паролю, т.е. их придётся запомнить один раз.
zaq1xsw2cde3vfr4
08.08.2016 20:43Вся проблема в том, что информационная безопасность — это очень комплексная штука и она упирается не только в вычислительную технику, но и в человека. При этом в большинстве компаний эту задачу вываливают на админа, который делает то, чему обучен — решает вопрос со стороны вычислительной техники. И как правило у админа есть только ответственность за утечку и нет административного ресурса для решения такой задачи. Про то, что должен еще быть чекист, который закручивает гайки со стороны человека как-то не вспоминают.
DIHALT
08.08.2016 23:08+1Где то видел клевую идею. В качестве пароля брать фразу мотиватор на локальную краткосрочную цель. Скажем «надо скопить на отпуск» или «доделай уже ремонт». И пинает каждый раз доделать висяк и забыть такой пароль сложно и сложность пароля высока.
zaq1xsw2cde3vfr4
09.08.2016 00:06Это если у тебя есть цель поменять пароль, то можно без проблем подобрать легко запоминающийся, криптостойкий и укладывающийся в шаблоны. А если ты считаешь админа фриком с причудливыми тараканами в голове, то и пароль будет «123», и этот пароль будет написан на стикере наклеенном на мониторе и весь офис будет уведомлено о текущем пароле.
daniszakirov
09.08.2016 09:10Напишу-ка я свой первый комментарий!
Работал я почти два года в министерстве, в Казани, в одном из самых маленьких.
Да, каждый месяц меняли пароль по приказу совсем сверху.
И да, у >90% сотрудников лежали бумажки с паролем под клавой, я при случае проверял всегда) И, даже у админа.
Пожалуйста, не гуглите что за министерство, а то совсем тошно станет)
staticlab
09.08.2016 09:18Альфабанк. Клик. Регулярно заставляют сменить пароль, при этом спецсимволы в пароле запрещены, а длина ограничена.
Rampages
09.08.2016 11:42Я логин от альфаклика запомнить не могу, а на пароль уже и подавно забил, неудобный сервис вообще… сбербанк куда удобнее (необходимо помнить пинкод из 5-ти цифр и всё, хотя для первого логина нужен длинный логин)
staticlab
09.08.2016 11:45В альфаклике можно задать свой альтернативный буквенный логин. А вот пинкод от альфамобайла я забыл сразу же. Очень неудобно, когда тебя заставляют ВОТПРЯМОСЕЙЧАС его придумать.
Rampages
10.08.2016 06:26Честно говоря путаю клик и мобайл, мобайл у меня почему-то все время просил ввести и логин и пароль, иногда вроде бы логин запоминал, но его можно было случайно сбросить… В общем сервис платный, а доступ к нему был довольно геморройный решил отказаться, было это давно, возможно сейчас что-то у них по другому, но меня уже это не сильно волнует.
DistortNeo
09.08.2016 13:04У Сбербанка проблема ещё более серьёзная: логины и пароли от онлайн-банка, наоборот, крайне живучие.
Потерял старый листочек с паролем, пошёл к банкомату, получил новый — пользуюсь. Сменил логин — вообще красота. Нашёл старый листочек, ввёл от него старые данные — спокойно вошёл в онлайн-банк по старым логину и паролю.
Походу, при запросе доступа в онлайн-банк просто создаётся новый алиас, а старые не уничтожаются.Rampages
10.08.2016 06:33Вот я тоже переживаю, брал листок с пинами в банкомате (которые можно вводить для подтверждения покупок вместо кода из смс), и где-то дома посеял его.
Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел, видимо нужно обращаться в сбербанк напрямую с заявлением.
Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!) и еще на новый номер умудряются присылать требования погасить задолженность незнакомого мне человека (видимо этот телефон ранее был добавлен в базу банка для другого счета по которому сейчас долг). Для того чтобы смс приходили на новый номер телефона пришлось сходить в банк 3 или 4 раза, причем каждый раз уверяли, что номер телефона был успешно изменен, вот как после этого верить словам сотрудника банка? Слова расходятся с фактами, говорит, что поменяли, а по факту смс в этот же день приходит на другой номер. Сначала думал, что вина в неопытных сотрудниках банка, но скорее всего у них просто ПО кривое и нужно менять номер телефона для каждой услуги отдельно и список этих услуг или выборку по номеру телефона и привязанным к нему услугам просто невозможно сделать.xapienz
10.08.2016 08:57Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!)
Та же проблема, при регистрации в Сбербанк-онлайне используется новый номер телефона, а при получении одноразовых кодов используется старый номер. Причём в отделении сбербанка старый номер удалить не могут, т.к. его в базах нигде нет.
ploop
10.08.2016 16:55Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел
Элементарно: идёте к банкомату, печатаете новый список паролей, и старый становится недействительным. Ну а с новым делайте что угодно, хоть уничтожьте.
Я тратил минут 10 на перебивание его в KeePass, а бумажный уничтожал. Раньше не все сервисы можно было через СМС подтвердить, некоторые только паролем, выручало.vlivyur
10.08.2016 17:10Только есть одна беда: при перевыпуске карты будет новый логин/пароль, но старый продолжает работать. При утере старого листочка с паролем — всё.
ploop
10.08.2016 17:41Я не про пароль к онлайн-банку, а про одноразовые пароли для оплат (печатаются по 20 штук за раз), те точно недействительны становятся.
stalinets
10.08.2016 00:03Лучше бы вместо всего сделали кодовую таблицу. Типа введите символы из ячеек A7, J2 и D7.
У Яндекса раньше было на деньгах, потом убрали, увы. Самая клёвая аутентификация.
vlivyur
10.08.2016 10:10Жена вообще не парится с запоминанием ихних паролей. Не нашла листочек — пошла новый напечатала.
DistortNeo
09.08.2016 13:16А чем обосновано такое требование? Почему вообще многие компании за пользователей решают, какие у них должны быть пароли, ограничивая безопасность. Противоречивые требования (пароль не длиннее 8 символов, но и не короче 10, спецсимволы обязательны и одновременно запрещены) вымораживают.
Лично я с развитием мобильных устройств предпочитаю использовать длинные пароли, но не содержащие спецсимволов и букв в верхнем регистре. Скорость набора такого 12-символьного пароля гораздо выше, чем традиционного 8-символьного. Криптостойкость, как это ни странно, тоже выше.Rampages
10.08.2016 06:39Еще есть требования, чтобы пароль не содержал часть вашего имени или электронной почты(!)
IMHO лучше регистрозависимый пароль из 10-12 символов, без спец.знаков.
Если есть необходимость в большей защите, то прикрутить двух-факторную аутентификацию, если по каким-то причинам не подходит, тогда доступ по токенам (eToken, ruToken или просто защищенный контейнер с сертификатом на флешке), можно также использовать СЗИ от НСД, коих нынче огромный выбор.
Glays
09.08.2016 09:56А есть какие-то решения для авторизации в виндовом домене через смартфон (желательно и apple и android)?
Чтобы просто подтвердить в телефоне, что это ты заходишь без необходимости ввода паролей?
LoadRunner
09.08.2016 12:04Windows Hello, если у вас Windows 8\10 на смартфоне.
Glays
09.08.2016 15:53нет, вообще не то.Чтобы авторизоваться в настольной системе в виндовом домене не вводя пароль, а подтвердив на своём телефоне, что ты входишь.
Как Google prompt
betrachtung
09.08.2016 10:17Работал в компании из топ200 по миру.
Каждый месяц надо было менять пароли. Подбирал по шаблону.
Впрочем, с некоторыми сервисами было наоборот. Паролем у каждого был его адрес электронной почты. И предупреждали, что менять его нельзя, иначе всё может перестать работать.
wulfdog
09.08.2016 15:17Вообще вся это истерия с паролями от низкой граммотности и «большого ума». Мало кто желает в совокупности рассмотреть проблему безопасности. Нужно думать не только о цифрах и мифической безопасности но и о людях использующих продукт. Почему-то очень не любят думать об эргономике. Хорошо продуманная и реализованная эргономика сама по себе отучает от неправильных привычек и предохраняет от ошибок и снижает риски. Но это же сложно, проще придумать дурашлепское правило с частой сменой паролей. Пусть я не безопасник по профилю но выполнял и эту функцию будучи сисадмином. Надо сказать, что еще до прочтения умных статей понял что самая большая дырка в безопасности это человек, каким бы пароль у него ни был. Если кратко резюмировать то лучшие результаты дали длинные пароли с редкой сменой и блокировкой учетки в случае подбора. От распространнения паролей отучали различными административными и юмористическими способами (хорошая и злая шутка оказалась эффективней начальственных тумаков). Были и побочные эффекты — наш безадминный филиал был заблокирован атакой kido, если не изменяет память, вирусная машина перебирала пароли к учетками и заблокировала в AD напрочь все (хитрый винт нашелся и на эту часть). Нужно подходить к задаче с умом и решать её под конкретные условия а не идя на поводу стереотипов потому что «так принято».
mrsantak
10.08.2016 21:43Мало кто желает в совокупности рассмотреть проблему безопасности.
Истинно так.
Все эти регулярные смены паролей и абсурдные требования подчас напоминают крепостные ворота в деревянном заборчике в метр высотой. Эдакая непоколебимая уверенность в том, что злоумышленник будет ломиться исключительно в самую защищенную точку системы.ploop
10.08.2016 22:18+1Если нужна чисто информация, вся эта безопасность и IT в целом идут лесом, т.к. работает банальный подкуп сотрудника, имеющего к ней доступ. Как правило в этих организациях зарплаты рядовых сотрудников (не руководящего состава) не такие уж и большие, так что способ работает.
juriste
09.08.2016 15:48Я вот тоже как-то работал в корпорации, где политика безопасности требовала менять пароль раз в месяц, при этом новый пароль не должен был повторять несколько предыдущих (к счастью, частичное совпадение не проверялось). Первые несколько раз пытался «честно» ставить новый, потом окончательно надоело. Зато теперь я помню число Пи до 14 знаков после запятой.
ploop
10.08.2016 16:56Зато теперь я помню число Пи до 14 знаков после запятой.
… а мы большинство ваших паролей :)juriste
10.08.2016 17:01Да там уже наверняка и учётки-то моей несколько лет как нет, кого теперь могут беспокоить те пароли? Ну а в тех местах, где ко мне не предъявляют таких странных требований, я и не творю подобных глупостей :-)
stalinets
10.08.2016 00:10Не понимаю проблемы!
Каждому сотруднику заводится личный номерной блокнотик.
И карандашиком, блёкло и мелко, записывает в него свой текущий пароль вида — да хоть
7$o[E__d_-1##752№ыmDq6Vx2
При смене пароля старый вымарывается, записывается новый.
Никаких бумажек под клавиатурами, никакой необходимости в шаблонах/токенах/софте на смартфоны.
Никаких истерик по поводу «я не могу запомнить».
За разглашение пароля, за забытый блокнот — штраф и выговор.Glays
10.08.2016 10:27Чем это отличается от бумажки под клавиатурой? Будет личный номерной блокнотик под клавиатурой лежать.
Ну и относительно записи блёкло и мелко на бумажном носителе:
«ы» от «bi» сложно будет отличить.
Как и догадаться о раскладке «Е» и «x» и о количестве подчёркиваний в "__".stalinets
10.08.2016 22:01Отличаться будет тем, что сотрудник будет обязан носить этот блокнотик с собой, с паспортом/правами. За забытый под клавиатурой — штраф.
А пароль пусть заполняет сам, чтобы сам смог прочесть.Glays
10.08.2016 22:56Я на работу не ношу паспорт, а права просто по форм фактору хорошо в кардхолдер помещаются, поэтому я их не вынимаю, но если не еду на машине совершенно не обязан брать с собой.
Блокнотик можно спрятать под системник, шкаф, монитор, в тумбу, предварительно переписав нужный пароль на стикер. Спросили — вот он. не спросили и будет там пылиться.
Будете каждый день ворочать весь офис?
С таким директором — самодуром, на месте начальника отдела, я бы в своей тумбочке на ключике хранил блокнотики своих сотрудников и выдавал бы перед проверкой. Если, конечно, мне сотрудники были бы ценны.
Штрафовать можно и без блокнотиков, только вряд ли у вас так много сотрудников останется в организации.stalinets
12.08.2016 21:38Ну смотрите. Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то. Вы ведь не прячете ключи от квартиры под системник, шкаф и монитор?
Банковская карта даёт Вам доступ к деньгам.
То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.
А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.
Логично ведь носить его с собой?
Но память не у всехх хорошая, зато у бумаги она всегда хороша. Логично записать пароль на бумажку/в блокнот, и его уже носить с собой.
А если по соображениям безопасности требуется смена пароля, в чём проблема вымарать старый пароль и вписать новый, потратив 1 минуту в месяц/квартал.
Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.
Весь шум-то по поду частой смены паролей — из-за чего? Из-за того, что новый стойкий пароль трудно запоминать, поэтому его приходится записывать. Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.Glays
14.08.2016 09:05+1Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то.
Нет. Если я с женой выхожу гулять, то ключи не беру. Или она не берёт.
Когда я знал, что мать постоянно дома, вообще мог ключи не брать с собой.
Так же я не ношу с собой ключи от машины, ключи от машины отца, от гаража, от дачи отца, от дачи тёщи, от квартиры отца, от квартиры тёщи, от дома бабушки. Хотя всё это у меня есть и всё это очень ценно, и периодически мне необходимо.
То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.
Откройте свой паспорт на последней странице, там написано, что вы обязаны делать. И «бережно хранить» совершенно не совместимо с «постоянно носить с собой»
А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.
Расскажите это сотрудникам, которые клеят пароли на стикерах. Их менять паспорт и ключи от квартиры раз в три месяца не заставляют.
Логично ведь носить его с собой?
Вообще не логично.
вымарать старый пароль
Вы мне напоминаете фильм про разведку 60-х годов. Никто вымарыванием не занимается, это не надёжно, секретные тетради в первом отделе просто сжигают.
Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.
Ну так о том и пост, что не работает это. При этом сделать смену пароля раз в три месяца политиками домена, легче чем приучить пользователей не придумывать простые пароли и никому их не рассказывать даже «по производственной необходимости». Потому что первое делается централизованно, а второе нужно делать с каждым сотрудником непосредственно. Задача не масштабируема. Для этого нужно выделить если не отдел, то как минимум одного человека. А ему деньги платить нужно.
Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.
Что мешало всем офисным сотрудникам со стикерами на мониторе взять эту бумажку в кошелёк с паспортом и деньгами?
То что не носят они регулярно с собой паспорт, деньги, аттестат зрелости, диплом о высшем образовании, медицинский полис, документы на квартиру, свидетельство о регистрации брака, свидетельство о рождении, ИНН и СНИЛС.
И не должны.
Потому что чем больше вещей, тем легче их забыть.
Потому что забыв зонтик и попав под дождь, всё это промокнет.
Потому что в тёмной подворотне выхватят сумку с этим добром, вытащат деньги и потом придётся паспорт по помойкам всего квартала искать.
Потому что компрометация пакета важных данных гораздо ценнее, чем одного.
По утерянному в метро стикеру сложно что-то восстановить. По блокноту с названием компании и именем сотрудника уже легче. С паспортом ещё легче.
Потому что человек может ходить на работу с пустыми руками, с кардхолдером, телефоном и связкой ключей в кармане.
В принципе если бы пропуск был на телефоне, я бы и без кардхолдера ходил бы.
Потому что люди могут что-то забыть и цель прогресса позволить им делать это, а не наказывать сильнее за любую ошибку.
Поэтому выигрывают технологии, которые облегчают, а не усложняют жизнь.
PycoBeg
10.08.2016 18:13Представил себе админа на вахте, который будет генерить стойкий пароль, складывать из него «печать» и при входе сотрудника в помещение ставить штампик на запястье (как в клубах «печатки» иногда делают «оплатившим»). Удобно) Никаких бумажек — нужен пароль, отогнул рукав рубашки, посмотрел, вбил, раскатал рубаху обратно) При выходе из здания — руки с мылом мыть)) как раз МинЗдрав одобрит)
Эх… надо бы начальству порекомендовать… только где найти такую «барабанную» печатку, чтобы там ещё и спец.символы были (желательно весь UTF-8 хотя бы >.< )Glays
10.08.2016 23:03только рукава красятся и печать смазывается, особенно если работник потеющий. в клубах УФ печати ставят для этого, только там нет требования к чёткости изображения, и код виден только под УФ лампой.
Muzzy0
10.08.2016 15:15Очень понравился пароль для тех, кому надоело на кружке :))))
Glays
11.08.2016 11:22+1Мне очень понравился в своё время пароль от системной учётки ZYbrjveYtCrf;eGfhjkm
И особенно прикольно было, что его все знали.Muzzy0
11.08.2016 11:30Тоже хороший пароль :) Верхний и нижний регистр, спецсимволы. Только цифр нет :)
ploop
11.08.2016 11:55Только цифр нет :)
ZYbrjveYtCrf;eGfhjkm!!!111
Всё, все правила соблюдены :)Muzzy0
11.08.2016 12:17Я бы просто букву «о» (в слове «пароль» или «никому», например) заменил на нолик, вот так: «пар0ль», «ник0му». Есть варианты, как внедрить. Опять же, это затруднит подбор по словарю.
ploop
11.08.2016 12:34Но затруднит и ввод. Меня всегда выбешивал стандартный (майкрософтский, если память не изменяет)
Pa$$w0rd
А так да, любая фраза в другой раскладке (хотя от брутфорса по словарю пофигу) уже норм.Muzzy0
11.08.2016 13:33Не сильно затрудняет, дело привычки. Если «о» в английской раскладке, так даже и не заметишь.
yarglor
10.08.2016 16:05А что сложного в том, чтобы придумать и запомнить ОДИН соответствующий требованиям пароль и добавлять к нему год и месяц? Безопасности это не понизит, просто сведёт к нулю вредное воздействие админа… ну и удлинит пароль на 4 цифры, а время его набора на 0.5 секунды.
ploop
10.08.2016 16:58А что сложного в том, чтобы придумать и запомнить ОДИН соответствующий требованиям пароль и добавлять к нему год и месяц?
Прочтите, о чём статья. Это и называется «шаблонизация», то есть дыра в безопасности, с помощью которой удалось произвести взлом 17% банковских счетов моментально.yarglor
10.08.2016 17:32Здесь ключевое слово «соответствующий требованиям». Шаблонная прибавка к хорошему паролю его не испортит. Я предлагаю не «vova0816», а «H=u!8*q9-10816» использовать.
ploop
10.08.2016 17:44+1По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей.
Какие бы сложные пароли не были, попади они в руки злоумышленников — шаблон вычисляется очень просто. И дальнейшие (актуальные) пароли будут скомпрометированы.
PycoBeg
10.08.2016 18:03В том и дело, что «соответствующий требованиям» пароль соответствует этим самым требованиям лишь определённый срок. В определённых случаях даже двух-цифровые коды на замках в подъезд или трёх/четырёх-цифровые коды на замках на велосипедах — выполняют свою задачу — их перебор ДОСТАТОЧНО долог для того, чтобы «переборщик» вызвал подозрения и был остановлен или же перебора банально не хватит для того, чтобы незаметно его «взломать без повреждений».
В этом контексте перебор паролей для «ЭВМ» гораздо быстрее, поэтому «очень сильный» пароль состоит уже не из 2-4 цифр, а из, как это полагается, минимум, восьми символов, включая цифры, буквы, регистр, знаки… Такой пароль банальным перебором будет взламываться в лучшем случае не один день, а если это не 8 символов, а всё-таки больше, то и взлом под сомнением…
Другое дело, когда под гнётом шаблонизации (как единственного приёма, способного «запоминать» регулярно меняющиеся пароли) сам «ключ» даже сокращается — ведь для выполнения требований Вам нужно 8 знаков, а «префикс» на этот год Вы «уже» придумали. И получается у Вас вместо «H=u!8*q9-™$+х%» тот самый «H=u!8*q9-10816», а в следующем году будет «H=u!8*q9-10817». Вы чётко убеждены, что такой пароль не взломать, а где-то тем временем какой-то злоумышленник банально каким-то образом сливает архивы (или может быть Вы вдруг этот пароль — чётко зная, что он всё равно скоро «истечёт» сливаете через «открытые каналы» типа аськи или по SMS)… и видит этот злоумышленник, что в 2014-ом у Вас был пароль «H=u!8*q9-10814», в 2015 — «H=u!8*q9-10815»… Всё… подбирать больше ничего не нужно. Вы остаётесь в полной уверенности безопасности, а взломщик остаётся с победой.
Другими словами, теряется такая важная штука в ИТ-безопасности как «компрометация». Если Вы, к примеру, придумали один мастер-пароль в два абзаца хексом, то фиг его в скором времени кто-то взломает. И как только обнаруживается подозрение «слива», все старые пароли утекают в трубу. Тут же — о сливах не беспокоятся, так как «старые» пароли считаются условно бесполезными, а ведь в них содержится по сути 80% новых паролей.
При этом особо отмечу, что важны не только ВАШИ старые пароли. Если шаблонизация вводится на уровне фирмы, и злоумышленник в сливе видит всего ОДИН Ваш пароль, и всего ОДИН пароль Вашего колеги и все они помимо «реально стойкой» крипто-строки вдруг продолжаются обычными цифрами, то вот он — куш — разделяй и властвуй.
В другом случае (без шаблона) слив бы злоумышленнику дал гораздо меньше — максимум — он смог бы углядеть «требования» и исключить из брутфорса ненужные сочетания (например, иногда вводятся странные правила, что «лесенка» запрещена, хотя знание о 100% отсутствии лесенки это ускорение перебора, или запрещается начинать пароль с большой буквы или с нуля… чётко указывается кол-во символов, например: 9, а это уже не от 8 до 12, это уже на пару порядков меньше вариантов.
PycoBeg
10.08.2016 20:43Статья о том, как излишняя «парол'изация» для безопасности становится скорее парАлизацией ;)
AdmAlexus
11.08.2016 09:26Когда работал в ФНС, там была политика ежемесячной смены паролей. Ну и соответственно Low и Up символы + цифры.
Думаете тетеньки забывали свои пароли? Никогда. Потому что пароль они делали вида «Месяц + год» (например сейчас у них бы стоял пароль «Август2016»). Правда тот, кто знал эту «систему» — мог «взломать» любую рабочую станцию.
Muzzy0
11.08.2016 11:32Собственно, ничто не ново под Луной…
Про подобные фокусы с шифрами от сейфов я ещё у Фейнмана читал, а было это лет 70 назад.
whiplash
12.08.2016 16:46-3Как хорошо, что я не читаю geektimes, только habr/infosec, да и там рекламы поганой 90%
Кто пустил гуманитариев писать статьи о самом важном??? О паролях???
Сами пароли, по сути, говно. НО! Они ДОЛЖНЫ быть сложными. Это аксиома.
Для всех чуть важных вещей — PKI и 2FA, всё!!!
200 комментов. Детский сад.ploop
12.08.2016 16:57+1Ну так напишите один нормальный коммент, как исправить ситуацию, с которой весь мир борется.
whiplash
12.08.2016 17:13-1Я не в курсе, с чем там борется весь мир)
Но вопрос элементарный.
Ощущение, что 90% из ИТ, из менеджмента ИТ в принципе не читали основ,
ни password гида
https://www.microsoft.com/en-us/research/publication/password-guidance/
ни основ устройства инфраструктуры
ни основ противодействия тому же PtH
А с бумажками под клавиатурами должна бороться СБ, периодическими рейдамиwhiplash
12.08.2016 17:16+ административные документы из серии «сотрудник несет ответственность за пароли своих учетных записей, в случае физической утечки смерть через карапупу»
ploop
12.08.2016 18:02Во если бы вы почитали комменты из «детского сада», то поняли бы, что тут об этом и говорят. И какое бы «карапупу» не грозило сотруднику, бумажки есть и будут. И шаблонные пароли тоже, с которыми церберы из СБ уже ничего не поделают, так как пароли соотвествуют их же требованиям. И убытки бизнеса в случае утечки на сотрудника никак не повесить.
whiplash
13.08.2016 21:26А какие будут убытки у бизнеса, после утечки пароля Превед2016 у рядового сотрудника Иванова?
Почту сольют? Ок.
А еще что?saboteur_kiev
14.08.2016 01:57Все зависит от того, насколько злоумышленник знаком с тем, как работает организация у Иванова.
Например с его почты можно переслать в бухгалтерию счет на оплату чего-либо, с просьбой «это в наш отдел канцтовары» или «это очередной платеж на что-то там».
Например с его почты можно узнать партнеров по бизнесу и выслать счет им с просьбой оплаты продукции, которая выпускает компания Иванова, но понятно что номер счета указать не тот.
Например можно стянуть базу клиентов и «перехватить» их.
Да мало ли что. И вообще почитайте классику, того же Митника о том что такое хакер. Это не тот, кто взламывает пароли. Это тот, кто знает как работает система и пользуется этим для достижения целей, а то, что технически сейчас везде компьютеры и взламывать нужно через них — это уже технические детали.
LoadRunner
Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.
ragequit
Намного большая дыра — это когда в организации 50% штата женщины и девушки и у каждой под клавой лежит бумажка с новым пассом.
(Нет, я не выдумываю).
Garbus
Ну тут сильно зависит от целей защиты. Если просто от взлома «из интернета», то бумажка довольно безопасна. Особенно если штат в 2-3 человека и у каждого свой кабинет. Если же народу много, да еще рассаженных «по модному» (кучей в большом помещении с перегородками), тут уже бумажки выглядят предупредительным в голову.
ragequit
Основная цель смены локальных паролей к учетным записям — защита от взлома «изнутри». В том то и проблема.
LoadRunner
Бумажки под клавиатурой тут ускорят дело, да.
Но даже если не будет смены паролей, то со временем всё равно сотрудники друг другу расскажут свои любимые пароли, которые они и на работе себе установили. Ведь бывают ситуации, когда сотрудника нет на месте, а нужны файлы с его компьютера или запустить под его учётными данными что-либо.
Разумеется, мы говорим не о фирме, где грамотный системный администратор правильно настроил права доступа и всех научил, как действовать, когда им нужны файлы другого человека или нечто подобное — ситуации, когда пароль и передаётся третьим лицам.
KostaArnorsky
Это с чего вдруг резко может понадобится доступ к файлам другого сотрудника?
LoadRunner
А с того, что так устроен рабочий процесс и такие нерадивые пользователи — хранят рабочие документы на рабочем столе, а не в сетевом расположении.
saege5b
а потом при открытии «A:\Какой-то_Очень_Хитрый_Отдел\Уважаемая_Фирма_Заказчик\Офигеть_Какой_Важный_Вариант_Проектов_Для-Кого-то_Очень_Важного\Важный_Проект_Важной_Фирмы\Очень_Короткий_Адрес_Расположения_Объекта\Краткое_Описание_Очередного_Варианта_Решения_Задания\Обзорное_Что-то_От_Числа_Месяца_Года_С_Учётом_Замечаний_И_С_Поправками_От_Число_Месяца_года_Правленое.<расширение>»
Программа или модуль сделает грустные глаза и на этом всё. Т.к. путь от 250 знаков чреват очень неожиданными открытиями.
Да и лазить замучаешься, особенно если проект размазан по куче каталогов…
А некоторые специальные програмки распространяемые в принудительном порядке, принципиально с сетевыми дисками не работают, ни под каким соусом, за исключением жёсткого монтирования каталогов в локальную файловую систему, и то, не без сюрпризов.
И не у всех сервак способен выдавать гигабайты всем желающим.
У нас пара компов, на А10 и виндовс 10, с сетевых дисков тащит(открывает) файлы со скоростью 50-200 кб/с.
LoadRunner
Я же не утверждаю, что это правильный рабочий процесс и так надо делать. Это просто иллюстрация того, что такие ситуации имеют место быть. А уж почему они возникают в отдельно взятых организациях — вопрос к тем, чья это зона ответственности.
У нас вот программист 1С любит длинные названия папок с огромной глубиной вложенности.
athacker
Никакой альтернативы серверному хранению документов нет. Кроме технической неспособности какого-то софта работать с сетью (с сетевыми шарами). В идеале схема должна выглядеть так — каждому юзеру при входе мапится пачка сетевых дисков с нужными документами, а на рабочем столе раскладываются ярлыки с не очень нужными документами.
«Лазить замучаешься» — можно решить, опять-таки, группировкой ярлыков в локальной папочке. Документов на рабочих станциях быть не должно.
На моём предыдущем месте работы юзеры сначала горестно вопили, что когда документы хранятся на сервере — «это неудобно, это (якобы) тормозно» и т. п. После чего им объяснили, что на серверах всё регулярно бэкапится, и лежит не на десктопных ненадёжных дисках, а на системах покрепче. В случае же вылета рабочей станции разбираться и тянуть данные с неё никто не будет — им выдадут новый комп, и всё. Даже если диск цел — то данные с него будут извлекаться только по служебкам, завизированными лично начальником отдела и директором фирмы. А если с диском на рабочей станции проблемы, и какие-то документы оказались потеряны, то будет виноват тот самый конкретный %username%, который эти документы на этом диске хранил, и сей факт будет иметь для %usename% определённые организационные последствия.
KostaArnorsky
Мне казалось, что с копеечным Office 365 с SharePoint, бесплатными облачными хранилищами и т.п. эти проблемы исчезли у практически у всех. А всякие владельцы жутких секретов в состоянии оплатить нормальную инфраструктуру и администрирование.
DistortNeo
Бюрократия безжалостна. У нас один раз вообще пришлось подписываться за человека, который уже умер. Смерть не может являться причиной невыполнения проекта.
Jan_de_Vu
Подтверждаю, пароль который действителен 30-60 дней, плохо запоминается, и многие его куда то записывают. Так я когда проводил проверку организации, увидел много нарушений в виде записей на клавиатуре, открытом блокноте на столе, лист бумаги, или стикер который где то рядом.
uncle_sem
Ну я прям не знаю. Если легкоподбираемые пароли всё равно позволят получить доступ ко всему, хоть их и несколько — один сложный ИМХО всё же надёжнее будет. Его как минимум дольше подбирать.
LoadRunner
Давайте представим, что кто-то хочет целенаправленно получить доступ к неким аккаунтам жертвы. И у жертвы один пароль на все аккаунты.
Варианты получения пароля:
1. Подбор.
2. Взлом базы хранения паролей всех сервисов, где есть аккаунт жертвы — может есть такие, где база плохо защищена и пароли в открытом виде.
3. Устроиться на ту же работу, где жертва и узнать пароль, поискав листочек с паролем на рабочем месте жертвы.
4. Есть ещё вариант — копаться в мусоре, ведь мало кто задумывается над тем, что он выкидывает.
И если Вам кажется, что третий пункт — глупость и никто этим заниматься не будет, то ошибаетесь. Зависит от того, кто жертва.
А бывают и просто мстительные коллеги.
Не вижу причин, чтобы разрешать пользователям использовать те же пароли, что и в их личных аккаунтах, не относящихся к работе, чтобы они потом были известны всем сотрудникам организации.
uncle_sem
Давайте теперь представим, что у жертвы разные, но простые пароли на разных аккаунтах. И хакер их узнаёт подбором/перебором, не особо заморачиваясь копанием мусора, устройством на ту же работу и втиранием в доверие. Это быстрее и проще.
LoadRunner
А теперь давайте представим, что наша жертва — никому не нужный чувак с работы, который косо посмотрел на коллегу-му**ка и этот коллега решил отомстить.
И подсчитаем количественное соотношение наших гипотетических ситуаций — какая встречается чаще?
uncle_sem
чаще встречается один простой пароль («домашний»), или еще и один сложный («рабочий») написанный на бумажке.
а вот подобрать этот сложный пароль коллеге с работы будет непросто, если он не знает так сказать «общих принципов взлома паролей».