LINUX.ORG.RU
ФорумTalks

По ИБ

 


0

1

Вопросы паролей, вроде бы на уровне гигиены должны быть.

Вот расскажите мне свои версии, почему так?

Вот возьмем пароль кладовщика: YYfnfif

Пароль бухгалтера: 1972

Пароль главбуха: 1

И я думаю, как бы у всех сотрудников отличается уровень знаний и образования, но почему сложность пароля тем ниже, чем выше себя человек ощущает в социальной иерархии, или какой то другой фактор на это влияет?

Пароли привел примерные, правило очень надежное среди наших. Исключения конечно бывают, но редки.

PS. Ладно бухи, так многие сисадмины пароли придумывают из 6 цифр, что уж там…

Главбуху всё равно сидеть, а кладовщик не хочет недостачу на себя.

cocucka ★★★★★ ()

осознание того что защита работает на других уровнях (разграничение доступа по сети, устройствам, гео, 2фа и проч и подобное) и пароль этот по-сути ничего не значит

trashymichael ★★★ ()

я создаю пароли pwgen-ом, потом записываю их в файлик, а файлик шифрую одним длинным, сложным паролем, который более нигде не использую.

а по теме, очень понимаю ваших бухов, помнить штук 20 сложных паролей просто невозможно, за неимением средств хранения паролей, они прибегают к тактике упрощения паролей.

IvanR ★★★ ()
Последнее исправление: IvanR (всего исправлений: 1)

Чем выше по пищевой цепочке тем короче пароль, очевидно же. У Главного вообще пароля нет, ему кнопку приносят.

ilovewindows ★★★★★ ()

Имхо вероятность мелкой кражи или подлога под аккаунтом кладовщика выше чем тоже самое под аккаунтом главбуха или главдира, рабочее место которых находится не безлюдном незапертом складе, а в закрытом кабинете за дверьми которого следит весь офис. Ну и если что то главбух и главдир будут сами себя наказывать?

Конечно в случае больших проишествий и они за голову хватятся, но такие проишествия происходят не часто.

torvn77 ★★★★★ ()
Ответ на: комментарий от trashymichael

Думаешь подобное должно помещаться в голове гуманитария?

Я как то считал что есть единые стандарты паролей, 8 цифробукв на все, все мои пароли намного длиннее 8 символов, но это сделано для простоты запоминания.

Shulman ()

Ты б лучше сказал, почему до сих пор везде просят пароль от 8 (с ограничением до 12-16 иногда) символов в разном регистре, обязательно с цифрой и спецзнаками? Из-за этого я не могу свои секьюрные, легко запоминающиеся и набирающиеся, пассфразы использовать. Да ещё и менять его раз в н месяцев заставляют, сволочи.

cocucka ★★★★★ ()
Ответ на: комментарий от torvn77

Вообще да, все сводится к тому, что они ни разу не погорели с такими паролями.

Стоит ли вести борьбу с подобными вещами?

Когда я работал у нефтянников, там мало того что пароли на биосы стояли 2 разных (админский и на включение), так еще и пароли на AD, естественно ротировались.

Сброс пароля делался только по заявление в службу СБ.

Shulman ()
Ответ на: комментарий от cocucka

А да, кстати вот еще один банк просит меня поставить пароль (при этом называет это паролем) и после ввода моего варианта выдает: пароль должен содержать 5 цифр, я опять, но нет, там вообще ничего не должно быть кроме 5 цифр, гыыы

Shulman ()
Ответ на: комментарий от xwicked

Вот эту версию и я считаю основной, типа, «да кто посмеет?»

Shulman ()
Ответ на: комментарий от snizovtsev

Да как обычно, госконтора, вон даже у @sudoapter подгорело, значит не зря и у меня печет

Shulman ()
Ответ на: комментарий от sudoapter

В 1С можно настроить профиль с привязкой к NTLM и без. Т.е. пользователь может сразу попасть в базу, а может остановиться на вводе пароля (причем можно выбрать другую учетку). И тут может быть и пустой пароль и с одной цифрой, даже на 1C 8.2.

tlx ★★★★★ ()
Последнее исправление: tlx (всего исправлений: 1)

не найти соус

PS. Ладно бухи, так многие сисадмины пароли придумывают из 6 цифр, что уж там…

старая шютка про админский пароль: либо «хуй» либо «123». или хуй123 у особо хитрых админов

n_play ()
Ответ на: не найти соус от n_play

Вот у нас сайтом занимался человек, который 10 лет держал пароль админа 666666, нет я серьезно. Это он еще по основной должности был руководителем

блин зря отвечаю на твой комент

Shulman ()
Ответ на: комментарий от system-root

но пароль для аудитора должен быть свой, как бы, пока не вижу причин ставить примитивные пароли.

кроме: никогда ничего не случалось

Shulman ()
Ответ на: комментарий от torvn77

рабочее место которых находится не безлюдном незапертом складе, а в закрытом кабинете за дверьми которого следит весь офис.

Смотря где и какой офис. Кроме того взломы и удаленные бывают. В общем, там где об инфобезопасности действительно думают, кроме пароля еще и токен, которым авторизуется работа на компе. Даже пара: без одного он не включится и не залогинится, без другого не авторизуются некоторые операции.

praseodim ★★★★★ ()
Ответ на: комментарий от system-root

Аудитору отдают базу, а не пускают делать что попало на любом компе.

praseodim ★★★★★ ()
Ответ на: комментарий от tlx

Что позволяет сделать программа, и как ее настраивает администратор.

sudoapter ()

Откуда тебе известно, какие у них пароли? Сам тот факт, что можно где-то узнать чужой пароль - это полная дичь.

Manhunt ★★★★★ ()

Господи боже господь иисус мария! Шульман собрался на вторую форму и познает мир?

А давай я тебе серьезно отвечу: пароли не нужны. Пароль - это плохо, такой секрет легко потерять, просто найти и возможно забыть. Главбуху до фонаря, у него другие проблемы, кладовщик просто старается делать так, как ему сказал умный дядька. При чем оба они не пристегиваются. Хорошая вещь - второй фактор, основанный на событии или времени. Очень хорошая - неизвлекаемый ключ. Средний, но для большинства пойдет - неизвлекаемый ключ на основе биометрии. Скан щачла или пальца твоего главбуха - на самом деле лучшее решение, если в модели угроз нет siloviki (а на самом деле, даже если есть).

Shaman007 ★★★★★ ()
Ответ на: комментарий от sudoapter

В гугле года 2 назад опубликовали количество уведенных аккаунтов сотрудников после того, как они перешли на ключи (FIDO или U2F, не помню). Это количество было равно нулю.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

Кстати, есть большая разница, между откатанным пальцем на паспорт и откатанным пальцем в айфоне. В айфоне он не уходит за предела кнопки, в паспорте он хранится в гос организации сотрудником уровня Шульмана. Проблема с пальцем в том, что свой отпечаток довольно трудно изменить или отозвать.

Shaman007 ★★★★★ ()
Ответ на: комментарий от sudoapter

Истинная правда! Вброс, скучно, из пальца. Но уровень неизменный.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

Да, кста, мне отказали.

Ну как вариант. То что ты предлагаешь. Но в нашей структуре все должно быть за 0 рублей. А аппаратные ключи денег стоят.

И ты напрасно думаешь что я переживаю. Другое дело если приходит новый главбух и спрашивает: «а что еще и пароль надо?».

Я бы мог внести предложение, но за эту работу нам не заплатят. Поэтому просто сижу и удивляюсь

)

Shulman ()
Ответ на: комментарий от Shulman

Да, кста, мне отказали.

тебе очень повезло.

Но в нашей структуре все должно быть за 0 рублей.

Не удивительно.

Поэтому просто сижу

а мог бы пользуясь прорвой свободного хоть как-то оплаченного времени, пройти курсы какие-нибудь. Сдать экзамен и ничего не делать уже за нормальную оплату.

Shaman007 ★★★★★ ()
Ответ на: комментарий от sudoapter

Очень похоже на лукавство, и никакого «у нас», у вас нет. Скорее всего вам скучно, и вы выдумываете.

Теоретики в треде. Я могу дать телефон двух клиентов и они тебе скажут, что у них в учётке 1С. ВООБЩЕ нет пароля. «А зачем? Кроме меня к компу никто не подходит.».

xwicked ★★ ()
Последнее исправление: xwicked (всего исправлений: 1)

сложность пароля тем ниже, чем выше себя человек ощущает в социальной иерархии

Ну вот щас я реально почти обиделся за своё предполагаемое ощущение в иерархии

Brillenschlange ()
Ответ на: комментарий от sudoapter

Но при этом у них уникальный логин в системе, и машина стоит в кабинете.

Не улавливаю смысла. У одной клиентки. Начальник - учётка «Админ» - нет пароля. Второй комп - бух. Учётка «Таня(по имени буха)» - нет пароля. Больше ничего нет. В кабинете 2 компа. Заходят и курьеры и водители, которые товар принесли. Никто залезть в комп не может, так как без начальника и буха кабинет закрыт. Я тебе десяток таких могу привести. А когда больше 10 человек, то да пароли уже есть, но не у всех. Проверено на оптовой базе с ~100 сотрудников.

xwicked ★★ ()
Ответ на: комментарий от xwicked

Никто залезть в комп не может, так как без начальника и буха кабинет закрыт.

кто сказал что административные меры и прочие физические ограничения не являются полноценными наравне с остальными мерами обеспечения информационннй безопаности?

n_play ()
Последнее исправление: n_play (всего исправлений: 1)

или какой то другой фактор на это влияет?

Как вариант - частота ввода пароля. Не знаю чем там занимаются кладовщики и главбухи, но если один из них логинится один раз в начале смены в веб-форме, пароль в которую подставляет pass\keepass\браузер, а другому приходится каждые пятнадцать минут вбивать пароль в разных окружениях и иногда при помощи POS-терминала, то очевидно что второй постарается максимально упростить это дело.

А вообще откуда у тебя эта информация? В нормальной компании (tm) все эти данные будут лежать в виде стопицотраз посоленных хешей и строка для пароля «1» будет иметь ту же длину и прочий «внешний вид», что и для пароля из сотни (спец)символов. Если у вас иначе - нет смысла заморачиваться с паролями вообще.

micronekodesu ★★★ ()

Хардварные токены - твой выход

sparks ★★ ()

Так пароль это пережиток прошлого, вот поэтому ваши чифы на них болтецкий кладут, видимо думают, что у вас руки прямые и вы им норм всё по ИБ заделали.

pon4ik ★★★★★ ()
Ответ на: комментарий от Shaman007

Cредний, но для большинства пойдет - неизвлекаемый ключ на основе биометрии

Ниже кто-то дополнил:

Проблема с пальцем в том, что свой отпечаток довольно трудно изменить или отозвать.

Поэтому «для большинства пойдет» конечно-же, ага, но это далеко не средний, это ниже плинтсуа.

Хорошая вещь - второй фактор, основанный на событии или времени.

Насколько просто этим пользоваться «просто бухгалтеру»?
Практика использования для не-айти юзеров?

Очень хорошая - неизвлекаемый ключ.

Очень. А насколько просто этим пользоваться «просто бухгалтеру»?
Все u2f разбиваются в щепки каждое утро: «а я с другой сумкой сегодня, у меня ведь красное платье, не видишь чтоли, вот и сумка красная». Это будет работать только в том случае если этот двухфактор человеку жизненно необходим, например как одна смарт-карта, открывающая проходную, дверь в туалет, дверь в кабинет и заодно еще и 1С.

Пароль - это плохо

Какие кроме этого осталисть альтернативы, пригодные для «простых людей»? Регистрация и СМС?

Brillenschlange ()
Ответ на: комментарий от cocucka

Потому что это у тебя

секьюрные, легко запоминающиеся и набирающиеся пассфразы,

а у остальных при снятии этого ограничения у каждого второго будет пассфраза уровня «парольпароль».

t184256 ★★★★★ ()

Вот расскажите мне свои версии, почему так?
Вот возьмем пароль кладовщика: YYfnfif
Пароль бухгалтера: 1972
Пароль главбуха: 1

они все образованные люди, профи в своих областях и прикрасно понимают, что
взломают их даже с уберсложным паролем, если сисадмин дебил.

darkenshvein ★★★★★ ()
Последнее исправление: darkenshvein (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)