Pull to refresh

Comments 57

Следующий шаг - заменить печать по бумаге на лазерную гравировку или химическое травление металла по фотошаблону.

Я видел в продаже набор для создания холодного криптовалютного кошелька.
Разлинованная металлическая пластина и керн, чтобы биты проставлять.

Хабы: Информационная безопасность xD

Деревенский офис тоже имеет право на информационную безопасность, знаете ли! xD

Так в чём отличие от бумажки на мониторе? Сейчас, когда везде требования к паролям высокие, пароли сложные для запоминания, и никто из случайно заглянувших людей (за редким исключением) не станет заучивать пароль со стикера. Просто сфотографируют на телефон и всё. Карточку эту - тоже сфотографируют. При этом у стикера есть преимущества - не нужно никакого софта, не нужно тратить время, не нужно никакого оборудования. Ручка и бумажка. То, что вводить сканером удобнее - не поспоришь. Но для архивов не так это часто надо, чтобы сканером пользоваться. А если надо - стоит подумать о более автоматизированном решении.

Вот если бы карточка позволяла видеть изображение только под прямым углом, а сбоку ничего не было бы видно - было бы намного интереснее.

Чтобы в постапокалиптическом мире можно было найти эту карточку и выполнить квест по получению данных из архива.

По первому шаблону (который используется для входа в ОС) разница в том, что карточка лежит у пользователя в кошельке, там же, где и его кредитные карты (поэтому у неё такой размер). Пользователь подходит к рабочему месту, тыкает сканером себе в кошелек и садится работать. Второй шаблон, в моем случае, предназначен для карточек, которые хранятся за пределами офиса и используются администратором только в случае аварийной ситуации. Мне этого более, чем достаточно. Естественно говорить о том, что этого будет достаточно всем и везде не приходится.

При политике регулярной смены паролей постоянно перепечатывать карточки предлагаете?)

Проще, пароли менять каждый день, при входе на работу или проходе кпп (скуд).
В качестве карточки использовать электронные ценники. Аналогично активировать деактивировать учетку пользователя в зависимости от его нахождения на территории.

Можно даже одноразовые пароли/пинкоды высылать на этот ценник после корректного использования предыдущего. Сел пользователь за комп, смотрит карточку вводит пин своего пользователя. На ценник приходит новый пин. Его пользователь вводит при авторизации в следующей системе. В отличии от телефона, ценник вне рабочего места не будет работать.

Избыточно - стильно - молодежно! )

Работники однажды сожрут вместе с тапками того, кто это решение предложил и никогда никому в этом не признаются.)

Можно развить мысль чуть дальше до изобретения (T)OTP :)

Зависит от частоты смены пароля, я пару раз в год меняю, мне чаще не нужно. Печатаю сразу пачку, лет на 10 ближайших хватит.

А если обязывают принудительно, не реже раза в месяц, не повторяя последних двух десятков? У вас весьма либеральные правила смены пароля))))

На мой взгляд, администрация должна соблюдать разумный баланс между безопасностью и удобством для пользователей на их рабочих местах. Ввести такие требования к пользователям и не дать никаких средств, чтобы они эти требования могли с комфортом для себя выполнять, по моему, какая-то дикость. Напрашивается решение с использование электронных ключей, но это уже совсем другая история, со своими плюсами и минусами.

UFO just landed and posted this here

Если бы отсталые параноики. Мне иногда кажется, что просто имбецилы

Надо проявить инициативу и менять раз в месяц. :)
И пароль строить по шаблону <тело_пароля>_гггг_мм. И будут однотипные romashka_2022_05, romashka_2022_06, romashka_2022_07... Зато безопасники довольны. :D

Так и делали. Ввели правило запрет на смену пароля чаще чем раз в сутки. Главному безопаснику донесли, что кто-то меняет пароли по кругу, чтобы наменять прежний, и искореняют порочную практику вот так.

Если лежит в кошельке - проще использовать RFID. Карточка Em-marine или Mifare Classic - 8-10 грн/шт, USB считыватель - в районе 400-500 грн.
Mifare бывают и в виде брелков/колечек. Или можно телефон с NFC использовать.

Магнитный ключик можно скопировать так, что хозяин и не заметит. Там ведь нет криптографии, тупо отдаётся код и всё.

Чтобы скопировать вот это вот распечатанное на бумажке - достаточно любого смартфона. А скопировать RFID без считывателя не получится. И его нужно достаточно близко подносить, т.к. микросхема в карточке получает энергию для работы от считывателя.

Если уж прибегать к бумажке, то хотя бы, например, не записывать в сложном пароле символ (-ы), который пользователю будет легко запомнить, а постороннему трудно угадать.

Если подобные карточки и делать, то нужно разбивать пароль на две части, каждая часть с разных сторон карточки. Чтобы если изображение карточки все-таки утекло, то чтобы пароль с нее не могли полностью восстановить.

я бы даже развил идею, делать наборы символов с двух сторон, пронумерованные, например по 8 штук. В качестве пароля использовать пару значений с разных сторон, тогда остается только помнить , что сейчас наш пароль, например 2/3 (второй на лицевой стороне, третий на оборотной)

Делал подобное для терминалов самообслуживания. Сканируешь - открывается панель с настройками. Поменял в базе, распечатал, выдал настройщику. Тот "пикнул" и занимается своими делами.

идея неплоха, если автоматизировать с заказ-нарядом на обслуживание. Поступил заказ на обслуживание - генерируется сложный пароль, меняется на устройстве, в заказ-наряде распечатывается, отдается мастеру. Без заказа ключ знает только система.

оно не на устройстве менялось, а на бэкенде. На девайсе у каждого сотрудника был свой пин-код, который менялся редко. Девайс при сканировании видел первый контрольные цифры кода разблокировки и посылал запрос серверу. Сервер валидировал код и давал ввести пин. Только тогда мастер попадал в консоль.

Т.к. старший персонал часто забывает свои карты, а работать надо в защите, младший персонал сделал себе (для удобства!) мультипаспорт. Может заходить в систему под любым пользователем.

Зачем это нужно? Я использую KeePass для хранения паролей.

KeePass нужен для хранения ключей на машине к которой есть доступ. Эти карты используются как-раз для этого (для получения доступа к машине), в том числе их можно использовать как мастер-пароль для самого KeePass.

UFO just landed and posted this here

Если чел не в состоянии один пароль приличный запомнить, а то и вовсе ничего не запоминать (KeePassXC умеет в кучу разных всяких интеграций), то и нечего ему там вообще делать, гоните его сцаной метлой.

Даже интересно стало, а кто ссыт на метла?)

Даже интересно стало, а кто ссыт на метла?)


Ссаные тряпки, а метлы — поганые. Но в сети давно все безнадежно перепутано.

А вот такие штуки не проще в реализации? Туда и пароль можно генерить автоматом и размером с кредитку.

Зависит от того, что понимать под "проще". Проще для кого? Пользователь всё-равно будет привязан к какому-то предмету, который вынужден будет носить с собой, к тому же это "железка", которую еще нужно найти, она может сломаться и потерять которую будет сильно обиднее, чем карточку, которую можно сделать за 3 минуты не выходя из офиса.

Подключенный в режиме USB HID сканер позволяет вводить данные в любую программу, где есть поле для ввода данных с клавиатуры, так же, как если бы эти данные набирались вручную.

А эти сканеры позволяют считывать комбинации клавиш? Может ли код содержать что-нибудь начинающееся с Win+R cmd Enter?

Темы с подобным вопросом видел на одном из технических форумов и, вроде как, там кто-то говорил о моделях сканеров, с которыми что-то подобное можно было реализовать. Но как именно и можно ли, на самом деле - не знаю.

Это все конечно здорово, но лучше использовать локальные менеджеры паролей, вроде KeePassXC. Шифрованную базу паролей можно хранить на нескольких дисках и облаках с синхронизацией, помнить нужно будет тогда только сложный мастер пароль. Также есть плагины для браузеров и мобилок по автозаполнению полей, все очень удобно, рекомендую
То есть фактически это идентификатор личности на месте работы, а вы просто предложили считывать его сканером, вместо других возможных на сегодня способов. Здесь вопрос решится стоимостью считывающего устройства.

Напечатать каждому пользователю уникальную маску на прозрачной пленке и заламинировать отпечатанную сторону. Изображение пароля генерировать так, чтобы оно проявлялось только при наложении карточки с маской на это изображение.
Простой способ - маскирование ячейками посимвольно на матрице текста. Сложный способ - "попиксельное" маскирование (не целых символов, а элементов изображения). В нем узнав один пароль и заполучив фото одной из шифрованных матриц с текстом сложнее составить набор отверстий (ключа) для считывания остальных карточек. На карточках с маскированным изображением текст располагать везде в разных местах и как на капчах (искаженным). Т.е. даже заполучив точный скан карточки и зная пароль на ней (именно пароль, а не как он на ней изображен), считать другую карточку достаточно сложно. Опасна только утечка "ключа" - прозрачной карточки с нанесенной пиксельной маской. Если ее подклеивать на пленку с лентикулярным растром, то кроме прямого сканирования на планшетнике даже по "шпионскому" фото будет сложно ее повторить.

Самое разумное и безопасное сгенерировать один пароль на все случаи жизни и запомнить его как следует.

Этот пароль утёк, а вы его как раз использовали на все случаи жизни.

Ваши действия?

з.ы. Вопрос риторический, конечно же. Я вот раньше тоже имел один базовый пароль, который мне сгенерировала моя первая онлайн-игра, и который запомнил на всю жизнь, и потом он оброс фиксированным количеством его вариаций (обычый, с большими буквами, обычный с цифрами, со спецсимволами, с цифрами и спецсимволами, с другим набором цифр и спецсимволов). Уже накопилось около 20 вариаций пароля. Самый кайф вспоминать через 3 года какой именно использовал для условного ВК когда случайно вышел из системы на домашнем компе, пробираясь сквозь капчу и т.д.

К чему я это. Теперь у меня осталось около пяти вариаций пароля, один наисложнейший - для менеджера паролей, и ещё 4 для ситуаций, где менеджером копипастить пароль нет возможности.

Самое разумное и безопасное сгенерировать один пароль на все случаи жизни и запомнить его как следует.


Сарказм оценил :)

Зачем генерировать, когда всё уже придумано - qwery123

Вообще давно рынок требует клавиатуру с авторизаций. Мало запомнить пароль. надо еще чтобы браслет с разблокировкой клавы был в ределах полуметра от неё. отошел сотрудник поссать - комп лочится. И клава тоже, аппаратно. А другая клава тупо не работает. Вот это защита я понимаю. Сотрудник проссался, пришёл, клава браслет увидела и дала ввести пароль с клавы.

Кто создаст паролей пачку, тот получит ... Водокачку! :)

Нужно подкинуть идею жене.
Она заглядывает за паролями в затертый блокнотик и упрекает меня: "не верю я твоим технологиям". :)

Вы бы ещё свастон с орлом нарисовали, честное слово.

Есть более современные вариации свастона) С конца февраля в обороте

Не нужны пароли в 21 веке. Используйте просто двухфакторную аутентификацию, например, биометрия + почта/приложение/otp.

О сколько вам открытий чудных... Конечно, если когда-нибудь у вас будут деньги, а не кредиты....

Ерунда все это. Если вы хоть слегка озабочены безопасностью, то кроме внешнего аппаратного хранилища паролей все остальное - полная ерунда. Мультипасс к примеру неплох. Все остальное как правило сливает все ваши пароли как только появляется доступ к вашему компу.

В принципе, его можно с собой не брать, а брать только смарт карту.... Это если места в кошельке жалко.

Карточки картонки пленки..... а банальный отпечаток пальца? Или нынче это не модно?!

Дело не в том: модно или нет, а целесообразно или нет. В моем случае купить нужно было только плёнку для ламинирования. И всё, остальное уже имелось.

Sign up to leave a comment.

Articles