Постоянная смена паролей не такая уж и хорошая затея

    image Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное.

    Данное явление дошло до всех в различный период. Автор столкнулся c этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.

    Для тех, кто пользовался pass-менеджерами типа KeePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена.

    Постоянная смена паролей, вместо того, чтобы повысить уровень безопасности внутри организации приводит только к тому, что ее, безопасности, уровень понижается. И для этого есть целый ряд адекватных причин.

    Большинство рядовых пользователей стремится свои пароли запоминать и pass-менеджерами пользуются далеко не все. Если вы рекомендуете своим родным или знакомым менять пароли раз в несколько месяцев, вы оказываете им медвежью услугу. Ведь постоянная смена пароля ведет:

    • К его упрощению, ведь сразу запомнить сложный пароль тяжело, а пользоваться им придется, по всей видимости, постоянно;
    • Как следствие, используются, например, только цифры, или буквы имени, даты и т.п;
    • Если политика безопасности требует криптостойкий пароль с переменным регистром, цифрами и спец. символами, их начинают записывать на бумажки и клеить под клавиатуру. А некоторые еще и «ламинируют» скотчем. В особо тяжелых случаях клеится это дело на монитор.


    image
    Ярчайший пример «записывания», а в данном случае — распечатки паролей. В 2015 году на Хабре была статья о взломе французского телеканала, где в эфире в кадр попала обсуждаемая «памятка»

    Окей. Если на персональном рабочем месте у нас есть возможность установить пасс-менеджер и не знать беды, то существуют ситуации, когда человек просто не может установить стороннее ПО на рабочий компьютер.

    Вы никогда не задумывались, почему при проведении некоторых сложных операций в банке, кассир так долго, по вашему мнению, возится не пойми с чем?

    В своей работе рядовой сотрудник (кассир) использует около десятка учетных записей в различном ПО или его сегментах. Кроме входа в учетную запись при проведении операции каждую нужно подтверждать собственным паролем плюс, достаточно часто — паролем старшего кассира или руководителя отделения (все мы слышали этот крик «КОНТРОЛЬ!»). От банка к банку все пароли могут меняться около раза в месяц, а некоторые и того чаще.

    В теории, все выглядит прилично. Пароли везде, где это необходимо, не меньше восьми символов, везде разные. На практике все они повсеместно записываются на бумажках и хранятся в кармашках жилеток или под клавиатурой.

    По итогу, вместо двухуровневой системы защиты мы получаем решето с уже упомянутыми «памятками» только потому, что бытует мнение о том, что «менять пароли просто так — это полезно».

    Одним из наиболее распространенных путей запоминания пароля, если использование pass-менеджера невозможно, но пароль менять каждые N дней приходится, является его шаблонизация. Данный факт подтверждается исследованием в области безопасности сотрудниками Университета Северной Каролины еще за 2010 год.

    В своей работе они сымитировали генерацию паролей пользователями исходя из принципа шаблонизации, а после, исходя из этого, провели «атаку» на счета с учетом перебора максимально вероятных паролей до того, как система безопасности среагирует на происходящее. По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей. На тот момент исследователям с учетом шаблонности паролей удалось получить доступ к 17% (!!!) банковских счетов менее чем за 5 попыток. Еще 41% процент счетов был взломан за, примерно, 3 секунды.

    С более подробными алгоритмическими выкладками можно ознакомиться в самой работе.

    Это исследование еще раз подтверждает то, что однажды созданный сложный пароль там, где у человека нет возможности использовать специализированное ПО для хранения ключей, лучше, чем постоянная замена более простыми вариантами.

    Ведь наш мозг лентяй по природе своей, поэтому стремится все упростить и шаблонизировать. А это, в свою очередь, приводит к тому, что при попадании наших даже неактуальных данных в руки более-менее ушлых злоумышленников, постоянная смена пароля, если он шаблонный (а так чаще всего и происходит), нам не поможет, а только исключит возможность использования по-настоящему сложного для взлома ключа.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 231

      +1
      В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц.
      А в некоторых организациях такие инициативы исходят от начальства, а админ вынужден подчиняться.

      Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.
        +6
        Намного большая дыра — это когда в организации 50% штата женщины и девушки и у каждой под клавой лежит бумажка с новым пассом.

        (Нет, я не выдумываю).
          0
          Ну тут сильно зависит от целей защиты. Если просто от взлома «из интернета», то бумажка довольно безопасна. Особенно если штат в 2-3 человека и у каждого свой кабинет. Если же народу много, да еще рассаженных «по модному» (кучей в большом помещении с перегородками), тут уже бумажки выглядят предупредительным в голову.
            0
            Основная цель смены локальных паролей к учетным записям — защита от взлома «изнутри». В том то и проблема.
              0
              Бумажки под клавиатурой тут ускорят дело, да.
              Но даже если не будет смены паролей, то со временем всё равно сотрудники друг другу расскажут свои любимые пароли, которые они и на работе себе установили. Ведь бывают ситуации, когда сотрудника нет на месте, а нужны файлы с его компьютера или запустить под его учётными данными что-либо.

              Разумеется, мы говорим не о фирме, где грамотный системный администратор правильно настроил права доступа и всех научил, как действовать, когда им нужны файлы другого человека или нечто подобное — ситуации, когда пароль и передаётся третьим лицам.
                0
                Это с чего вдруг резко может понадобится доступ к файлам другого сотрудника?
                  0
                  А с того, что так устроен рабочий процесс и такие нерадивые пользователи — хранят рабочие документы на рабочем столе, а не в сетевом расположении.
                    0
                    а потом при открытии «A:\Какой-то_Очень_Хитрый_Отдел\Уважаемая_Фирма_Заказчик\Офигеть_Какой_Важный_Вариант_Проектов_Для-Кого-то_Очень_Важного\Важный_Проект_Важной_Фирмы\Очень_Короткий_Адрес_Расположения_Объекта\Краткое_Описание_Очередного_Варианта_Решения_Задания\Обзорное_Что-то_От_Числа_Месяца_Года_С_Учётом_Замечаний_И_С_Поправками_От_Число_Месяца_года_Правленое.<расширение>»
                    Программа или модуль сделает грустные глаза и на этом всё. Т.к. путь от 250 знаков чреват очень неожиданными открытиями.
                    Да и лазить замучаешься, особенно если проект размазан по куче каталогов…
                    А некоторые специальные програмки распространяемые в принудительном порядке, принципиально с сетевыми дисками не работают, ни под каким соусом, за исключением жёсткого монтирования каталогов в локальную файловую систему, и то, не без сюрпризов.
                    И не у всех сервак способен выдавать гигабайты всем желающим.
                    У нас пара компов, на А10 и виндовс 10, с сетевых дисков тащит(открывает) файлы со скоростью 50-200 кб/с.
                      0
                      Я же не утверждаю, что это правильный рабочий процесс и так надо делать. Это просто иллюстрация того, что такие ситуации имеют место быть. А уж почему они возникают в отдельно взятых организациях — вопрос к тем, чья это зона ответственности.

                      У нас вот программист 1С любит длинные названия папок с огромной глубиной вложенности.
                        0
                        Никакой альтернативы серверному хранению документов нет. Кроме технической неспособности какого-то софта работать с сетью (с сетевыми шарами). В идеале схема должна выглядеть так — каждому юзеру при входе мапится пачка сетевых дисков с нужными документами, а на рабочем столе раскладываются ярлыки с не очень нужными документами.

                        «Лазить замучаешься» — можно решить, опять-таки, группировкой ярлыков в локальной папочке. Документов на рабочих станциях быть не должно.

                        На моём предыдущем месте работы юзеры сначала горестно вопили, что когда документы хранятся на сервере — «это неудобно, это (якобы) тормозно» и т. п. После чего им объяснили, что на серверах всё регулярно бэкапится, и лежит не на десктопных ненадёжных дисках, а на системах покрепче. В случае же вылета рабочей станции разбираться и тянуть данные с неё никто не будет — им выдадут новый комп, и всё. Даже если диск цел — то данные с него будут извлекаться только по служебкам, завизированными лично начальником отдела и директором фирмы. А если с диском на рабочей станции проблемы, и какие-то документы оказались потеряны, то будет виноват тот самый конкретный %username%, который эти документы на этом диске хранил, и сей факт будет иметь для %usename% определённые организационные последствия.
                        0
                        Мне казалось, что с копеечным Office 365 с SharePoint, бесплатными облачными хранилищами и т.п. эти проблемы исчезли у практически у всех. А всякие владельцы жутких секретов в состоянии оплатить нормальную инфраструктуру и администрирование.
                        +2
                        Бюрократия безжалостна. У нас один раз вообще пришлось подписываться за человека, который уже умер. Смерть не может являться причиной невыполнения проекта.
                  0
                  Подтверждаю, пароль который действителен 30-60 дней, плохо запоминается, и многие его куда то записывают. Так я когда проводил проверку организации, увидел много нарушений в виде записей на клавиатуре, открытом блокноте на столе, лист бумаги, или стикер который где то рядом.
                  0
                  Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.


                  Ну я прям не знаю. Если легкоподбираемые пароли всё равно позволят получить доступ ко всему, хоть их и несколько — один сложный ИМХО всё же надёжнее будет. Его как минимум дольше подбирать.
                    0
                    Давайте представим, что кто-то хочет целенаправленно получить доступ к неким аккаунтам жертвы. И у жертвы один пароль на все аккаунты.
                    Варианты получения пароля:
                    1. Подбор.
                    2. Взлом базы хранения паролей всех сервисов, где есть аккаунт жертвы — может есть такие, где база плохо защищена и пароли в открытом виде.
                    3. Устроиться на ту же работу, где жертва и узнать пароль, поискав листочек с паролем на рабочем месте жертвы.
                    4. Есть ещё вариант — копаться в мусоре, ведь мало кто задумывается над тем, что он выкидывает.
                    И если Вам кажется, что третий пункт — глупость и никто этим заниматься не будет, то ошибаетесь. Зависит от того, кто жертва.
                    А бывают и просто мстительные коллеги.
                    Не вижу причин, чтобы разрешать пользователям использовать те же пароли, что и в их личных аккаунтах, не относящихся к работе, чтобы они потом были известны всем сотрудникам организации.
                      0
                      Давайте теперь представим, что у жертвы разные, но простые пароли на разных аккаунтах. И хакер их узнаёт подбором/перебором, не особо заморачиваясь копанием мусора, устройством на ту же работу и втиранием в доверие. Это быстрее и проще.
                        0
                        А теперь давайте представим, что наша жертва — никому не нужный чувак с работы, который косо посмотрел на коллегу-му**ка и этот коллега решил отомстить.
                        И подсчитаем количественное соотношение наших гипотетических ситуаций — какая встречается чаще?
                          0
                          чаще встречается один простой пароль («домашний»), или еще и один сложный («рабочий») написанный на бумажке.

                          а вот подобрать этот сложный пароль коллеге с работы будет непросто, если он не знает так сказать «общих принципов взлома паролей».
                  +9
                  Там, где требуется регулярно менять пароли, те пользователи, которые помудрее, обычно добавляют в конце цифру, и при требовании смены пароля просто увеличивают её.
                    +6
                    Это и есть шаблонизация.
                      +1
                      А что делать?
                      Запоминать новый сложный пароль каждые три месяца — то еще удовольствие.
                        +2
                        Или каждый месяц. Об этом то и речь, что все шаблонизируют, ибо деваться некуда. По этой причине утечка даже старых БД может быть фатальной. Не говоря уже о «памятках» и прочих прекрасных вещах.
                          0
                          Ну если предположить что у нас утекла БД, то без принудительной смены у нас скомпрометировано 100% паролей, а так может ещё и пронесет кого. Да и шаблоны можно сделать такими, что не так просто будет подобрать пароль не зная шаблона, даже если будет n предыдущих паролей известно.
                            0
                            Какой процент девочек-рекрутеров будут заморачиваться сложным шаблоном?
                              0
                              Так эти же девочки не будут заморачиваться и генерацией сложного пароля даже если у нас не будет «протухания».
                              Понятно что «протухание» — далеко не самая полезная мера безопасности.

                              Мой комментарий был про ситуацию с «утечкой старой БД» когда выходит что без принудительной смены хуже чем с ней.
                                0
                                На самом деле есть достаточно простые и оригинальные методы генерации паролей для вот таких вот юзверей. Например вот такое: https://www.sicher-im-netz.de/dsin-muster-passwortkarte
                                Не то чтобы супер, но лучше чем обычный пароль «на всю жизнь».
                                  0
                                  Такой услугой пользуюсь после прочтения статьи
                                0
                                Вряд ли можно… Точнее сказать, сложный шаблон спасёт одиночную учётную запись (например, если Вы используете один пароль на все учётки, но этот пароль реально стойкий (под 40-50 знаков, где символ "♫" является одним из самых простых). Но если речь идёт о корпоративных учётках, то принцип шаблонизации плох тем, что ВСЕ сотрудники знают принцип шаблона. Тогда любой уволенный 3-4 года назад сможет «сгенерировать» сегодняшний пароль действующего сотрудника, а ведь инсайдерские взломы тоже составляют не малый процент причин утечки.
                                0
                                Погодите: Вы предполагаете, что утекли сами старые пароли? Или все-таки их соленые хэши?
                                  0
                                  Или пароли. Из файла \\server\share\boss\работа\пароли сотрудников.xls
                                  «А вдруг уволишься или заболеешь? Как на твой компьютер попасть?» Не везде же есть [грамотный] админ. Редкая смена паролей тут, правда, не поможет совсем.
                                  0
                                  Ну так утечка старой БД в случае без принудительной смены паролей еще хуже.
                                  Чем МойСложныйПароль№ хуже МойСложныйПароль? (Ну я не имею в виду именно эти три слова :))
                                  А если утекли соленые хэши старых паролей то вообще хорошо. Не идеально, но гораздо лучше. Особенно если хеш формируется на стороне клиента. Лишь бы после МойСложныйПароль9 не стал МойСложныйПароль1.
                                    0
                                    У нас именно так и есть, записи на листочках и шаблонизация и с пользователей этого не выбить. Если только надзирателей выставить, чтобы не записывали не куда.
                                    • UFO just landed and posted this here
                                        0
                                        Всё отлично, но вот после того как пользователь узнал и установил свой новый пароль — он должен его выучить. А если пароль сложный — то это тем более непросто для среднего человека. Соответственно, в промежуток времени между установкой пароля и его запоминанием — этот пароль будет у пользователя легкодоступен. На бумажке, на стикере, в заметках на телефоне… И чем хуже у человека память на такие пароли, и чем сложнее сам этот пароль — тем дольше этот «срок уязвимости», вплоть до момента получения нового пароля.
                                        • UFO just landed and posted this here
                                            0
                                            Даже если сотрудник пароль выучил, но потом хорошо провёл отпуск… :)))
                                  +2
                                  Я как-то из-за политики смен паролей в виндовом сервере (на который я очень редко захожу — тестовая машина) забыл пароль админа. После потраченных 3 часов вспоминаний и подборов больше не придумаваю абсолютно другие пароли, а добавляю цифры :)
                                    0
                                    Не катит, новый пароль не должен содержать части старого. А меняется каждый месяц. В итоге у всех пароли типа 1234567Ab и т.д. в разной последовательности.
                                      0
                                      А как система может это проверить?
                                      Она где-то хранит пароли?
                                        0
                                        Мне несколько раз попадались сайты, которые на попытку восстановить пароль ругались, что мой новый пароль отличается от старого всего одним символом. Вот такие вот сумрачные гении попадаются.
                                          0
                                          У Киви, например, есть проверка на использование ранее использованных паролей.
                                          Видимо, хранят старые хеши.
                                            +3
                                            Не, ранее использованные — это понятно. Хэши можно хранить и всё.
                                            А вот чтобы говорить, что у тебя новый пароль использует часть старого — нужно хранить сами пароли, а не их хеш.
                                              +1
                                              Можно и хэш хранить. Просто перед хэшированием и записью в базу нового пароля, несколько раз прогоняем его по шаблонизации, описанной выше в статье, и сравниваем со старым кэшем. При наиболее банальных модификациях — этого достаточно, говорим айайай. А небанальные нас устраивают.
                                                0
                                                Как я понимаю, по правильному хешу никакой шаблонизации или схожести паролей не поймаешь.
                                                Если у тебя старый пароль только в виде хеша, то насколько на него похож новый пароль — не узнать.
                                                  0
                                                  При смене пароля надо вбить старый и например два раза новый. Тут то их и можно сравнить.
                                                    0
                                                    С предыдущим да, а с пред-предыдущим и ещё глубже?
                                                      0
                                                      Можно просить вводить еще пред-предыдущий! :D
                                                        +1
                                                        Старые пароли могут просто храниться в хранилище, которое может быть дешифровано текущим паролем. При смене пароля текущий добавляется в хранилище, а паролем от хранилища становится новый пароль. Но если пароль забыть и принудительно сбросить, то история паролей пропадает.
                                                        0
                                                        А-а… хе-хе. Ну да :)
                                                        0
                                                        Существует криптографическая теория обработки данных (гомоморфное ширование), при которой данные хранятся в зашифрованном виде, но при этом возможно выполнение операций над ними.

                                                        Т.е. теоретически можно хранить пароли так, чтобы их невозможно было расшифровать, но при этом определять вхождение в виде подстроки.
                                                          0
                                                          Ну если только так.
                                                            –1
                                                            Можно еще хранить три хеша: от пароля, пароля без одного символа, пароля без двух символов.
                                                            Срежем <Пасс1, Пасс2> и <Пасс1!, Пасс2">
                                                  0
                                                  Возможно хеширующий алгоритм позволяет сравнивает части паролей.
                                                    0
                                                    не хранит, пользователь сам вводит старый и новый пароли в процессе смены.
                                                  0
                                                  Или добавляют номер месяца, можно с определенным смещением.
                                                    0

                                                    я добавляю цифру в начале пароля, т.к. алгоритм проверяет, что новый и старый пароли начинаются по-разному :)

                                                    0
                                                    Опишу свой опыт: во всех организациях (сфера электроэнергетика) абсолютно все пароли знают все сотрудники, а смена пароля только бесит так как ты забываешь пароль и приходится его записывать… чаще всего бумажки с паролями валяются или на столах или еще где. Когда сотрудник уходит в отпуск он сообщает коллегам свой пароль и порой через электронную почту. Если бы был один пароль, то его бы легко запомнили все, но постоянная смена пароля приводит к последствиям которые описаны в статье.

                                                    В большинстве организацией в электроэнергетике не зарезан доступ к почте. Точнее зарезан но не совсем. На данный момент через браузеры я не могу законнектиться на свою gmail почту, но через Franz я могу законнектиться и кидать что угодно. На данный момент я могу ставить сторонний софт вплоть до Tor'а. И к слову: СБшники у нас бывшие военные.
                                                      +1
                                                      У нас когда ввели практику «протухания» пароля раз в месяц, всем пользователям (а это тысячи человек) установили один и тот же пароль по типу 123456Zz. Безопасность во все поля просто
                                                        +1
                                                        Могу поделиться опытом из своей сферы. Когда пароли истекают, то люди банально приписывают ещё одну цифру/букву. Всех бесит, так как сеть закрытая, и изолирована от интернета.
                                                        К примеру пароль MyPassword2015 превращается в MyPassword2016. Безопасности это никак не добавляет.
                                                          +12
                                                          Прекрасная история в тему
                                                          Как-то раз в советские времена довелось мне посетить «машинный зал» оборонного завода N. Прихожу рано утром, набираю на цифровом замке код — дверь не открывается. Набираю другой код, вхожу, включаю ЕС, иду ставить магнитные ленты на лентопротяжки.

                                                          Слышу сзади: «Стой, соколик, где стоишь, и руки вверх!» Оборачиваюсь. Бабушка — божий одуванчик с «макаровым». «Пошли, — говорит, — к начальнику охраны, будем разбираться, кто ты такой и как оказался на территории режимного ВЦ во внеурочное время». А мне-то что — допуск и предписание у меня есть. «Пойдёмте, — отвечаю, — раз такое дело».

                                                          Начальник охраны оказался бдительным соколом сталинского разлива. Пролистал мои документы, скривился и говорит: «В принципе, ты имеешь право здесь находиться, но есть одна большая неувязка. Я с утра код на двери в машинный зал сменил, но никому его не сообщал и не сообщу до завтрашней утренней планёрки. Ты его уже знаешь. Что это значит? У нас утечка информации!» И смотрит на меня исподлобья с хитрым прищуром.

                                                          Битых два часа пришлось мне ему доказывать, что я, недавний выпускник мехмата, страшным усилием мозга чисто случайно догадался, какой будет код на двери 2 января 1985 года, если предыдущий код был «1984».

                                                          ithappens.me)
                                                            0
                                                            Не такая прекрасная история, но произошла со мной
                                                            Студентом был на практике в банке. Все ушли на обед (я возвращался) а мне по памяти сообщили пароль, но он не подошел. Номеронабиратель был вверхногами (т.е. засунул пальцы в щель и нащелкиваешь их вверх — к себе) и с экраном. Первый ряд «1234», второй «5678», третий "#90*". Через несколько попыток я догадался что номер был продиктован правильно по расположению но по раскладки или телефона или клавиатуры. (кол-во рядов не совпадает, но не проблема) Приятно было наблюдать удивление админов когда они нашли меня в комнате от которой мне дали не верный пароль.
                                                            +4
                                                            Я просто меняю пароль 10 раз и выставляю свой старый пароль — лучше один хороший, чем новый на бумажке.
                                                            (ну и в системе нигде не надо перевводить пароль)
                                                              0
                                                              Интересный метод.
                                                                +1
                                                                А не проще уже начать пользоваться keepass?
                                                                  +1
                                                                  Возможно и проще, но не имею опыта с KeePass, да и не хочется еще и в паролях зависеть от третьего софта.
                                                                    0
                                                                    Ну это до тех пор, пока вы не введете свой любимый пароль в какую-нибудь корпоративную систему и вам его не пришлют его обратно email-ом в открытом виде (демонстрируя, что разработчики нужной супер системы чихать хотели на хэширование паролей в базе).

                                                                      0
                                                                      Являясь разработчиком, первую регистрацию прохожу с 5min email. Кроме этого я использую три пароля — для сайтов с низким, средним и высоким доверием.
                                                                        0
                                                                        Мне как-то попалась система, которая требовала пароль с буквами в обоих регистрах, цифрами и спецсимволами длинной от 7 и до 10 символов. В тот раз подход, подобный вашему, впервые дал для меня сбой, так как пароля удовлетворяющего таким требованиям у меня не было.

                                                                          0
                                                                          Либо вы меня не поняли, либо я вас, либо вам везло. Я тоже пользовался когда-то несколькими паролями и их производными для разных сайтов, теперь же keepass мои волосы гладкие и шолковистые.
                                                                        0
                                                                        А моя зависимость от софта принесла свои плоды. Когда-то, когда у меня стояла Windows 95 мне приходилось достаточно часто набирать серийный номер для продолжения установки винды. Вводить приходилось настолько часто, что серийник въелся мне в мозг, я сейчас его могу закрытыми глазами набрать. Сейчас этот серийный номер используется для генерации сложных паролей для определенной группы сайтов, с shift и без него (с shift числа заменяются спецсимволами), с перестановкой групп, с разной длиной. Для других групп сайтов используется другой серийный номер, уже от Windows XP)

                                                                        Считаю практику протухания паролей относительно небезопасной, ее нужно внедрять только там, где она, действительно, необходима.
                                                                        +1
                                                                        А как использовать KeePass для входа в систему?
                                                                          0
                                                                          Вот тоже думаю над этим. Пока придумалось взять или сделать USB брелок эмулирующий клавиатуру.
                                                                            0
                                                                            Можно использовать на стороннем устройстве, например, телефоне. Только пароль делать не 40-символьный с доп.знаками, а просто подходящий по политикам, легко набираемый. KeePass тут будет просто как памятка, а не источник копипаста.
                                                                              0
                                                                              Я для таких случаев пользуюсь 1Password. Пересел на него с KeePass.
                                                                              Для входа в сторонние системы использую 1Password для андроида. По моему гораздо удобнее чем записывать пароли вроде «gD2kJq0vMo1».
                                                                                0
                                                                                Спасибо, но нет. Я не буду покупать этот продукт. У keepass есть нормальная версия для мобильных. До недавнего времени долго не было адекватных версий для мак, но уже год как keeweb хорошо с этим справляется
                                                                      +3
                                                                      Использую шаблон пароля уже лет 10. поменял 3 работы, везде смена пароля каждые 30 -45 дней.
                                                                      Для личных целей использую пароль Буквенно-цифровой, большими и маленькими буквами, с использованием спец символов, меняю после подозрения на компрометацию, или по желанию.

                                                                      Был период (около 2х лет) когда демонстративно записывал пароль на бумажку и клеил на монитор, но как я понял, никого не волнует подобное поведение.
                                                                        0
                                                                        Самое прикольное это когда звонят и просят сказать пароль в упор не замечая приклеенную на монитор бумажку с этим самым паролем.
                                                                        0
                                                                        У нас в офисе больше половины сотрудников возрастом 40+ и почти все они хранят пароль от учётки на бумажке. Смена пароля каждые 2 месяца.
                                                                          0
                                                                          Шаблонизация паролей — всем известная беда. Ещё хуже бывает, когда работа построена таким образом, что отсутствие сотрудника вынуждает его сообщать свой пароль коллегам, ибо физически заменить его есть кем, а с временным доступом к его ресурсам (делам) для другого сотрудника никто заморачиваться не будет. И такое повсеместно, даже в банках. И так будет продолжаться до тех пор, пока целью будет безопасность на бумаге, а не в реальности.
                                                                            0
                                                                            А в случаях такой секретности, нельзя использовать «железные» решения?
                                                                              0
                                                                              дополнительные затраты, а при отсутствии знаний штатных админов — весьма существенные. интегрировать смарткарты в корпоративные приложения, у которых их нет «в коробке» тот ещё гемор.
                                                                              +2
                                                                              image

                                                                              Мой заказчик использует вот такие штуки. У сотрудника есть постоянный пин-код и регулярно изменяющийся номер, который он видит на экранчике.

                                                                              Что скажете насчет безопасности (и клиентолюбивости) такого метода?
                                                                                +1
                                                                                У нас сотрудники иногда пропуски забывают дома, либо теряют их, чего уж говорить про такие токены. Забыл токен = топай домой за ним? 1час в одну сторону + 1час в другую = 2часа потерянного рабочего времени. Никому не в радость — ни директору, ни работнику.
                                                                                  0
                                                                                  Ну вот у заказчика не забывают. Видимо есть удачная мотивация. Или решение проблемы забытого токена на месте, не знаю. Собственно не вижу большой разницы с рассылкой пароля через смс/приложение на мобильном.

                                                                                  Мобильный, конечно, тоже можно забыть дома.
                                                                                    +1
                                                                                    Для таких забывашек придумали приложение на мобильном.
                                                                                      0
                                                                                      Я в курсе про OTP генераторы, но ведь речь идет про физический исполнитель (см.картинку), и ни слова про «используется два варианта — физический или программный». Как правило, если заказчик параноик, то он форсит вот такие железные токены, и не воспринимает программные модули, мол «вирус попадет и всё, кирдык». Тот, кто более-менее адекватен — другой разговор…
                                                                                      0
                                                                                      К карте-пропуску или токену нужна ещё одна приблуда, устанавливающаяся дома (как в гостиницах): пока не вынешь карту/токен из держателя, не закроешь дверь дома.
                                                                                        0
                                                                                        Хорошо когда один живёшь, а так с каждым приходящим-уходящим проблема будет.
                                                                                        +1
                                                                                        Да, именно так и должно быть. Забыл токен — иди домой, получай выговор за прогул. Потерял — готовься к худшему.
                                                                                          0
                                                                                          У нас такие были на одном проекте. Если потерял токен — то пишешь бумажку, платишь копеечку, старый деактивируют — дают новый. Потеря времени — да, но народ довольно быстро привык.
                                                                                            +1
                                                                                            Забыл токен = топай домой за ним?

                                                                                            Я токен просто на ключи вешаю. Связку ключей забыть сложно.
                                                                                              0
                                                                                              Да идти домой. И соответственно, терять в деньгах на штрафе, Не поверишь один — два раза и он всегда с собой.
                                                                                              На предыдущей работе были такие токены. Правда в дополнение к обычным паролям…
                                                                                                0
                                                                                                На токен можно повесить временный пароль с ограниченным сроком действия. Полчаса, скажем, вместо пина + циферок с токена надо будет вводить просто «ядебил», потом опять обычная схема.
                                                                                                0
                                                                                                Для RSA можно и программку на телефон поставить, не обязательно хардварные штуки — с ними дольше и напряжнее.
                                                                                                А так — на телефоне программу открыл, пинкод ввел, текущий пароль получил.
                                                                                                Сертификат выдается например на несколько месяцев. Сотрудник еще работает — продлили. Уволился — закрыли.

                                                                                                  0
                                                                                                  Полностью согласен. Одно устройство на все случаи жизни.
                                                                                                  И лучше если какой-нибудь keypass будет один, но с открытым API. Чтобы любую систему можно было подключить
                                                                                                –1
                                                                                                Достаточно 2 пароля запомнить. И делать ими рокировку раз в месяц. Сам использую keePass
                                                                                                  +7
                                                                                                  Недостаточно: у нас вот например пароль не имеет права совпадать с десятью предыдущими. Помимо того, что пароль принудительно меняется раз в месяц, обязан содаержать спец.символы, цифры и буквы в разных регистрах, и не содержать последовательностей одинаковых символов длиной больше двух.
                                                                                                    +2
                                                                                                    У нас на работе любители «своего пароля» меняют сразу 10 раз, и потом меняют уже на «свой нужный» :)
                                                                                                      +6
                                                                                                      Ха! Для этого есть опция запрета смены пароля чаще чем раз в сутки!
                                                                                                        +1
                                                                                                        У нас эта опция включена, а ещё включена опция блокировки аккаунта при вводе неверного пароля и есть сайт на котором можно различить аккаунт с помощью секретных вопросов. Но, на сайте есть ещё возможность просто сбросить пароль, подтвердив личность ответами на секретные вопросы, и установить новый пароль. При этом, новый пароль не проверяется на повторы.
                                                                                                        В итоге, когда срок действие пароля истекает, мы просто его сбрасываем и указываем тот же пароль. Active Directory домен, не знаю родной сайт или нет ( при стандартной процедуре смены пароля все политики учитываются)
                                                                                                          +2
                                                                                                          Ну и для полной секьюрности:
                                                                                                          image
                                                                                                        0
                                                                                                        хэш прошлых паролей хранится? Даже и не подумал что так нужно)) тогда по месяцам смены пароля, числа в начале или в конце: ****04 — апрельский пароль))
                                                                                                        0
                                                                                                        На сколько знаю, глубина проверки на совпадение с предыдущими настраивается, и её может как не быть вовсе (при истечении срока пароль меняется на такой же), так и быть на полную уникальность (ни одного повторения)
                                                                                                      • UFO just landed and posted this here
                                                                                                          +1
                                                                                                          Отпечатки тоже нужно менять каждый месяц? Плюс части старого отпечатка не могут содержаться в новом.
                                                                                                          • UFO just landed and posted this here
                                                                                                              +1
                                                                                                              Это был сарказм, направленый в сторону черезмерно усердных IT-Sec-ов.
                                                                                                            +1
                                                                                                            Использование любых биометрических данных крайне опасно. Если пароль при его компрометации можно просто поменять, то биометрические данные — нет. Поэтому биометрические данные должны быть защищены гораздо более сильно, чем пароли. И способ их применения также ограничен — их явно неразумно использовать для удалённой аутентификации в банк-клиенте.
                                                                                                            • UFO just landed and posted this here
                                                                                                            +5
                                                                                                            Лучший пароль, который я видел, это:
                                                                                                            — Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой… ламерский…
                                                                                                            <...>
                                                                                                            — Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
                                                                                                            <...>
                                                                                                            Чингиз выдыхает и ледяным голосом произносит:
                                                                                                            — Сорок тысяч обезьян в жопу сунули банан.
                                                                                                            (с) Лукьяненко. Фальшивые зеркала
                                                                                                              0
                                                                                                              Для тех, кто хорошо набирает вслепую пятипальцевым методом можно сдвигать ряд вверх и менять регистр. Тогда получается что-то вроде

                                                                                                              Duyu4nhwdasjbuk5-js6benput3nd363ignkr6r6;
                                                                                                                +1

                                                                                                                Я тож так думал, а потом понадобилось зайти с мобильного, а там другая раскладка

                                                                                                                0
                                                                                                                Моллюски отгрызли мои гарцующие гениталии
                                                                                                                (с) UNIX. System Administration Handbook (русский перевод, изд. «Питер», «БХВ-Петербург»).
                                                                                                                • UFO just landed and posted this here
                                                                                                                    0
                                                                                                                    Теперь ещё объясните разницу между «печатная», «заглавная» и «прописная» — правда, интересно.
                                                                                                                    Иногда «прописная» используется как антоним для «печатная», что вводит в заблуждение.
                                                                                                                    • UFO just landed and posted this here
                                                                                                                  +4
                                                                                                                  Ситуация с паролями — симптом ущербного процесса обеспечения безопасности. Службе безопасности нужно ставить в обязанность наладку реального безопасного рабочего процесса (а не абстрактную безопасность) с приоритетом работоспособности над ограничениями, учитывающего человеческий фактор, объективные рабочие ситуации (а не соображения безопасников на тему, как должно быть в теории) и потребности, реальные возможности и ресурсы каждого элемента и участника.

                                                                                                                  Только реальные условия и требования вышибают идейный бред из голов безопасников. Когда им придётся думать о реальном массовом мотивированном поведении, а считать, что «мы прикажем — юзера выполнят». Это как раз тот случай, когда не справляющимся СБшникам действительно лучше уйти. Если ограничения во имя «безопасности» мешают делу, то безопасник стал злоумышленником: нет разницы, почему дело встало.
                                                                                                                    –1
                                                                                                                    Ну ситуации разные бывают. Пусть не каждый месяц, но раз в полгода, например, захотели безопасники/админы сменить пароль, но 40-летние тётеньки подняли шум и скандал, обвиняя безопасника/админа во всех грехах, просто потому, что они не хотят и не могут запомнить новый пароль, это нарушает их комфорт. И что теперь, безопаснику/админу уходить? Или всё же пригрозить тёткам штрафом, а особо упрямых уволить? Ведь из-за упрямой некомпетентности действительно может произойти утечка секретов.
                                                                                                                      0
                                                                                                                      А если эти несколько тёток не просто бумажки перебирают, а являются ценными специалистами с многолетним опытом? А админа реально найти и заменить?
                                                                                                                      Не надо оценивать ситуацию так, будто админ — центр Вселенной.
                                                                                                                        0
                                                                                                                        Проблема — в необходимости использовать пару логин/пароль. Если следовать «лучшим практикам» безопасности, то в каждой системе необходимо использовать уникальную пару.

                                                                                                                        Проведём наблюдение: в скольких системах человек, активно пользующийся ИТ-средствами, имеет аккаунт?

                                                                                                                        Даже если просто оценить количество наиболее используемых систем в течение года: минимум три компьютера (десктоп рабочий и домашний, смартфон), пара интернет/мобильных/онлайн-банков, пара почтовых аккаунтов, пять аккаунтов в соцсетях, три платёжных системы, пятёрка багтрекеров, пятёрка сайтов перевозчиков (РЖД, авиа и т.д.), пара образовательных сайтов, тройка аккаунтов в госсистемах (ЕСИА для наологовой и РОИ, госуслуги, активный гражданин).

                                                                                                                        Итого 30 аккаунтов минимум, Карл, только на часто используемое в течение года! Вот кому это надо?
                                                                                                                        (Восстановления пароля каждый нарушает означенную выше «практику» и невозбранно увеличивает временные затраты на взаимодействие с системами.)
                                                                                                                      • UFO just landed and posted this here
                                                                                                                        +2
                                                                                                                        У нас был одно время такой маразм с системой учёта времени — там мало что пароль каждый месяц новый, так ещё и с кучей правил — надо было использовать буквы в обоих регистрах, цифры, несколько прошлых паролей нельзя, последний символ не должен быть цифрой, да ещё и если в новом пароле какие-то символы стоят на тех же местах что и в старом, то тоже не проходит, то есть одну- две буквы не заменить.

                                                                                                                        Короче, все обвешались бумажками, а я пришёл вот к какому хаку — вместо запоминания пароля я запомнил расположение клавиш, ну к примеру, EWQ1324s. И каждый месяц я сдвигался по клаве направо, соответственно следующий будет REW2435d, потом TRE3546f, и так далее. Первую букву пароля на данный месяц я писал прямо в календарь. Помогло безболезненно пережить этот кошмар.
                                                                                                                          0
                                                                                                                          Помогло безболезненно пережить этот кошмар.
                                                                                                                          Упомянутый тут не единожды KeePass помог бы пережить его проще. Естественно, если политика разрешает установку софта.
                                                                                                                            +1
                                                                                                                            KeePass я пользуюсь, точнее SplashID, что по сути тоже самое, но гайки были закручены до отказа — мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал, а набирать каждый раз случайно сгенерированный пароль глядя на экран смартфона неудобно. В общем «перемещаться» по клавиатуре оказалось для меня удобнее всего. При этом пароль вообще нигде не хранится, окромя головы. Плюс возникла «мышечная память» — я стал набирать этот пароль ну очень быстро, несмотря на то, что он менялся каждый месяц.
                                                                                                                              0
                                                                                                                              мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал

                                                                                                                              Бррр… ужасы какие…
                                                                                                                            +2
                                                                                                                            Интересно: для непосвященного система безопасности внешне кажется надежной, по факту — пароли хранятся в открытом виде.
                                                                                                                              0
                                                                                                                              шаблонизация в чистом виде, о чем собственно и статья :)
                                                                                                                              0
                                                                                                                              У меня есть почта на одном известном сервере. которую я завел на заре интернета в 2001 году. Там стоит 4-символьный пароль. Прошло уже 15 лет. Пароль все тот же, никто ничего не сломал. Ради интереса не буду его менять и дальше, хотя сервис упорно требует. Посмотрим, насколько хватит.
                                                                                                                                +4
                                                                                                                                Вероятно, вы тот самый Неуловимый Джо.
                                                                                                                                  +2
                                                                                                                                  Позвольте. А откуда вы знаете что никто ничего не сломал? Возможно сломали, но вас забыли об этом предупредить? Или возможно ваша безопастность — заслуга этого сервиса который не дал своей базе утечь налево за все эти годы (все же никто не будет сидеть и подбирать пароли через форму входа, любой сколько-нибудь приличный сервис заблокирует атакующего до того как он успеет проверить даже комбинации из всего 4х символов).
                                                                                                                                    0
                                                                                                                                    Подтверждаю Ваши подозрения. Был у меня сервер на старом пентиуме. Да точнее это был домашний роутер на два провайдера с ftp чтобы заливать и шарить файлы.
                                                                                                                                    Как-то раз заходя на него я нашел файлы в корне ftp говорящие о конфигурации моего компьютера. Беглый осмотр ничего не показал, а квалификация не позволила мне копнуть глубже, понадеялся что мой Pentim II с 5Гб винчестера никому не нужен.
                                                                                                                                    0
                                                                                                                                    Рамблер? )
                                                                                                                                      0
                                                                                                                                      Именно. Почему уверен, что никто не ломал — на почте этой одно время в открытом виде лежала некая инфа, которую взломавший наверняка бы стянул (доступ в разные ММО и тп, который регали родственники, а потом забросили играть). аккаунт стима, когда он еще не был столь популярен — ничего из этого не утекло.
                                                                                                                                      0
                                                                                                                                      У меня каким-то образом всё-таки увели такой аккаунт. Хотя я и был неуловимым Джо (не пользовался им, да и имечко было довольно случайное).
                                                                                                                                      0
                                                                                                                                      Я уже много паролей с совершенно случайной последовательностью символов наизусть помню.

                                                                                                                                      Основная проблема, что я их помню больше механически, и если попадаю в ситуацию, когда пароль надо ввести на виртуальной клавиатуре (через телефон или мышкой), долго туплю.
                                                                                                                                        0
                                                                                                                                        Большую часть своих паролей храню в lastpass, кроме критически важных (например от интернет-банка).
                                                                                                                                        Кто в теме, скажите, стоит ли переехать на keepass?
                                                                                                                                          +1
                                                                                                                                          На keepass2 или keepassX
                                                                                                                                            0
                                                                                                                                            Чем они лучше lastpass?
                                                                                                                                              +2
                                                                                                                                              keepass(X) опенсорсный.
                                                                                                                                          0
                                                                                                                                          У наших юзеров пароль от доменной учётки генерируется случайно и хранится в персональной touch-memory + клавиатурный пароль. Смена не обязательна. 99% рабочих приложений — браузерные, авторизация при входе сквозная. По-моему, идеальный вариант, как скажете?
                                                                                                                                            +1
                                                                                                                                            Насколько я понимаю, смену паролей практикуют на тот случай, если пароль или база с паролями будет украдена, но долго не использована.

                                                                                                                                            Главная проблема — это хранение и передача паролей в открытом виде. Если пользователь забыл пароль, то не должно быть ни единого способа этот пароль подсказать, только создать новый пароль. Даже Яндекс грешит хранением паролей в открытом виде.
                                                                                                                                              0
                                                                                                                                              Требования к периодической смене есть и в законодательной нормативке.
                                                                                                                                              В основном это против случайной утечки пароля.
                                                                                                                                              Если пароль не меняется годами, он постепенно становится известен все большему кругу лиц.
                                                                                                                                                0
                                                                                                                                                Требование о смене пароля раз в год и требование о смене пароля ежемесячно (с хранением в открытом виде и прочими прелестями) — разное
                                                                                                                                                0
                                                                                                                                                Учет рабочего времени тоже обычно ни к чему хорошему не приводит и не является полезной практикой.

                                                                                                                                                Мониторинг сетевой активности может быть полезен для анализа узких мест и приоретизации трафика, но никак не для анализа личной эффективности Петрова и Васечкина по частоте пользования «развлекательных» сайтов.

                                                                                                                                                На предыдущей работе были и СКД, и анализатор трафика, и даже в своё время счетчик трафика на разных сайтах (с отключением доступа к оным по превышению лимита), сейчас ничего такого нет, и слава Бобу. Производительность зависит не от этого.
                                                                                                                                                  0
                                                                                                                                                  Конечно эффективность не от этого зависит. Как раньше ходили толпами «покурить», так и сейчас. Как же раньше мою религию некурящего задевали — не дай бог я выйду с ними — я же бездельник, а они — «просто курят».
                                                                                                                                                  Как хорошо было уйти из офисной жизни. Теперь в офисы работать — ни ногой.
                                                                                                                                                    0
                                                                                                                                                    Контролируют что проще. Время нахождения проще и универсальнее всего (секретарша и программист находятся на месте одно время — отдача 100%). Одно средство, чтобы управлять ими всеми (почти Ц) Можно программистов по количеству залитых строк кода контролировать — так же бесполезно, но ещё и не универсально.
                                                                                                                                                    –1
                                                                                                                                                    Уйти от бумажек с паролями можно административными методами – регулярно проводить тесты сотрудников в присутствии представителя ИТ службы. Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.

                                                                                                                                                    Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
                                                                                                                                                      0
                                                                                                                                                      Как это спасёт от шаблонизации?
                                                                                                                                                      И вообще, ужесточение мер не выход. Достаточно доходчиво объяснить сотруднику, что за любые действия под его учёткой несёт ответственность только он.
                                                                                                                                                        0
                                                                                                                                                        Проблема не в шаблонизации от безответственности. В исследовании шаблонизированные пароли были на банковских счетах, а что может более ответственным, чем сохранностью кровью и потом заработанных?
                                                                                                                                                        +2
                                                                                                                                                        Угу, работаю на очистных — численность смены охраны ~ 0.3 от рабочей смены зарплаты думаю все 0.5 будет, на соседа повесили еще и обслуживание проходной (система учета) т.к. эти бугры прыщи с одной извилиной от фуражки не могут даже новый пропуск ввести. Не смотря на такое количество дармоедов, с площадки можно кучу дерьма украсть :).
                                                                                                                                                        «регулярно проводить тесты сотрудников в присутствии представителя ИТ службы» Вы из которых (сотрудник, вертухай безопасник, IT служба, нацгвардия)?
                                                                                                                                                        Имею опыт сисадмина 11 лет (дерево доменов, более 500 учеток, + удаленные доступ), а потом еще 3 года в безопастниках IT. сейчас АСУТП.
                                                                                                                                                        Всегда был против повальной политики смены паролей. А пример моего пароля: ijg,ibligrprg (песня про Щерса) к каждому месту ассоциативная песня.
                                                                                                                                                          +1
                                                                                                                                                          Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.
                                                                                                                                                          ТК РФ будет против.
                                                                                                                                                          Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
                                                                                                                                                          А почему работника должны волновать риски работодателя?
                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                              0
                                                                                                                                                              По закону нельзя просто так взять и уменьшить/не выплатить премию. Впрочем увеличить/выплатить просто так тоже нельзя. Согласно 129 ст. ТК РФ премия — это часть заработной платы.
                                                                                                                                                              Выплата премий регламентируется либо трудовым договором, либо положением о премировании. И вот в таком документе должно быть отражено за какие заслуги премия платится и в каких количествах. Соответственно, чтобы порезать человеку премию на том основании, что он не помнит свой пароль, нужно как-то фиксировать это требование. И вот как такое требование нормально закрепить в том же положении о премировании или трудовом договоре я хз. Т.е. зафиксировать-то просто, но вот зафиксировать так чтобы суд, в случае тяжбы, не признал такое требование ничтожным — это уже задачка сложнее.

                                                                                                                                                              С другой стороны работник, скорее всего, не будет париться и идти в суд (и ждать пару лет решения, ага) чтобы ему выплатили премию.
                                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                                  0
                                                                                                                                                                  Да, при таком подходе наверное покатит. Правда, насколько я понимаю, чтобы незнание пароля считалось нарушением трудовой дисциплины нужно, чтобы требование знание пароля наизусть было зафиксировано в трудовых обязанностях работника. Что вроде реализуемо.

                                                                                                                                                                  С другой стороны все это — тонна бюрократии, отчетности и времени непонятно для чего. Проще уж реально внедрить какие-нибудь rsa токены.
                                                                                                                                                          0
                                                                                                                                                          Лайфхак: в качестве пароля используйте какое-нибудь определение из математики, cs или что вас интересует. Или 10-20 сложных слов из языка, который изучаете.
                                                                                                                                                          Мотивация запоминать пароль и менять почаще — бонус.
                                                                                                                                                            0
                                                                                                                                                            Всякие шибко умные сайты и корпоративные политики могут требовать большие/маленькие буквы, цифры и спецсимволы.
                                                                                                                                                              0
                                                                                                                                                              Это ещё хорошо, что они не требуют паролей с Alt-кодами (у меня и такой был)
                                                                                                                                                                0
                                                                                                                                                                Большие и маленькие буквы, а так же знаки препинания — есть в любом определении. Да и в списке слов их легко получить: Cat, dog & elephant.
                                                                                                                                                                В крайнем случае, можно добавлять одинаковый набор спец символов к каждому паролю, т.е. их придётся запомнить один раз.
                                                                                                                                                              0
                                                                                                                                                              Вся проблема в том, что информационная безопасность — это очень комплексная штука и она упирается не только в вычислительную технику, но и в человека. При этом в большинстве компаний эту задачу вываливают на админа, который делает то, чему обучен — решает вопрос со стороны вычислительной техники. И как правило у админа есть только ответственность за утечку и нет административного ресурса для решения такой задачи. Про то, что должен еще быть чекист, который закручивает гайки со стороны человека как-то не вспоминают.

                                                                                                                                                                +1
                                                                                                                                                                Где то видел клевую идею. В качестве пароля брать фразу мотиватор на локальную краткосрочную цель. Скажем «надо скопить на отпуск» или «доделай уже ремонт». И пинает каждый раз доделать висяк и забыть такой пароль сложно и сложность пароля высока.
                                                                                                                                                                  0
                                                                                                                                                                  Это если у тебя есть цель поменять пароль, то можно без проблем подобрать легко запоминающийся, криптостойкий и укладывающийся в шаблоны. А если ты считаешь админа фриком с причудливыми тараканами в голове, то и пароль будет «123», и этот пароль будет написан на стикере наклеенном на мониторе и весь офис будет уведомлено о текущем пароле.
                                                                                                                                                                    0
                                                                                                                                                                    И на монитор можно приклеить и никто не догадается ;)
                                                                                                                                                                    0
                                                                                                                                                                    Истинно так. Но увы, ничего не поменяется в обозримом будущем.
                                                                                                                                                                      0
                                                                                                                                                                      Напишу-ка я свой первый комментарий!
                                                                                                                                                                      Работал я почти два года в министерстве, в Казани, в одном из самых маленьких.
                                                                                                                                                                      Да, каждый месяц меняли пароль по приказу совсем сверху.
                                                                                                                                                                      И да, у >90% сотрудников лежали бумажки с паролем под клавой, я при случае проверял всегда) И, даже у админа.
                                                                                                                                                                      Пожалуйста, не гуглите что за министерство, а то совсем тошно станет)
                                                                                                                                                                        0
                                                                                                                                                                        Альфабанк. Клик. Регулярно заставляют сменить пароль, при этом спецсимволы в пароле запрещены, а длина ограничена.
                                                                                                                                                                          0
                                                                                                                                                                          Я логин от альфаклика запомнить не могу, а на пароль уже и подавно забил, неудобный сервис вообще… сбербанк куда удобнее (необходимо помнить пинкод из 5-ти цифр и всё, хотя для первого логина нужен длинный логин)
                                                                                                                                                                            0
                                                                                                                                                                            В альфаклике можно задать свой альтернативный буквенный логин. А вот пинкод от альфамобайла я забыл сразу же. Очень неудобно, когда тебя заставляют ВОТПРЯМОСЕЙЧАС его придумать.
                                                                                                                                                                              0
                                                                                                                                                                              Честно говоря путаю клик и мобайл, мобайл у меня почему-то все время просил ввести и логин и пароль, иногда вроде бы логин запоминал, но его можно было случайно сбросить… В общем сервис платный, а доступ к нему был довольно геморройный решил отказаться, было это давно, возможно сейчас что-то у них по другому, но меня уже это не сильно волнует.
                                                                                                                                                                              0
                                                                                                                                                                              У Сбербанка проблема ещё более серьёзная: логины и пароли от онлайн-банка, наоборот, крайне живучие.

                                                                                                                                                                              Потерял старый листочек с паролем, пошёл к банкомату, получил новый — пользуюсь. Сменил логин — вообще красота. Нашёл старый листочек, ввёл от него старые данные — спокойно вошёл в онлайн-банк по старым логину и паролю.

                                                                                                                                                                              Походу, при запросе доступа в онлайн-банк просто создаётся новый алиас, а старые не уничтожаются.
                                                                                                                                                                                +1
                                                                                                                                                                                Это плохо.
                                                                                                                                                                                Но свой логин/пароль (на сколько заметил — без ограничений) однозначно удобная вещь. Короче ясно, листочки с банкомата надо съедать уничтожать после использования.
                                                                                                                                                                                  0
                                                                                                                                                                                  Не после. Перед прочтением уничтожить :)
                                                                                                                                                                                  0
                                                                                                                                                                                  Вот я тоже переживаю, брал листок с пинами в банкомате (которые можно вводить для подтверждения покупок вместо кода из смс), и где-то дома посеял его.

                                                                                                                                                                                  Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел, видимо нужно обращаться в сбербанк напрямую с заявлением.

                                                                                                                                                                                  Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!) и еще на новый номер умудряются присылать требования погасить задолженность незнакомого мне человека (видимо этот телефон ранее был добавлен в базу банка для другого счета по которому сейчас долг). Для того чтобы смс приходили на новый номер телефона пришлось сходить в банк 3 или 4 раза, причем каждый раз уверяли, что номер телефона был успешно изменен, вот как после этого верить словам сотрудника банка? Слова расходятся с фактами, говорит, что поменяли, а по факту смс в этот же день приходит на другой номер. Сначала думал, что вина в неопытных сотрудниках банка, но скорее всего у них просто ПО кривое и нужно менять номер телефона для каждой услуги отдельно и список этих услуг или выборку по номеру телефона и привязанным к нему услугам просто невозможно сделать.
                                                                                                                                                                                    0
                                                                                                                                                                                    Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!)

                                                                                                                                                                                    Та же проблема, при регистрации в Сбербанк-онлайне используется новый номер телефона, а при получении одноразовых кодов используется старый номер. Причём в отделении сбербанка старый номер удалить не могут, т.к. его в базах нигде нет.

                                                                                                                                                                                      0
                                                                                                                                                                                      Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел
                                                                                                                                                                                      Элементарно: идёте к банкомату, печатаете новый список паролей, и старый становится недействительным. Ну а с новым делайте что угодно, хоть уничтожьте.
                                                                                                                                                                                      Я тратил минут 10 на перебивание его в KeePass, а бумажный уничтожал. Раньше не все сервисы можно было через СМС подтвердить, некоторые только паролем, выручало.
                                                                                                                                                                                        0
                                                                                                                                                                                        Только есть одна беда: при перевыпуске карты будет новый логин/пароль, но старый продолжает работать. При утере старого листочка с паролем — всё.
                                                                                                                                                                                          0
                                                                                                                                                                                          Я не про пароль к онлайн-банку, а про одноразовые пароли для оплат (печатаются по 20 штук за раз), те точно недействительны становятся.
                                                                                                                                                                                            0
                                                                                                                                                                                            Это я бы тоже проверил, что-то мне подсказывает что с перевыпуском карты они продолжат действовать. Хотя можно попробовать с другой карты получить эти 20 паролей.
                                                                                                                                                                                              0
                                                                                                                                                                                              На счёт перевыпуска не знаю, но при перепечатывании чека прежние отменялись, проверял.
                                                                                                                                                                                          0
                                                                                                                                                                                          В том-то и дело, что старый остаётся действительным наравне с новым.
                                                                                                                                                                                            0
                                                                                                                                                                                            Отменили листочки в Сбере уж как несколько месяцев назад. Теперь только СМС.
                                                                                                                                                                                              0
                                                                                                                                                                                              Во как. Весной ещё печатал.
                                                                                                                                                                                                0
                                                                                                                                                                                                Те, кто в теме краж средств с карты мошенниками путём клонирования SIM, были сильно удручены этими действиями Сбера.
                                                                                                                                                                                        0
                                                                                                                                                                                        Лучше бы вместо всего сделали кодовую таблицу. Типа введите символы из ячеек A7, J2 и D7.
                                                                                                                                                                                        У Яндекса раньше было на деньгах, потом убрали, увы. Самая клёвая аутентификация.
                                                                                                                                                                                          0
                                                                                                                                                                                          Жена вообще не парится с запоминанием ихних паролей. Не нашла листочек — пошла новый напечатала.
                                                                                                                                                                                          0
                                                                                                                                                                                          А чем обосновано такое требование? Почему вообще многие компании за пользователей решают, какие у них должны быть пароли, ограничивая безопасность. Противоречивые требования (пароль не длиннее 8 символов, но и не короче 10, спецсимволы обязательны и одновременно запрещены) вымораживают.

                                                                                                                                                                                          Лично я с развитием мобильных устройств предпочитаю использовать длинные пароли, но не содержащие спецсимволов и букв в верхнем регистре. Скорость набора такого 12-символьного пароля гораздо выше, чем традиционного 8-символьного. Криптостойкость, как это ни странно, тоже выше.
                                                                                                                                                                                            0
                                                                                                                                                                                            Еще есть требования, чтобы пароль не содержал часть вашего имени или электронной почты(!)

                                                                                                                                                                                            IMHO лучше регистрозависимый пароль из 10-12 символов, без спец.знаков.

                                                                                                                                                                                            Если есть необходимость в большей защите, то прикрутить двух-факторную аутентификацию, если по каким-то причинам не подходит, тогда доступ по токенам (eToken, ruToken или просто защищенный контейнер с сертификатом на флешке), можно также использовать СЗИ от НСД, коих нынче огромный выбор.
                                                                                                                                                                                          0
                                                                                                                                                                                          А есть какие-то решения для авторизации в виндовом домене через смартфон (желательно и apple и android)?
                                                                                                                                                                                          Чтобы просто подтвердить в телефоне, что это ты заходишь без необходимости ввода паролей?
                                                                                                                                                                                            0
                                                                                                                                                                                              0
                                                                                                                                                                                              Windows Hello, если у вас Windows 8\10 на смартфоне.
                                                                                                                                                                                                0
                                                                                                                                                                                                нет, вообще не то.Чтобы авторизоваться в настольной системе в виндовом домене не вводя пароль, а подтвердив на своём телефоне, что ты входишь.
                                                                                                                                                                                                Как Google prompt
                                                                                                                                                                                              0
                                                                                                                                                                                              Работал в компании из топ200 по миру.
                                                                                                                                                                                              Каждый месяц надо было менять пароли. Подбирал по шаблону.
                                                                                                                                                                                              Впрочем, с некоторыми сервисами было наоборот. Паролем у каждого был его адрес электронной почты. И предупреждали, что менять его нельзя, иначе всё может перестать работать.
                                                                                                                                                                                                0
                                                                                                                                                                                                Вообще вся это истерия с паролями от низкой граммотности и «большого ума». Мало кто желает в совокупности рассмотреть проблему безопасности. Нужно думать не только о цифрах и мифической безопасности но и о людях использующих продукт. Почему-то очень не любят думать об эргономике. Хорошо продуманная и реализованная эргономика сама по себе отучает от неправильных привычек и предохраняет от ошибок и снижает риски. Но это же сложно, проще придумать дурашлепское правило с частой сменой паролей. Пусть я не безопасник по профилю но выполнял и эту функцию будучи сисадмином. Надо сказать, что еще до прочтения умных статей понял что самая большая дырка в безопасности это человек, каким бы пароль у него ни был. Если кратко резюмировать то лучшие результаты дали длинные пароли с редкой сменой и блокировкой учетки в случае подбора. От распространнения паролей отучали различными административными и юмористическими способами (хорошая и злая шутка оказалась эффективней начальственных тумаков). Были и побочные эффекты — наш безадминный филиал был заблокирован атакой kido, если не изменяет память, вирусная машина перебирала пароли к учетками и заблокировала в AD напрочь все (хитрый винт нашелся и на эту часть). Нужно подходить к задаче с умом и решать её под конкретные условия а не идя на поводу стереотипов потому что «так принято».
                                                                                                                                                                                                  0
                                                                                                                                                                                                  Мало кто желает в совокупности рассмотреть проблему безопасности.
                                                                                                                                                                                                  Истинно так.
                                                                                                                                                                                                  Все эти регулярные смены паролей и абсурдные требования подчас напоминают крепостные ворота в деревянном заборчике в метр высотой. Эдакая непоколебимая уверенность в том, что злоумышленник будет ломиться исключительно в самую защищенную точку системы.
                                                                                                                                                                                                    +1
                                                                                                                                                                                                    Если нужна чисто информация, вся эта безопасность и IT в целом идут лесом, т.к. работает банальный подкуп сотрудника, имеющего к ней доступ. Как правило в этих организациях зарплаты рядовых сотрудников (не руководящего состава) не такие уж и большие, так что способ работает.
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Скорее, ворота посреди чистого поля :)
                                                                                                                                                                                                    0
                                                                                                                                                                                                    Я вот тоже как-то работал в корпорации, где политика безопасности требовала менять пароль раз в месяц, при этом новый пароль не должен был повторять несколько предыдущих (к счастью, частичное совпадение не проверялось). Первые несколько раз пытался «честно» ставить новый, потом окончательно надоело. Зато теперь я помню число Пи до 14 знаков после запятой.
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Зато теперь я помню число Пи до 14 знаков после запятой.
                                                                                                                                                                                                      … а мы большинство ваших паролей :)
                                                                                                                                                                                                        0
                                                                                                                                                                                                        Да там уже наверняка и учётки-то моей несколько лет как нет, кого теперь могут беспокоить те пароли? Ну а в тех местах, где ко мне не предъявляют таких странных требований, я и не творю подобных глупостей :-)
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Не понимаю проблемы!
                                                                                                                                                                                                      Каждому сотруднику заводится личный номерной блокнотик.
                                                                                                                                                                                                      И карандашиком, блёкло и мелко, записывает в него свой текущий пароль вида — да хоть
                                                                                                                                                                                                      7$o[E__d_-1##752№ыmDq6Vx2

                                                                                                                                                                                                      При смене пароля старый вымарывается, записывается новый.
                                                                                                                                                                                                      Никаких бумажек под клавиатурами, никакой необходимости в шаблонах/токенах/софте на смартфоны.
                                                                                                                                                                                                      Никаких истерик по поводу «я не могу запомнить».
                                                                                                                                                                                                      За разглашение пароля, за забытый блокнот — штраф и выговор.
                                                                                                                                                                                                        0
                                                                                                                                                                                                        Чем это отличается от бумажки под клавиатурой? Будет личный номерной блокнотик под клавиатурой лежать.

                                                                                                                                                                                                        Ну и относительно записи блёкло и мелко на бумажном носителе:
                                                                                                                                                                                                        «ы» от «bi» сложно будет отличить.
                                                                                                                                                                                                        Как и догадаться о раскладке «Е» и «x» и о количестве подчёркиваний в "__".
                                                                                                                                                                                                          0
                                                                                                                                                                                                          Отличаться будет тем, что сотрудник будет обязан носить этот блокнотик с собой, с паспортом/правами. За забытый под клавиатурой — штраф.
                                                                                                                                                                                                          А пароль пусть заполняет сам, чтобы сам смог прочесть.
                                                                                                                                                                                                            0
                                                                                                                                                                                                            Я на работу не ношу паспорт, а права просто по форм фактору хорошо в кардхолдер помещаются, поэтому я их не вынимаю, но если не еду на машине совершенно не обязан брать с собой.

                                                                                                                                                                                                            Блокнотик можно спрятать под системник, шкаф, монитор, в тумбу, предварительно переписав нужный пароль на стикер. Спросили — вот он. не спросили и будет там пылиться.
                                                                                                                                                                                                            Будете каждый день ворочать весь офис?

                                                                                                                                                                                                            С таким директором — самодуром, на месте начальника отдела, я бы в своей тумбочке на ключике хранил блокнотики своих сотрудников и выдавал бы перед проверкой. Если, конечно, мне сотрудники были бы ценны.
                                                                                                                                                                                                            Штрафовать можно и без блокнотиков, только вряд ли у вас так много сотрудников останется в организации.
                                                                                                                                                                                                              0
                                                                                                                                                                                                              Ну смотрите. Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то. Вы ведь не прячете ключи от квартиры под системник, шкаф и монитор?
                                                                                                                                                                                                              Банковская карта даёт Вам доступ к деньгам.
                                                                                                                                                                                                              То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.
                                                                                                                                                                                                              А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.
                                                                                                                                                                                                              Логично ведь носить его с собой?
                                                                                                                                                                                                              Но память не у всехх хорошая, зато у бумаги она всегда хороша. Логично записать пароль на бумажку/в блокнот, и его уже носить с собой.
                                                                                                                                                                                                              А если по соображениям безопасности требуется смена пароля, в чём проблема вымарать старый пароль и вписать новый, потратив 1 минуту в месяц/квартал.
                                                                                                                                                                                                              Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.

                                                                                                                                                                                                              Весь шум-то по поду частой смены паролей — из-за чего? Из-за того, что новый стойкий пароль трудно запоминать, поэтому его приходится записывать. Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.
                                                                                                                                                                                                                +1
                                                                                                                                                                                                                Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то.

                                                                                                                                                                                                                Нет. Если я с женой выхожу гулять, то ключи не беру. Или она не берёт.
                                                                                                                                                                                                                Когда я знал, что мать постоянно дома, вообще мог ключи не брать с собой.

                                                                                                                                                                                                                Так же я не ношу с собой ключи от машины, ключи от машины отца, от гаража, от дачи отца, от дачи тёщи, от квартиры отца, от квартиры тёщи, от дома бабушки. Хотя всё это у меня есть и всё это очень ценно, и периодически мне необходимо.

                                                                                                                                                                                                                То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.

                                                                                                                                                                                                                Откройте свой паспорт на последней странице, там написано, что вы обязаны делать. И «бережно хранить» совершенно не совместимо с «постоянно носить с собой»

                                                                                                                                                                                                                А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.

                                                                                                                                                                                                                Расскажите это сотрудникам, которые клеят пароли на стикерах. Их менять паспорт и ключи от квартиры раз в три месяца не заставляют.

                                                                                                                                                                                                                Логично ведь носить его с собой?

                                                                                                                                                                                                                Вообще не логично.

                                                                                                                                                                                                                вымарать старый пароль

                                                                                                                                                                                                                Вы мне напоминаете фильм про разведку 60-х годов. Никто вымарыванием не занимается, это не надёжно, секретные тетради в первом отделе просто сжигают.

                                                                                                                                                                                                                Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.

                                                                                                                                                                                                                Ну так о том и пост, что не работает это. При этом сделать смену пароля раз в три месяца политиками домена, легче чем приучить пользователей не придумывать простые пароли и никому их не рассказывать даже «по производственной необходимости». Потому что первое делается централизованно, а второе нужно делать с каждым сотрудником непосредственно. Задача не масштабируема. Для этого нужно выделить если не отдел, то как минимум одного человека. А ему деньги платить нужно.

                                                                                                                                                                                                                Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.

                                                                                                                                                                                                                Что мешало всем офисным сотрудникам со стикерами на мониторе взять эту бумажку в кошелёк с паспортом и деньгами?
                                                                                                                                                                                                                То что не носят они регулярно с собой паспорт, деньги, аттестат зрелости, диплом о высшем образовании, медицинский полис, документы на квартиру, свидетельство о регистрации брака, свидетельство о рождении, ИНН и СНИЛС.

                                                                                                                                                                                                                И не должны.

                                                                                                                                                                                                                Потому что чем больше вещей, тем легче их забыть.

                                                                                                                                                                                                                Потому что забыв зонтик и попав под дождь, всё это промокнет.

                                                                                                                                                                                                                Потому что в тёмной подворотне выхватят сумку с этим добром, вытащат деньги и потом придётся паспорт по помойкам всего квартала искать.

                                                                                                                                                                                                                Потому что компрометация пакета важных данных гораздо ценнее, чем одного.
                                                                                                                                                                                                                По утерянному в метро стикеру сложно что-то восстановить. По блокноту с названием компании и именем сотрудника уже легче. С паспортом ещё легче.

                                                                                                                                                                                                                Потому что человек может ходить на работу с пустыми руками, с кардхолдером, телефоном и связкой ключей в кармане.
                                                                                                                                                                                                                В принципе если бы пропуск был на телефоне, я бы и без кардхолдера ходил бы.

                                                                                                                                                                                                                Потому что люди могут что-то забыть и цель прогресса позволить им делать это, а не наказывать сильнее за любую ошибку.

                                                                                                                                                                                                                Поэтому выигрывают технологии, которые облегчают, а не усложняют жизнь.
                                                                                                                                                                                                          0
                                                                                                                                                                                                          Те же яйца, даже еще хуже.
                                                                                                                                                                                                            0
                                                                                                                                                                                                            Представил себе админа на вахте, который будет генерить стойкий пароль, складывать из него «печать» и при входе сотрудника в помещение ставить штампик на запястье (как в клубах «печатки» иногда делают «оплатившим»). Удобно) Никаких бумажек — нужен пароль, отогнул рукав рубашки, посмотрел, вбил, раскатал рубаху обратно) При выходе из здания — руки с мылом мыть)) как раз МинЗдрав одобрит)
                                                                                                                                                                                                            Эх… надо бы начальству порекомендовать… только где найти такую «барабанную» печатку, чтобы там ещё и спец.символы были (желательно весь UTF-8 хотя бы >.< )
                                                                                                                                                                                                              0
                                                                                                                                                                                                              только рукава красятся и печать смазывается, особенно если работник потеющий. в клубах УФ печати ставят для этого, только там нет требования к чёткости изображения, и код виден только под УФ лампой.
                                                                                                                                                                                                            0
                                                                                                                                                                                                            Очень понравился пароль для тех, кому надоело на кружке :))))
                                                                                                                                                                                                              +1
                                                                                                                                                                                                              Мне очень понравился в своё время пароль от системной учётки ZYbrjveYtCrf;eGfhjkm
                                                                                                                                                                                                              И особенно прикольно было, что его все знали.
                                                                                                                                                                                                                0
                                                                                                                                                                                                                Тоже хороший пароль :) Верхний и нижний регистр, спецсимволы. Только цифр нет :)
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  Только цифр нет :)
                                                                                                                                                                                                                  ZYbrjveYtCrf;eGfhjkm!!!111
                                                                                                                                                                                                                  Всё, все правила соблюдены :)
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Я бы просто букву «о» (в слове «пароль» или «никому», например) заменил на нолик, вот так: «пар0ль», «ник0му». Есть варианты, как внедрить. Опять же, это затруднит подбор по словарю.
                                                                                                                                                                                                                      0
                                                                                                                                                                                                                      Но затруднит и ввод. Меня всегда выбешивал стандартный (майкрософтский, если память не изменяет) Pa$$w0rd
                                                                                                                                                                                                                      А так да, любая фраза в другой раскладке (хотя от брутфорса по словарю пофигу) уже норм.
                                                                                                                                                                                                                        0
                                                                                                                                                                                                                        Не сильно затрудняет, дело привычки. Если «о» в английской раскладке, так даже и не заметишь.
                                                                                                                                                                                                              0
                                                                                                                                                                                                              А что сложного в том, чтобы придумать и запомнить ОДИН соответствующий требованиям пароль и добавлять к нему год и месяц? Безопасности это не понизит, просто сведёт к нулю вредное воздействие админа… ну и удлинит пароль на 4 цифры, а время его набора на 0.5 секунды.
                                                                                                                                                                                                                0
                                                                                                                                                                                                                А что сложного в том, чтобы придумать и запомнить ОДИН соответствующий требованиям пароль и добавлять к нему год и месяц?
                                                                                                                                                                                                                Прочтите, о чём статья. Это и называется «шаблонизация», то есть дыра в безопасности, с помощью которой удалось произвести взлом 17% банковских счетов моментально.
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  Здесь ключевое слово «соответствующий требованиям». Шаблонная прибавка к хорошему паролю его не испортит. Я предлагаю не «vova0816», а «H=u!8*q9-10816» использовать.
                                                                                                                                                                                                                    +1
                                                                                                                                                                                                                    По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей.
                                                                                                                                                                                                                    Какие бы сложные пароли не были, попади они в руки злоумышленников — шаблон вычисляется очень просто. И дальнейшие (актуальные) пароли будут скомпрометированы.
                                                                                                                                                                                                                      0
                                                                                                                                                                                                                      В том и дело, что «соответствующий требованиям» пароль соответствует этим самым требованиям лишь определённый срок. В определённых случаях даже двух-цифровые коды на замках в подъезд или трёх/четырёх-цифровые коды на замках на велосипедах — выполняют свою задачу — их перебор ДОСТАТОЧНО долог для того, чтобы «переборщик» вызвал подозрения и был остановлен или же перебора банально не хватит для того, чтобы незаметно его «взломать без повреждений».
                                                                                                                                                                                                                      В этом контексте перебор паролей для «ЭВМ» гораздо быстрее, поэтому «очень сильный» пароль состоит уже не из 2-4 цифр, а из, как это полагается, минимум, восьми символов, включая цифры, буквы, регистр, знаки… Такой пароль банальным перебором будет взламываться в лучшем случае не один день, а если это не 8 символов, а всё-таки больше, то и взлом под сомнением…
                                                                                                                                                                                                                      Другое дело, когда под гнётом шаблонизации (как единственного приёма, способного «запоминать» регулярно меняющиеся пароли) сам «ключ» даже сокращается — ведь для выполнения требований Вам нужно 8 знаков, а «префикс» на этот год Вы «уже» придумали. И получается у Вас вместо «H=u!8*q9-™$+х%» тот самый «H=u!8*q9-10816», а в следующем году будет «H=u!8*q9-10817». Вы чётко убеждены, что такой пароль не взломать, а где-то тем временем какой-то злоумышленник банально каким-то образом сливает архивы (или может быть Вы вдруг этот пароль — чётко зная, что он всё равно скоро «истечёт» сливаете через «открытые каналы» типа аськи или по SMS)… и видит этот злоумышленник, что в 2014-ом у Вас был пароль «H=u!8*q9-10814», в 2015 — «H=u!8*q9-10815»… Всё… подбирать больше ничего не нужно. Вы остаётесь в полной уверенности безопасности, а взломщик остаётся с победой.
                                                                                                                                                                                                                      Другими словами, теряется такая важная штука в ИТ-безопасности как «компрометация». Если Вы, к примеру, придумали один мастер-пароль в два абзаца хексом, то фиг его в скором времени кто-то взломает. И как только обнаруживается подозрение «слива», все старые пароли утекают в трубу. Тут же — о сливах не беспокоятся, так как «старые» пароли считаются условно бесполезными, а ведь в них содержится по сути 80% новых паролей.
                                                                                                                                                                                                                      При этом особо отмечу, что важны не только ВАШИ старые пароли. Если шаблонизация вводится на уровне фирмы, и злоумышленник в сливе видит всего ОДИН Ваш пароль, и всего ОДИН пароль Вашего колеги и все они помимо «реально стойкой» крипто-строки вдруг продолжаются обычными цифрами, то вот он — куш — разделяй и властвуй.
                                                                                                                                                                                                                      В другом случае (без шаблона) слив бы злоумышленнику дал гораздо меньше — максимум — он смог бы углядеть «требования» и исключить из брутфорса ненужные сочетания (например, иногда вводятся странные правила, что «лесенка» запрещена, хотя знание о 100% отсутствии лесенки это ускорение перебора, или запрещается начинать пароль с большой буквы или с нуля… чётко указывается кол-во символов, например: 9, а это уже не от 8 до 12, это уже на пару порядков меньше вариантов.
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  Статья о том, как излишняя «парол'изация» для безопасности становится скорее парАлизацией ;)
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Когда работал в ФНС, там была политика ежемесячной смены паролей. Ну и соответственно Low и Up символы + цифры.
                                                                                                                                                                                                                    Думаете тетеньки забывали свои пароли? Никогда. Потому что пароль они делали вида «Месяц + год» (например сейчас у них бы стоял пароль «Август2016»). Правда тот, кто знал эту «систему» — мог «взломать» любую рабочую станцию.
                                                                                                                                                                                                                      0
                                                                                                                                                                                                                      Собственно, ничто не ново под Луной…
                                                                                                                                                                                                                      Про подобные фокусы с шифрами от сейфов я ещё у Фейнмана читал, а было это лет 70 назад.
                                                                                                                                                                                                                        0
                                                                                                                                                                                                                        https://en.wikipedia.org/wiki/Password_fatigue
                                                                                                                                                                                                                          –3
                                                                                                                                                                                                                          Как хорошо, что я не читаю geektimes, только habr/infosec, да и там рекламы поганой 90%

                                                                                                                                                                                                                          Кто пустил гуманитариев писать статьи о самом важном??? О паролях???
                                                                                                                                                                                                                          Сами пароли, по сути, говно. НО! Они ДОЛЖНЫ быть сложными. Это аксиома.
                                                                                                                                                                                                                          Для всех чуть важных вещей — PKI и 2FA, всё!!!

                                                                                                                                                                                                                          200 комментов. Детский сад.