Comments 28
Слабые пароли
А не получается ли так, что сильные пароли, да еще и с обязательной регулярной заменой и с проверкой, что пользователь не пытается повторить старый пароль, кончают свою жизнь в виде жёлтой бумажки, приклеенной к монитору, потому, что их невозможно запомнить?
Использовать менеджер паролей
А ему точно можно доверять?
Да, сложные пароли тяжело запомнить. Но это не повод их на листочки записывать и клеить рядом с рабочим местом. Можно в блокнот записать, и блокнот в шкаф под ключ убрать. Да, сложно…но и люди с персональными данными работают.
"Security community now worries about security, not users.
User interface makes security unworkable"
"Weak security that’s easy to use will help more people than strong
security that’s hard to use. E.g.: door locks"
"Bad user interfaces drive people away from security.
Weak security is much better than none at all"
--
Rob Pike. The Good, the Bad, and the Ugly: The Unix Legacy
http://herpolhode.com/rob/ugly.pdf
Ну что на это можно ответить? Если человеку тяжело запомнить пароль из 12ти символов на на 3 месяца использования, не лучше ли ему пойти работать туда, где это не требуется ?
Ну да, я понимаю. И без того работа тяжелая, а тут еще и люди мешают...
Нет) правила - есть правила.
Если правила не работают, надо правила чинить, а не людей кошмарить
Работоспособность правил проверяется способностью их обойти. А если пользователь не обладает компетенциями запомнить 12 символов - это кошмар для его руководителя )
Пользователь может обладать 100500 полезных компетенций, но не обладать при этом компетенцией запоминать всякую бессодержательную чушь.
Интересно, если вы заболеете, вы выберете хирурга с золотыми руками или хирурга, который хорошо пароли запоминает?
На мой взгляд взаимосвязаны профессиональные компетенции и способности запоминать(или записывать и держать в секрете) данные от которых зависит безопасность информации, а следовательно людей. Например, в поликлиниках печатают на распечатках чужих анализов направления для других пациентов. Возможно это не сопоставимые вещи по важности. Но в современных реалиях - это необходимо.
Конечно, человеку вместо того, чтобы он вводил пароли, могут дать токен, смарт ключ.
Есть разница между информацией и случайным набором букв.
Информация имеет смысл и вписана в общую информационную картину человека. Случайный набор букв смысла не имеет.
Существует полно людей, у которых всё хорошо с умением хранить, оперировать, анализировать осмысленные знания, но вот номера телефонов, кредитных карт и пароли они запоминают с трудом.
Причём можно бы еще разок поднапрячься и запомнить. Но ваши же коллеги требуют пароль раз в три месяца менять. И их человеку надо много иметь. Один для офиса, другой для банка, третий для хабра...
В итоге, менеджмент паролей становится непреодолимой задачей. И приходится решать её всякими костылями: хранить пароли в менеджере паролей с риском, что они оттуда утекут, записывать на бумажке, использовать пароли типа !B(
B#-2, B($B#-3 и т.п.
Всё это ослабляет а не усиливает реальную безопасность.
Токены, кстати, неплохой вариант.
Да, понимаю о чем вы.
Со своей стороны с максимальной эмпатией пойду навстречу специалисту, чтобы помочь ему.
Посыл с моей стороны в том, что если человек пользуется цифровыми инструментами, заинтересован в этом, значит ему придется осваивать основы защиты этих инструментов.
Нет, батенька.
Посыл с моей стороны в том, что если вы, дорогие товарищи, считаете себя специалистами по ИБ - то ваша задача, это разработать и внедрить такие процедуры, которые будут обеспечивать эту самую ИБ. не заставляя пользователей выбирать между невозможным существованием и тихим саботажем ваших усилий.
Пока же я вижу в основном, что вы что-то там себе понапридумывали, и пытаетесь заставить пользователей жить по вашим правилам.
А я, батенька, вижу только саботаж ради саботажа. Уж простите. К ИБэшникам можно и посерьезнее претензий предъявить в плане усложнения работы обычным пользователям ( к примеру, запрет месенжеров и передачи информации вне, без предоставления безопасной альтернативы). И запоминание пароля будет самое меньшее из зол.
Скоры вы на обвинения, однако.
Я, всё же, пытаюсь разговаривать с вами, как инженер с инженером. Пытаюсь показать вам, что инженеру тут есть к чему приложить умственные усилия.
Если же вы видите себя в этой конструкции в позиции вахтёра, задача которого - добиться исполнения установленных кем-то правил, ну ОК, воля ваша.
нет уже давно таких нелепых правил, еще год или два назад выходили рекомендации от майкрософта и некоторых других компаний с рекомендациями по парольной политике, и там английским по белому сказано, что не надо часто менять пароли и делать их кашей из символов, т. К. Парольные фразы работают лучше, и менять их достаточно раз в год. А вы тут все про три месяца. Какие вообще есть разумные обоснования смены пароля через три месяца? Хеш любого 12 символьного крякается быстрее. Брутфорсом перебор через спрединг проходит тоже быстрее. Так из какого пальца высосан срок в 3 месяца и 12 символов? просто включите уже 2fa хотя бы на периметре, а внутри сети мониторьте.
Срок в 3 месяца высосан из головы для примера. У всех по-разному. Все руководствуются разными методами. Майкрософт кому-то не авторитет. А еще у кого-то нет денег на 2FA.
Смысл комментария был в том, что ради обеспечения безопасности со стороны пользователя можно пойти на такие жертвы как запомнить(или спрятать) пароль. В самом коротком случае на 3 месяца. Но и срок 3 месяца для смены пароля редко где встречается
"Вы батенька или трусы наденьте либо крестик снимите" "А еще у кого-то нет денег на 2FA." - нет денег на 2FA о какой безопасности вообще может идти речь? Нет денег на безопастность, значит она вам и не нужна. Но пользователей вы все таки хотите заставить менять пароли раз в 3 мес. У вас типичный синдром вахтера. А вы вообще имели дело с реальноной ИТ бесопастностью, не "на бумажке", иначе бы учитывали психологические аспекты безопасности со стороны пользователей, а именно, если пароли будут требоватся слишком сложные (большие, маленькие буквы, цифры, спецсимволы, да еще минимум 12 символов), то хоть что ты делай, но пользователи будут записывать на бумажках, стикерах и т.д. и класть под клавиатуру и самое главное вы НИ КАК не сможете на это повлиять, ни проконтролировать, ни наказать людей. И дело даже не самих паролях, это как частный пример, а в том что если уровень безопасности перешагивает за определенный предел, то вся безопасность становиться бессмысленной , она только блокирует первоначальную деятельность.
А менеджер паролей… все относительно. Нет универсальных методов защиты. К сожалению.
Self-hosted менеджеру паролей, который грамотно настроил ит-отдел точно можно доверять больше, чем пароль.тхт на рабочем столе или менеджеру паролей браузера, откуда их давно умеют вытаскивать даже самые тупые инфостилеры.
"Менеджер паролей"... Такое ощущение, что создан специально для утекания из одной дырки. Учитывая то, что их стали форсить вместе с волной моды на "sec".
и так забитый план работ по ИБ
чем конкретно он забит ? (кого можно подвинуть вправо ? или вообще выкинуть ?)
Законодательство - это, в частности, одна из тех вещей, которой проще всего оперировать
для коммерсантов и реальной (не бумажной) ИБ законодательство является не компасом и картой, по которым надо прокладывать курс, а препятствием, которое нужно обойти. или набором граблей, на которые не стоит наступать.
Автору спасибо за статью. Было полезно почитать, есть что почерпнуть.
Как внедрить культуру кибербезопасности «с нуля» в небольшой компании?