Pull to refresh

Comments 185

Банковский сектор как пример для подражания
… Задумайтесь: пин-код от банковской карты составляет всего 4 символа, однако никто не кричит о том, что он «слишком короткий» и простой для взлома

Это не банковский сектор. Это преданья старины глубокой по использованию пластиковых карт. Притом там серьезная блокировка при неправильной авторизации, да и логин не такой простой, как кажется.

Я бы даже сказал, что сама карта — это пароль), а пин от неё — это уже последняя преграда на случай если кто-то ваш пароль «подсмотрел» (украл карту)

Сама карта это логин — однозначное определение пользователя. Пин код это пароль.

Карта это логин и ступенчатая авторизация одновременно.
Как в случае с логином и флешкой.
Здесь Карта является логином и флешкой, пин — является паролем.
Причем забрутфорсить пин особо не выйдет — либо займет много времени ибо n попыток и блокировка карты.
Есть два фактора влияющие на время жизни пароля:
  1. Если пароль короткий то его легко перебрать, соответственно его время жизни должно быть мало
  2. Если человек уволился то нужно иметь четкую процедуру блокировки учетных записей, в больших организациях зачастую информацию об увольнении получить невозможно, и короткое время жизни пароля решает задачу с блокировкой учетных записей уволенных сотрудников

В целом, как я считаю, основное препятствие для внедрения длинных паролей — отсутствие работающих процедур блокировки, смены паролей. Убедить бизнес чисто математическими расчетами думаю нельзя, но если вы 2-3 раза безболезненно сможете провести глобальную смену паролей во всей организации без последствий — с этим уже можно будет идти к бизнесу
>>короткое время жизни пароля решает задачу с блокировкой учетных записей уволенных сотрудников
Не решает.
Как происходит процедура смены пароля в AD том же:

— Срок действия старого пароля истёк.
— Ты входишь в систему со старым паролем.
— Тебе говорят: ай-ай-ай, поменяй пароль
— Ты завершаешь сеанс
— Вводишь старый пароль
— Вводишь новый пароль
— Работаешь.

Т.е. если тебя уволили, но учетку не убили — ты и после окончания срока жизни пароля войдешь в систему, еще и поменяв пароль в очередной раз.

Если сотрудника уволили — то автоматически должна устанавливаться дата окончания срока действия учётной записи.
После этой даты — хоть тресни — в систему уже не войдёшь.
По крайней мере у нас так заведено.
И причем здесь регулярная смена пароля?
Логично, что с момента, как сотрудник уволен, блокируются учетка AD, ключ в СКУД, итп
Комментатор выше говорит, что при увольнении помогает короткое время жизни пароля. А оно (короткое время жизни) не помогает.
У нас при увольнении сотрудника врубается скрипт из 1Ски HR'ов и блочит учётку в AD
Вам повезло, что у ваших HR'ов нет дурацкой привычки переводить сотрудника из подразделения в подразделение через увольнение/прием. Нам не повезло.
А скриптиком поделитесь. Плз.
Отправьте «ононимку» в трудинспекцию, они быстро объяснят вашим хрюшам за нормы ТК.
UFO just landed and posted this here
Если будет делиться лучше через гитхаб.
в больших организациях зачастую информацию об увольнении получить невозможно
а как же сдача всего оборудования при увольнении? у меня в последней организации так было. человек приходит с обходным листом в том числе в ИТ-отдел. сдает рабочее место, проверяется наличие оборудования… и блокируется учетная запись… человек получает подпись в обходной лист
Не тогда когда у вас 130 филиалов в разных городах. Рабочие места не мобильные, и они остаются…

Обходной лист это такая интересная штука, работник может просто не захотеть эти подписи собирать, и законно невозможно его заставить ходить за подписями.

Прочитав статью, вспомнилось как в далеких 90-х мы интегрировали системы контроля доступа (СКД) с системами защиты от несанкционирванного доступа (НСД) к компьютерам. Системы мы тогда назвали "Броня-ОТМ" — Система контроля несанкционированного доступа к компьютеру, совмещенная с системой контроля доступа в помещения "Броня-ОТМ". Система хорошо работала: вышел через турникет, не выключив компьютер, он автоматически выключался (и в БД все заносилось), пробрался на рабочее место минуя СКД — компьютер не загрузишь:
image


В этом случае и пароль менять не надо.

На мой взгляд, хороший пример полноценного периметра, который завязан на контроль доступа к помещению. Странно, что сейчас такие решения не пользуются популярностью в компаниях, которые не дают удаленный доступ, потому что доступ по ключ-картам организован в огромном количестве офисов.
В принципе, SIEM умеют смотреть события СКУД. Если АРМ может послать в SIEM своё состояние «заблокирован/не заблокирован», то можно и инцидент завести на основе корреляции.

А почему пароль менять не надо?

Потому что «а зачем»?
Принудительная смена пароля = усложнение рабочего процесса среднестатистического работника. Это самое усложнение должно быть оправданным, не просто же так палки в колеса совать.

Еще раз спрошу почему после картинки — В этом случае и пароль менять не надо. ?
Эта система что Серебряная пуля?
Там полно возможных способов несанкционированного доступа и притом разных. Хоть от варианта что контроль доступа стоит в офисное здание, хоть от варианта что контроль доступа стоит в каждое помещение где не больше двух мест АРМ, и учетка работает только когда идентификатором открыли дверь именно в это помещение.

И я спрошу еще раз, вне зависимости хоть после картинки хоть не видя её — а зачем?
Каким образом потенциально существующие недостатки любой системы (хоть бы даже и той что на картинке) становятся аргументами за смену пароля по таймеру? Это никак не связанные вещи.
Смена пароля по таймеру это прежде всего костыль который позволяет уменьшить негативный эффект от несаблюдения других разумных правил. Будь люди способны сделать один пароль и не выстрелить себе в ногу рассказав его соседу этого было бы достаточно на года, но нет. Для примера:
Есть правило, что пароль вещь индивидуальная и сообщать ее коллегам\тех. поддержки, приходящим ребятам из франчайза 1С нельзя. Но ведь так удобно, заболела, позвонила Любочке, сказала пароль. Или этот 1сник который будет часа что-то обновлять. На тебе пароль, потом все закрой.
Ваш пароль на бумажке украли, или просто подсмотрели как вы его набираете.
В пароле по шаблону нет ничего такого ужасного при условии, что система аутентификации не позволяет себя брутфорсить и ограниченна числом попыток.
Сброс пароля по таймеру позволят ограничить масштаб проблемы и для по мнению тех кто придумывает эти правила и для меня лично смена пароля это дешевая нетрудозатраная задача.
Есть контр вопрос, который меня больше всего забавляет. Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов? Ваши дети в школе Маяковского учат, некоторые даже Шекспира в оригинале.
Есть контр вопрос, который меня больше всего забавляет. Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?

Потому что у меня, например, сейчас на работе используется 20 разных паролей для 20 разных мест. И каждые 3 месяца обновлять их все становится сразу намного сложнее

Сменить пароль занимает меньше минуты. Обычно со временем вырабатывается алгоритм составления и перехода на новый, что не рекомендуется.
Конечно если пароли не придумывает программа или другой человек, тут можно только посочувствовать.

Потому, что ваш ИТ не осили SSO хотя бы чуть чуть. И потому, что вы совсем не обычный пользователь про которого статья.
Потому что это реальное предприятие, а не ларек с шавермой.
Обросшее, как теперь модно говорить «легаси», вендорозависимым софтом, разбившееся на ветки, играющее в матричную структуру и прочее.
Расскажите пожалуйста, как поможет SSO для входа хотя бы на hh.ru? И это только один из десятка сервисов, которые используют в работе люди (нет, мы не hr агентство, просто это самый известный из ресурсов, используемых у нас).
Или этот пароль менять не надо и если утечет то и фиг с ним?
А какое отношение hh.ru имеет к теме топика? Речь про правила которые устанавливает руководство компании для своих сотрудников в отношении внутренней инфраструктуры.
Ваш ИТ отдел за hh.ru никакой отвественности не несет, хотите меняйте хотите нет.
Расскажите пожалуйста, как поможет SSO для входа хотя бы на hh.ru?

Кстати, показательно что на hh.ru долгое время не было требований регулярной смены пароля, а в последние года два-три оно появилось.
Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов? Ваши дети в школе Маяковского учат, некоторые даже Шекспира в оригинале.

Во-первых, речь идет обо всех сотрудниках, так что «квалифицрованный взрослый человек с высшим образованием» вычеркиваем.
Во-вторых, пароль надо помнить 3 месяца а не до конца урока, а забытый/перепутанный один символ в «сильном» пароле — уже билет на зачастую не сильно быструю и удобную процедуру восстановления пароля.
В-третьих, нередко на одного человека нередко приходится несколько паролей, каждый из которых надо менять — и тут уже приходится или записывать (не-продвинутый пользователь запишет на бумажку), или поступаться уникальностью.
В-четвертых, имея хорошую память, вполне можно запоминать новые действительно уникальные пароли каждые Н месяцев — но те же усилия можно приложить куда-то где их подуктивность выше нуля.
Плюс такие мелочи в целом снижают удовлетворённость от работы. Да и память — штука странная. Один раз я забыл пинкод от своей банковской карточки, которой пользовался почти каждый день. Подхожу к банкомату, готовлюсь ввести код… и ступор. Не помню. Вообще не помню. Вот что это было? Видимо действие по вводу пина на магазинных терминалах было настолько доведено до автоматизма, что когда потребовалось ввести этот же пин на клавиатуре другой формы — у меня ничего не получилось.

А это всего 4 цифры.
Мою удовлетворенность снижает отсутсвие парковки у входа в БЦ, чай в пакетиках, и мой сосед который постоянно трындит по телефону.
Смена паролей это просто очень дешевый способ поднять безопасность. Есть подороже, но это все отразится на вашей зп в конечно счете.
Чтобы сделать всем токены или биометрию, вам нужно купить оборудование и лицензии, а самое дорогое, ваш админ с этим не справится, нужен еще один.
Если честно, сколько вы готовы отдать из своей ЗП, чтобы не менять пароли раз в 3 месяца?
ЗЫ. Кстати, Автор. А вы не могли бы добавить это в опрос? Без иронии, всеже понимают, что ничего не бывает бесплатно.
Это не дешевый способ поднять безопасность, это дешевый способ снятия с себя ответственности, типа «ну это же компьютеры, они с… а сложные, они всегда глючат, ну вы же понимаете».

Нежелание вникать в бизнеспроцессы для разграничивания доступа и тупое следование методичке (которая устарела).

Пароль в корпоративной среде несет только одну функцию — ЭЦП.
Факт владения паролем подтверждает право на совершение действий. Всё.

Низовой состав всегда будет меняться паролями, что бы прикрыть запои.
Руководство никогда не отдаст пароль, что бы не спалить конфиденциальную инфу.

Сливы — через инсайд, обрушение инфраструктуры — через криптолокеры, которые плевали на пароли.

Нормальное решение персонифицированного ЭЦП — зарплата капает тому, кто залогинился.
Двинутое — смена паролей -30 дней, большие/маленькие+цифры+хрень_всякая.

Не ожидал, что в аргументации каким-либо образом всплывут запои!
Сдаюсь, предприятии с массовыми запоями не мой профиль.

Замените запой на «сходил в ЖЕК насчет уборки лестничной площадки».
Большинство учереждений, внезапно, работают тоже с 8 до 17-ти.
Но бизнес-процессы, логины, аутинтификация, отпуск за полгода.

Люди ищут лайфхаки. Иногда проще дать пароль, чем объяснять, почему ты опоздаешь на час.
Какие к черту запои? Средний человек иногда опаздывает, а иногда просто внезапно не выходит. Такое бывает по обыденным причинам. Жизнь она разная.

Если нет возможности достать файлы из профиля человека, кроме как зайдя с его паролем, то пароли будут давать друг другу и писать в доступном месте. Люди они такие.

Если СБ не предусмотрела типичные недостатки людей то это проблема СБ, а не людей.

У разработчиков все просто. Все что может быть нужно другим людям в гите. Остальное точно не нужно. А вот с «бухгалтерами» это не работает
UFO just landed and posted this here
Всё-таки одно дело, когда утёк сменяемый пароль, и злоумышленник может разово выгрузить документы фирмы (и при этот не спалиться). А другое дело когда утёк несменяемый. Если злоумышленник сильно не палится, то он может годами быть в курсе всего происходящего в фирме. В меняющемся мире, где данные довольно быстро устаревают, второе гораздо ценнее.
UFO just landed and posted this here
Разумеется, бэкдор предпочтительнее. Но это смотря к чему был получен доступ. Если к почтовому серверу на Google, к корпоративному веб-сервису, к отдельному почтовому ящику или к аккаунту с правильно настроенными правами — тут бэкдор не поставишь.

Т.е. вы правы, но всё-таки есть кейс, от которого регулярная смена паролей защищает, пусть и ценой мучений сотрудников. У прочих подходов (2FA, меры обнаружения несанкционированного доступа и даже биометрия) тоже есть свои минусы.
UFO just landed and posted this here
Пичаль-беда если карту уже сожрал банкомат, и посмотреть на неё нет возможности. А банкомат-то требует пин-код.
UFO just landed and posted this here
У меня такое же было. Закрыл глаза, представил ту, другую, клавиатуру и что я беру рукой тыкаю пальцем по клавишам… И вижу (как во сне) какие клавиши жму! Чудеса головного мозга и моторики пальцев
Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?

Потому что квалифицированный взрослый человек с высшим образованием пришел на работу зарабатывать деньги вместе с организацией.
А не страдать мурой, из-за того, что ИТ хочет увильнуть от ответственности, действуя по устаревшим методичкам.
А потом прилетает криптолокер бухгалтерше Любочке и сносит всю инфраструктуру- очень от этого помогают пароли из больших/маленьких+цифры+хренотень.
Одно простое правило, которое могло бы заменить смену паролей по расписанию: «Если вы допускаете, что пароль стал извествен другим лицам немедленно смените его.» Но вы ведь не будете ему следовать, причину вы описали.
Таймер на пароли это не решение проблемы безопасности системы. Это борьба с теми, кто считает, что ИТшники могут сделать безопасность сами. Но это не так, пользователь тоже часть этого, и он тоже должен участвовать.
Это решение из оперы идеализированного ИТ для биоробАтов.
Всеравно, оператор Лидочка прикроет оператора Людочку, зайдя под ее паролем.
Потому что у Людочки была незабываемая ночь с намеком на, внимание, «отношения» и сегодня Людочка в дрова. А работа стоит, документы не ходят.
Самое слабое в безопасности — человек. И тупые методички насчет паролей не устраняют проблемы.
Правильное решение — кто залогинился, того и ЗП. У начальника — мастер-пароль на случай отсутствия Людочки и возможность перекинуть переписку и полномочия Лидочке, Лидочке капает не от табеля, а от закрытых тасков.
И Людочка превращается из «лучшей подруги, которой привалило женского счастья» в «пьяную лядь, которой лишь бы сачконуть».
1. Людочка — секретутка, ей платят не за таски, а за нахождение на ресепшене (телефоне, корпоративной почте) с 9 до 18. Если платить за таски, она будет приходить в 11 и делать ваши накопившиеся таски «оптом». Да, часть звонков профукается, но ей то чего, она получит на 10% меньше ЗП за рабочий день на 40% меньше. Потери фирмы объяснять надо?
2. Отпуска, больничные и вот это всё. Возможность наличия «мастер-пароля» у начальника с возможностью делегирования доступа ушедшей в отпуск Любочки дежурной Лидочке требует весьма серьёзной настройки всего, от телефонии и СКД до всех до единой корпоративных программ, включая всякие облачные сервисы типа того же hh.ru. Ну, не заставлять же Лидочку бегать от одного стола к другому и обратно, правильно? Не потому что мы не хотим нагружать её ножки, а потому что это тупо медленно, а на неё и так двойной объём работы упал.
Людочка — секретутка

Если секретутки нет на месте, то админ мухой скидывает пароль на 12345678 по звонку директора.
Это ОЧЕНЬ секюрно, да.
весьма серьёзной настройки всего

А я думал ИТ — это мышки пароли менять…
Правильное решение — кто залогинился, того и ЗП.

"Залогинься за меня, я тебе потом с зарплаты отдам"

Одно правило есть и оно не такое. Если у человека есть доступ к критичной для бизнеса информации, то ему надо выдать токен и насиловать за оставление токена на рабочем месте.

Токен стоит около 1000 рублей. Это вообще не расходы для фирмы.
Токен приобретается на средства сотрудника, при его увольнении уничтожается.
Выдается под роспись при приходе сотрудника на работу, сдается им в первый отдел и опечатывается при уходе в т.ч. на обед и покурить.

Сколько же еще всякой херни придумать можно при желании…
Действительно. Сколько же всякой фигни придумать можно…

Пропуск выдавать и забирать все умеют. Добавить к пропуску выдачу-забирание токена элементарно.
Проблема только с решением как быть с заболевшими, в отпусках итд. Вот тут действительно придется поработать.
Пароли менять естественно проще. Заболел? так все знают пароль под клавиатурой. Ну или позвонить и спросить всегда можно.
Пропуск выдавать и забирать все умеют. Добавить к пропуску выдачу-забирание токена элементарно.

В этом случае логичнее токен совместить с пропуском. не?
Не. Пропуск обычно общий на бизнес центр. С токеном несовместим.
И даже в своем здании СКУД всегда уже есть. Переделывать это куча денег.

Если проектировать все с нуля можно подумать о таком сценарии. Плюсы и минусы слету и не скажу.
UFO just landed and posted this here
В среднем офисе эта система работать не будет.
Удаленный доступ нужен.
Покурить как выйти? Курилки нынче на улице.
В обед что делать? Обед тоже обычно на улице.

Да и глючат такие системы страшно… Постоянно считают что человека нет, хотя он есть или наоборот. Особенно смешно когда дверь не открывается, т.к. считает что человека за ней не может быть.
У меня точно такой же опыт. Основная проблема, что не все события входа/выхода успешно регистрируются в БД СКУД, хотя возможно это проблема нашей конкретной СКУД.
Спасибо за идею. Что-то похожее в голове вертелось, но никак не сформировывалось.
Но ведь запоминаемый пароль с шаблоном, ничем не хуже чем запоминаемый пароль без шаблона, а чем-то даже лучше. Ну то есть конечно железный токен+пароль еще лучше, но при отсутствии токена сменяемый пароль не самая худшая мысль. Он как минимум спасет от случая когда пароль утек и его будет подбирать тупой бот, который не сможет разобрать шаблон. Да и человек например не каждый сможет понять шаблон по одному паролю В идеале их нужно несколько. Из минусов только пароль на бумажке, но мы же все серьезные люди, и пароли на стикерах не пишем.
Если хакер слил БД 2-х месячной давности, и видит, что у сотрудника Х 4 месяца назад пароль был ASSHUNTERX06, 3 месяца назад — ASSHUNTERX07, а 2 месяца назад — ASSHUNTERX08, то угадать, какой пароль сегодня труда не составит. А боты вроде бы уже давно научились подбирать шаблоны, при условии, что юзер 1 — так даже «консьюмерский софт» типа Sentry MBA умеет, если я правильно помню.
вы только что назвали ряд условий для получения реального пароля.
1. Собрать несколько паролей
2. Посмотреть на них внимательно и найти зависимость (если правило генерации чуть сложнее, бот может уже не справиться)
По сути эти пункты — дополнительные рубежи пусть не защиты, но усложнения доступа.
Если бы пароль не менялся достаточно было бы угнать один пароль любой давности.
Если сливать базу каждый месяц — то шаблонизация паролей уже наименьшая из проблем.
Каждый месяц и не надо. Самые «продвинутые» в своем стремлении менять чужие пароли умудряются сохранять себе историю прошлых изменений, а потом выкатывают: «этот пароль уже был 10 раз назад!»
UFO just landed and posted this here
А тут уже не сотрудник виноват, а тот, кто написал систему с хранением паролей в открытом виде
UFO just landed and posted this here
На мой взгляд надо понимать к какой системе выдвигать такие требования, в плане смены паролей раз в 30-90 дней. Если УЗ используется в системе для обработки информации открытой информации, то да это очень слишком короткий период. А если УЗ используются в системе для обработки конфиденциального характера, то считаю что что период смены от 30 до 90 дней, это нормально. Кто мешает делать резервную копию пароля, и хранить это все у руководителя структурного подразделения. Все зависит от политики информационной безопасности.

И вы на тёмной стороне :)
Особенно хорошо это когда у вас в компании несколько рабочих мест (разные сети, пароли не синхонизируются) есть несколько учёток в системах которые не интегрируются с AD, и на них тоже "свои сроки смены паролей", и при этом ещё и объединённая почта завязанная на одну из учёток через один из AD и вам в итоге нужно помнить штук 10 паролей меняющихся раз в пару месяцев. (При этом часть из этих паролей вообще не имеет смысла, но то отдельная история)

UFO just landed and posted this here

Как минимум 3 AD, но 2 как-то таки смогли синхронизировать, но есть не нулевая вероятность что скоро ещё один ad придёт :)
Установка доп ПО запрещена, чтобы безопасность пропустила менеджер паролей, есть большие сомнения (начнём с сертификации у регулятора, что-то есть сомнения что такие существуют). Я вообще очень люблю высказывания "да всё это легко, ставим тут ПО тут галочки и всё" но по факту всё сильно сложнее, и вылезают то те то другие проблемы, в итоге в организации с персоналом под 100 тысяч годами не могут завершится проекты начинавшиеся такими фразами. ИМХО лучше бы автосмену паролей убрали, особенно с учётом того, что узких мест помимо этого предостаточно, нужно только очень сильно захотеть, но у нас в стране культ охранника, увы.
p.s. выступаю исключительно как бизнес пользователь, который иногда наблюдает умирание проектов (выгорание людей с хорошими идеями) на этапе сотгласования/ с безопасностью.

UFO just landed and posted this here
Уже сто раз было сказано и доказано: Есть двухфакторная/многофакторная авторизация — меняй когда хочешь. Нет двухфакторки — меняй регулярно и принудительно. Попытки авторизации должны мониториться. SSO резко уменьшает количество паролей. Ролевой доступ наше все.

Регулярная смена пароля спасает от ситуаций, когда сотрудник имеет один и тот же пароль для входа в корпоративную сеть, личную почту и маленький уютный бложик с миллионом дыр.

Хочешь доступ к критичной инфраструктуре или подписать цифровой подписью — добавь токен и/или персональный сертификат.

Хочешь с мобильного устройства — будь под контролем MDM.

Все остальное надуманное, притянутое за уши и оторванное от реальности.
Регулярная смена пароля спасает от ситуаций, когда сотрудник имеет один и тот же пароль для входа в корпоративную сеть, личную почту и маленький уютный бложик с миллионом дыр.

Лично знаю сотрудника ( нет, не я — у меня другая технология «борьбы»), который при запросе AD на смену пароля меняет его десять раз подряд. Да, у нас пароль не должен совпадать с 10 последними.

В данном случае лучшим лайфхаком будет дружить с админом и за кофе/булочки/пиво/сигары приходить к нему и быстро поставить любой пароль через оснастку ad :)

Для таких есть минимальный период действия пароля, как правило 1 день, или около того. В таком случае, «прокручивание» паролей занимает не менее 10 дней (фактически 2 недели), что все же снижает привлекательность такого метода. В AD есть из коробки, в остальных системах — где как.
Раз в несколько месяцев qiwi (на смартфоне) обязывает сменить pin-код.
Приходится менять, добавляя +1 к текущему пин-коду.
Сразу захожу в настройки и принудительно меняю на старый пин-код.
В своей госбюджетной организации мы боролись с пользователями, наклеивающими стикеры с паролями на мониторы, и все равно не можем это побороть окончательно. Кто-то иконки со святыми клеит на монитор, а кто-то — стикеры с паролями и также молится на эти листочки — типа как бы не ошибиться при вводе пароля. Хотя бы листочки клали под клавиатуру, а не вешали на самом видном месте! Представьте себе, например, кабинет бухгалтера, каждый день — куча посетителей (своих сотрудников и извне), а на мониторе бухгалтерши висит стикер со всеми паролями (АД, вход в БД, Интернет, почта, банк-онлайн и т.д.) И не мудрено, что периодически какие-нибудь недохакеры (все пароли-то известны) получают нелегальный доступ к БД и пр. авторизованным сервисам, и отследить такие заходы не так просто. Недавно зашел к одному начальнику отдела, настраивал ему компьютер, а когда он вышел, взял листок с паролями сотрудников его отдела и отксерил на его МФУ. Потом разбирался с ними и их начальством; ведь так любой их посетитель может поступить.
чтобы листочки не клеили надо пояснять как правильно хранить бумажки с паролями.
Пару раз наказать и пройдет. Даже необязательно финансово — сменить пароль, когда работника нет на месте. Одного раза уже может стать достаточно. Точно так же можно с теми, кто не блокирует компьютер, покидая рабочее место.
не надо за это наказывать — это не плохо. надо пояснять как правильно это делать.
Если не плохо, то и проблемы нет. Так? Так. А если же так делать нельзя, то это плохо.
Знакомый на банковских картах везде пишет пинкод.
Фишка в том, что пинкод он пишет не правильный :D

Пришла в голову идея так же клеить бумажки с неверными паролями и в логах это смотреть.
Развитие идеи, писать 4 неверных пинкода, намекая что есть один верный, и его можно угадать…
Всё просто, надо писать один пинкод, но 1 похожей на 7-ку, или наоборот, 5-ку на 6-ку, в общем вариантов много.
Нет, просто плохой почерк :)
Мне так как-то фирменную бумажку с пинкодом выдали в банке, где сам код был так фигово пропечатан (такое ощущение что на убитом в хлам матричном принтере через копирку вместо ленты), что пришлось так собственный пароль угадывать — было не понятно 3 там или 8 в одной из позиций и 5 или 6 в другой.

Что давало 4 возможных варианта. Только с 3й попытки угадал…
мы боролись с пользователями

вся суть.
UFO just landed and posted this here
Мне кажется автор статьи совсем не учитывает что если в домене включить двухфакторную аутентификацию или аутентификацию исключительно по токену (т.е. вообще без пароля), то куча софта которое это не поддерживает, отвалится. Пароль короче 8 символов в ntlm давно уже не безопасен, а значит остаётся периодическая смена либо куча паролей на каждую систему, но тогда прощай SSO. С разноригистровыми паролями согласен, уж лучше фразу из 20 символов применять.
да. надо в 2018 году встать и честно сказать — SSO ИДИОТСКАЯ идея идущая вразрез с практиками _безопасности_

Гораздо безопаснее ввести один раз пароль и не вводить его везде, а ещё лучше использовать windows hello (при входе в ПК вводить PIN), в итоге тем самым вообще не вводить пароль и не позволять кейлогеру его перехватывать

UFO just landed and posted this here

Я пин из 4-х символов предлагаю вводить, а дальше везде SSO, где здесь сложный пароль? Аргументацией свою точку зрения. Если у вас есть в компании SOC, то легко выявите и подбор и ввод PIN-кода инсайдером. Если нету — лучше длинные пароли из четверостиший.

UFO just landed and posted this here
ИДИОТСКАЯ идея в 2018 году это доступ по паролю без двухфакторной авторизации
Проблему в некоторых организациях усложняет то, что нужно иметь по 100 паролей к 100 АРМ (АСУ).
Соответственно люди хранят логин и пароли отдельных файлах. Т.е главное получить доступ к учётной записи, и всё, остальные потуги специалистов в других системах по информационной безопасности рассыпаются в прах, хоть ты делай пароль в 64 символа с цифрами буквами и блек дежеком.

Запускайте на ПК пользователей ПО которое ищет пароли в файлах, привет функционал DLP. Дорабатывайте свои АСУ для работы через SSO.

Я пользователь. Про ПО не знаю, просто парк большой наверное около 100 тыс. машин.
АСУ более 6 тыс (ну это с подпрограммами, реально где то 500, точной цифры нет).

Если в борьбе безопасников с бизнес подразделением победит безопасность, бизнес закроется :) (безопасность этого часто не понимает, по крайней мере та часть что исполнители).
p.s. а ведь бывает так что уровень доступа сотрудника к информации такой, что сканировать его файлы не желательно.

Безопасность найдет другие способы, вероятность что кто-то свободно входит в кабинет директора минимальна

В больших организациях это могут быть не только члены правления, ограничения на доступ и правила могут быть не только внутренними.

UFO just landed and posted this here

Лучше фразу "Антошка картошка пироги роги", стойкость больше, запомнить легче.

Это в случае если такая фраза одна/несколько. Шаблонизировать при регулярной смене пароля такие фразы сложно. Ну или получится монстр типа «Антошка картошка пироги роги 08_A»

Не надо шаблонизировать, придумайте другое четверостишие. После третьего повторения и трех раз ввода с клавиатуры, уже не забудьте.

У вас хорошая память, вы просто не понимаете что у других она может работать по другому.

UFO just landed and posted this here
Этого сисадмина не знает даже гугл, даже с развёрнутой фразой. (Неужели Лукьяненко — не первоисточник?)
UFO just landed and posted this here
Гугл оказался слишком зациклен на козлах, блин, чтобы найти Козлыблина.
Ну и «Бриллиантовый дождь», вроде, в интернете датируют 2004 годом, что на пять лет позже сорока тысяч обезьян в «Фальшивых зеркалах».
Еще нужен вариант «Не знаю своих паролей, храню их в кипасе».
вы используете кипас для входа в windows?
это кстати ключевой вопрос — пароль для разблокирования компьютера и пароль для разблокирования паролехранилки и SSO должны быть РАЗНЫЕ пароли.

первые два в голове — третий уже можно в паролехранилке хранить.
я знаю только 3 пароля.
1. От битлокера (да не лучшее решение, но что то)
2. От учтеки виндовс (что бы собственно войти)
3. От менеджера паролей.
UFO just landed and posted this here
Ну наверно проще заставить помнить один сложный пароль «всю жизнь», чем заставлять запоминать разные и сложные пароли каждый месяц-три.
В том смысле, что если нет требования по смене пароля, то можно относительно безболезненно повысить требования к сложности пароля.
UFO just landed and posted this here
для того чтобы не было паролей 123 и прочил популярных — должен быть процесс проверки таких паролей отделом ИБ. Регулярный и автоматический. С автоматическим же лишением премии и блокированием аккаунта того, кто поставил такой пароль. Невзирая на чины и заслуги.
UFO just landed and posted this here
это вопрос работы с персоналом и найма адекватных людей.
UFO just landed and posted this here
Если вы заставите адекватного человека, знающего себе цену, раз в месяц запоминать очередную мешанину из букв и цифр, то это адекватный человек попросту сменит место работы.

А те люди, которых вы готовы принять как адекватных и которые поддержат вашу инициативу — скорее всего бездари, у которых выхода не будет кроме как плакать и продолжать ржать кактус
вы абсолютно неверно восприняли мой комментарий.

я ПРОТИВ того чтобы люди запоминали мешанину из букв и цифр. я ЗА то чтобы они ЗАПИСЫВАЛИ достаточно сложные пароли. и имели 1 который помнят. тоже сложный (25+ символов), но простой для человека.

комментарий же про тех пользователей, которые не сделали сложные пароли к сервисам и не записали их, а вместо этого сделали пароли вида `123q1w2e3r4!!!`

В вашем пароле 14 символов, даже с учётом предсказуемости вариантов очень много, а если переставить хотя бы пару цифр, то в нормальных условиях практически невозможно.

для того чтобы не было паролей 123 и прочил популярных — должен быть процесс проверки таких паролей отделом ИБ.

А почему кто-то должен иметь доступ к явному чтению паролей? А сами пароли регулируются установленными правилами программ при установке, изменении пароля.

Знаю как минимум одну крупную мировую корпорацию которая брутфорсит пароли сотрудников на предмет их слабости.

Одно дело сам пароль, другое дело что хранится в системе для проверки введенного пароля, обычно системы не хранят пароли как они вводятся. А работать с хешем разных по времени пользовательских паролей и хешем не рекомендуемых паролей это чуть другое чем с самим паролем.

Пункт «Использую шаблон и меняю его часть.» всё же думаю было уместней сократить до простого «Использую шаблон.», т.к. не всегда при использовании шаблона меняется только часть пароля, можно и весь пароль по некоему алгоритму менять.
У администраторов есть «лазейка» при административной смене пароля политики не работают — можно установить такой же как и был.
Когда пароли часто меняются после каждой мены начинаются блокировки по подбору — часто меняющиеся пароли сложно запомнить, поэтому их чаще сохраняют в автозаполнении браузера и ещё куче не очень безопасных мест. Особый шик: забытая пользователем сессия с запущеным например IMAP клиентом где-нибудь на всеми забытой виртуалке… Или сохранённый пароль в настройках прокси сервера в куче конфигурационных файлов.
Вообще single sign-on — лютое зло. Пароль человек должен помнить от своей паролехранилки (и менять время от времени), он должен быть достаточно просто для запоминания и длинен (25+ символов).

Остальное может иметь какую-угодно политику. Хочет руководство видимости безопасности — пусть хоть каждый день пароль меняет. Я его всё равно генерю KeePassXC и не знаю вообще.

Вопрос в том, что надо обучать подьзователей информационной безопасности. Доносить до них что безопасность в компании это не задача «му**** из отдела ИБ», а КАЖДОГО сотрудника от уборщицы до ТОПа.
Мне кажется, обсуждение политики в отношении паролей можно вести только в контексте значимости ресурсов, для доступа к которым эти пароли используются. И обсуждение должно вестись с учетом всех значимых факторов, влияющих на безопасность, в каждом конкретном случае. А то может возникнуть ситуация, когда сложные пароли, сформированные системным администратором, затем массово рассылаются каким-нибудь кадровиком по электронной почте в виде открытого текста единым списком всех пользователей с их логинами и паролями.
Peter Guttman в своей книге Engineering Security совершенно согласен с автором: регулярная смена паролей — зло. Аргументы (с результатами тестов) в книге.
UFO just landed and posted this here
вот да, это неплохие весьма шаблоны.
Сам использую фразы из 3-4 русских слов в англ раскладке разбавляю случайными символами. И длинный и запоминается.
Единственный минус — очень неудобно вводить на мобильных устройствах (когда нет одновременно русских и английских букв на клавишах).
До недавнего момента у меня были корпоративные пароли из смеси нескольких слов в другой раскладке символов под 20-ть.

IT, начитавшись методичек по снятию ответственности, поставило в домен требования большие/маленькие+цифры+всякая мура со сроком смены 30 дней.

Теперь у меня пароли вида Qwerty123 4 5…

Безопасность — взлетела до небес, я гарантирую это на 146%
UFO just landed and posted this here
использую «пароли» для секретных ответов.
Девичья фамилия матери? GBTHpD. Да, странная, но у неё Польские корни.
Когда-то вообще делал ответами на секретные вопросы случайные сочетания символов, которые не запоминал. Потом прекратил.
Не, их всё же надо помнить.
Просто я воспринимаю это, как еще одно поле пароля.
Ну да, я потому и перестал так делать. Когда наткнулся, что некоторые сервисы используют их не только для восстановления основного пароля, но и ещё периодически спрашивают «на всякий случай» при выполнении важных операций.

Ещё как вариант — литературный.
Строчка из какого-нибудь известного стихотворения, плюс соль из цифр/спецсимволов (если есть требование, чтобы они были).
Получается и достаточно длинно (это уже не пароль, а целая фраза). И не забывается.
И менять просто. В январе первую строчку, в феврале — вторую и т.д.

«Чего-чего я там на единицу заменял… l или i? Не помню». Представления о шурпе тоже со временем могут меняться.
Я одобряю только метод Кащея: у юзера флешка, на флешке раздел, в разделе файл, в файле пароль. Воткнул — открылось, вынул — закрылось. Нужен доступ к чужому компу — позвони админу, он у себя кнопочку нажмёт, и по своей флешке зайдёшь.
UFO just landed and posted this here
Любой способ усложнения входа в систему — боль. Смена паролей, двухфакторная авторизация, флэшки и т.д. — добавляет ежедневного негатива в работе. Я стараюсь без крайней необходимости не заходить на сайты с двухфакторной аутентификацией. С одной стороны получить sms на мобильный не сильно сложно, а с другой стороны — дополнительное препятствие, которое надо преодолеть.

Регулярная смена пароля решает один конкретный кейс: пароль утёк, и например конкурент может годами смотреть переписку руководства, финансовую деятельность и т.д. Если злоумышленник не совершает каких-либо сильно заметных действий, это может очень долго никто не замечать.

Думаю, будущее за авторизацией по отпечатку пальца, радужке и т.д. И сотрудников не нужно мучать регулярными сменами пароля или 2FA, и кто попало не войдёт.

За собой заметил, что в онлайн сервисах, которые требуют регулярную смену пароля, я вообще не утруждаю себя запоминанием этого пароля: либо вхожу каждый раз через «восстановить пароль» либо просто храню пароль в менеджере паролей браузера. Однако Яндекс Браузер мне на днях сделал пакость: было несколько запомненных логинов-паролей к одному сервису, и в один момент бац — и остался только один. Остальные исчезли. Ну и как доверять хранилкам паролей после такого?
К опросу.
У меня есть 5-6 паролей зубодробительной сложности — использую ротацию этих паролей или их связки типа пароль1+пароль2.
Слава Богу, у меня такой проблемы нет! Все пароли впорядке, доступ к компу и к моей учетной записи только у меня:)
В организации, it-инфраструктуру которой за восемь лет не смогли «взломать» ни разу, рекомендуемый пароль был написан на доске в каждой комнате. Персонал: от бабушек-уборщиц, до менеджеров-хипстеров, бородатых программистов и топов с золотыми айфонами — все они банально модифицировали этот пароль согласно своей методике. Да были разные проблемы, но подобрать пароль ни одному из аудиторов не удалось ни разу -а пароль-то вот он на стене! В это сложно было поверить: 6 топовых российских компаний, предлагающих иб-аудит, просто не смогли справиться со своими заявленными функциями, согласно заключенному договору. Это не значит, что проблем не было — внутренняя служба их периодически находила и решала, но внешний аудит руками огранизаций-завсегдатаев «хакерских дней и ночей» по факту оказывается слабым подобием реального хака. И внутренний аудит оказался покруче разрекламированных парней. Просто из-за системности подхода — безопасность это не только пароли, правильней сказать совсем не пароли. Пароля вообще может не быть.

По своей сути пароли уже давно должны бы отмереть — на массовом рынке уже минимум пять лет существуют технологии позволяющие массово отказаться от них. В наши дни, когда стоимость незаметного получения чужой sms около полутора долларов, а реестра dns траффика произвольного ip около 50 за сутки, нужно просто понять, что безопасность сегодня «делается» иначе, чем озвучивается на конференциях. И пока орды свежеиспеченных «CEH» вклиниваются своими дырявыми микротиками в трафик, да и просто пользуются дефолтными паролями для доступа к провайдерскому оборудованию, ничто не мешает нормальным ИБ строить безопасные внутренние сети, давать безопасный доступ сотрудникам в интернет. Но, к сожалению, ИБ сегодня это бизнес. И делают его не очень компетентные лица с завышенным самомнением и избыточными полномочиями.

В среде ntlmV2 однозначно нужно менять пароли, если учитывать квалификацию большинства сисадминов. Это конечно не спасет, но может немного усложнить взломщику жизнь и замедлить его
Вообще, на мой взгляд, нормально менять пароль раз в большой промежуток времени: где-то раз в полгода. Даже используя нормальный шаблон всё будет в порядке. К тому же шаблон может быть, при грамотноим использовании криптостоким, например
строка из песни измененная неким образом: wake me up when September ends — >w@k3M3upwh3nz3pt3Mb3r3ndz, (a->@, e->3, s->z m->M), а далее можно использовать другую песню (или любую строку) по схожему правилу.

Если же менять слишком часто, то никто не будет «париться» и будут просто менять цифры. Но если менять слишком редко, то можно столкнуться со слитой базой причем не обязательно нашей базой, ведь люди часто ставят в нескольких местах одинаковый пароль невзирая на запрет.

А вообще двуфакторная аутентификация рулит :)
рулят на самосвале… двухфакторная аутентификация просто достала, а уж «несесурность» ее выше всех возможных пределов. Заполучив доступ к телефону, ты можешь восстановить все аккаунты всех ресурсов, которые ты когда-либо посещал.
Двухфакторная авторизация НЕ равно СМС с одноразовым паролем на телефон. Это только один из возможных видов ее реализации, причем действительно довольно плохой.

А если есть восстановление доступа по СМС (без знания пароля) это вообще НЕ 2х факторная авторизация. Т.к. собственно фактор тут только один — доступ к телефону.
Я в курсе — застал еще времена нормальной двухфакторной авторизации, с одноразовыми токенами и даже код-картами. Когда-то даже у Сбера код-карты были (по ним можно было подтверждать транзакции до 3 тр).

но, к сожалению, «соверменные» варианты двухфакторной реализации предполагают только одну имплементацию, «кощееву смерть», где именно «телефон — ключ ко всему».

На него как приходят коды подтверждения, так и восстанваливаются пароли. Несмотря на очевидную губительность такого подхода, под двухфакторной авторизацией понимается это и только это, и все, кому ни лень, внедряют ее исключительно в таком формате.
Ну далеко не везде, хотя явный перекос конечно есть.
Стараюсь такими не пользоваться по возможности или не доверять существенные деньги и/или ценные данные.
Поискать придется, но найти можно. Например в моем случае:
— В одном банке (Авангард) у меня в качестве 2ФА скретч-карты с одноразовыми паролями + ЭЦП на флешке (СМС тоже можно, но только самые мелкие операции с ограничением по сумме и кол-ву, чуть что-то более серьезное — только коды с карты, никаких СМС)
— В другом (ВТБ24) аппаратный генератор одноразовых паролей. В который еще и банковскую карту нужно вставить, чтобы он заработал и выдал правильный пароль, точнее насколько знаю пароль генерирует как раз чип в банковской карте, а устройство лишь обеспечивает карте ввод-вывод (экранчик, клавиатуру и батерейку для питания)
— в гугле и множестве зарубежных сервисов 2 вида приложений-аутентификаторов, генерирующее пароли (стоят на устройстве, в котором не то что интернета нет, а вообще внешней связи, кроме как по вручную подключаемому проводу или втыкаемой флэш-карточки — связь этим приложения не нужна, т.е. чтобы добраться до закрытого ключа на основе которого генерируются пароли, нужно физически заполучить это устройство, удаленный доступ к нему невозможен)
— еще в 2х важных (денежных) месте другой аппаратный генератор паролей, а номера моего телефона там даже не знают

Есть конечно учетки в таких местах, где все на СМС и один только телефон завязано, но в таких у меня ничего ценного.
Очень подмораживают требования разных систем к индивидуальной сложности (по их мнению) паролей. Одному — гони букву, другому — спецсимволы низя, третьему — еще какой другой шаблон. Из-за этого понижается, а не повышается «сесурность» — вместо того, чтоб самому помнить свои пароли по индивидуальному алгоритму, приходится подстраиваться под эти причудливые механизмы.

пользоваться пасс-менеджерами — давно уже перестал. это дополнительный негативный рубеж, хоть и менее раздражающий, чем пропагандируемое здесь «двухфакторная авторизация», когда без СМС сейчас простейшего действия не сделаешь.

Ну вот скажите мне, идиоту несовременному, нафига на exist.ru смс подтверждение того, что сменил офис по умолчанию???

это «мы заботимся о вашей безопасности» уже достало. правильно здесь сказали про пин-код из 4 цифр — при должной политике блокировок этого вполне достаточно. Тем более, что при такой параноидальной двухфакторной защите всего-всего через интернет можно запросто оплачивать покупки, просто зная ОТКРЫТЫЕ данные карты (СVV по какой-то непонятной причине — указан открытым текстом, а 3ds далеко не все получатели требуют, и тут получается зависимость от опции, установленной конкретным продавцом, а не от общей защиты системы)

В банках со сменами паролей немного жестче. Приходится соответствовать рекомендациям ЦБ и постоянно быть готовым к разного рода аудитам, в т.ч. По части ай-ти. Приходится и вводить пароли из 10 символов с обязательной заглавной, цифрой и спец-символом и это встречает до сих пор шквал негодований пользова елей, которые и так не могут пин-код от карточки запомнить, так им каждые 3 месяца надо ‘опять’ сменить пароль на АД, на АБС, на контуры, фонды и прочие банк-клиенты. Это очень не удобно, но деваться некуда совсем. Игнорировать эти требования пебе дороже.


Насколько было замечено любой взломостойкий пароль будет любым в меру длинным русским словом, записанным на англицской раскладке с большой буквы и одна цифра. Такие пароли без клавиатуры и мата не введешь просто так. Ну, и, удачи в брут-форсе :-)

У меня как-то был пароль из длинного русского словосочетания, записанного в английской раскладке. Он мне всем нравился, пока не пришлось срочно вводить этот пароль в тот момент, когда у меня кроме телефона под рукой ничего не было. Из-за подмены раскладки это было очень не быстро.
UFO just landed and posted this here
Вот только любое словарное слово с простейшими шаблонизируемыми мутациями (смена раскладки, конкатенция с простыми последовательностями, нЕрОвНыЙ пОчЕрК) точно так же легко подбирается по словарю.
> Как вы придумываете новые пароли для входа в систему?
Замечено, что Windows (или LDAP или кто там не знаю) хранит 6 последних паролей.
Я меняю 6 раз на случайный (лучше записать на бумажке, чтоб не ошибиться)
А на 7ой раз восстанавливаю свой старый добрый пароль.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Сисадмины не догадались просто сделать 20, решили, что 6 будет достаточно
Можно еще на стороне безопасников брутфорсить пароли пользователей как по словарю, так и тупым перебором. Если нашли пароль, то принудительно сбрасываем его для пользователя и запоминаем в словарь, как ненадежный. Таким образом шаблонизация не поможет, т.к. алгоритм брутфорсера быстро напорется на легкую модификацию уже известного пароля.
UFO just landed and posted this here
UFO just landed and posted this here
Меняю пароль как носки в анекдоте — правый с левым. Админ совершенно не против, ибо смену паролей включил только под давлением вышестоящей инструкции.
А у нас так там «память» на четыре последних пароля точно. Вот это я считаю уже галиматья. Получается в системе хранятся твои старые пароли. А теперь обьясните мне — что опаснее? Слабый пароль или хранение всех образцов паролей пользователя в корпоративных системах.
Меня это нешуточно беспокоит. Вот правда.
Я думаю можно докопаться и сказать, что это личные данные и храниться без согласия пользователя права не имеют.
Хранятся не пароли, а хэши от них.
Докопаться не сможете, это рабочий процесс и корпоративная система. Там нет ничего Вашего, все принадлежит организации, даже Ваши пароли.
Свое согласие Вы дали в момент трудоустройства на работу подписав документы и инструкции.
UFO just landed and posted this here
Вроде бы первый стандарт, который говорит об этом — NIST SP 800-63B D IGITAL I DENTITY G UIDELINES: A UTHENTICATION & L IFECYCLE M ANAGEMENT (https://doi.org/10.6028/NIST.SP.800-63b). Возможно, сойдет как аргумент для руководителя:

«Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
However, verifiers SHALL force a change if there is evidence of compromise of the
authenticator.»
Регулярно менять пароли это нормально. Ненормально менять их слишком часто-раз в месяц или чаще. Безопасность всегда создает неудобства свободолюбивым пользователям которые не любят бюрократию, но придется потерпеть.
А ещё у 15-20% пользователей, смена пароля приводит к моментальной блокировке учётной записи, т.к. мобильный почтовый клиент и Wi-Fi c радиус авторизацией, плевать хотели на ваши политики безопасности.
Sign up to leave a comment.