Comments 57
Следующий шаг - заменить печать по бумаге на лазерную гравировку или химическое травление металла по фотошаблону.
Хабы: Информационная безопасность xD
Так в чём отличие от бумажки на мониторе? Сейчас, когда везде требования к паролям высокие, пароли сложные для запоминания, и никто из случайно заглянувших людей (за редким исключением) не станет заучивать пароль со стикера. Просто сфотографируют на телефон и всё. Карточку эту - тоже сфотографируют. При этом у стикера есть преимущества - не нужно никакого софта, не нужно тратить время, не нужно никакого оборудования. Ручка и бумажка. То, что вводить сканером удобнее - не поспоришь. Но для архивов не так это часто надо, чтобы сканером пользоваться. А если надо - стоит подумать о более автоматизированном решении.
Вот если бы карточка позволяла видеть изображение только под прямым углом, а сбоку ничего не было бы видно - было бы намного интереснее.
Чтобы в постапокалиптическом мире можно было найти эту карточку и выполнить квест по получению данных из архива.
По первому шаблону (который используется для входа в ОС) разница в том, что карточка лежит у пользователя в кошельке, там же, где и его кредитные карты (поэтому у неё такой размер). Пользователь подходит к рабочему месту, тыкает сканером себе в кошелек и садится работать. Второй шаблон, в моем случае, предназначен для карточек, которые хранятся за пределами офиса и используются администратором только в случае аварийной ситуации. Мне этого более, чем достаточно. Естественно говорить о том, что этого будет достаточно всем и везде не приходится.
При политике регулярной смены паролей постоянно перепечатывать карточки предлагаете?)
Проще, пароли менять каждый день, при входе на работу или проходе кпп (скуд).
В качестве карточки использовать электронные ценники. Аналогично активировать деактивировать учетку пользователя в зависимости от его нахождения на территории.
Можно даже одноразовые пароли/пинкоды высылать на этот ценник после корректного использования предыдущего. Сел пользователь за комп, смотрит карточку вводит пин своего пользователя. На ценник приходит новый пин. Его пользователь вводит при авторизации в следующей системе. В отличии от телефона, ценник вне рабочего места не будет работать.
Избыточно - стильно - молодежно! )
Зависит от частоты смены пароля, я пару раз в год меняю, мне чаще не нужно. Печатаю сразу пачку, лет на 10 ближайших хватит.
А если обязывают принудительно, не реже раза в месяц, не повторяя последних двух десятков? У вас весьма либеральные правила смены пароля))))
На мой взгляд, администрация должна соблюдать разумный баланс между безопасностью и удобством для пользователей на их рабочих местах. Ввести такие требования к пользователям и не дать никаких средств, чтобы они эти требования могли с комфортом для себя выполнять, по моему, какая-то дикость. Напрашивается решение с использование электронных ключей, но это уже совсем другая история, со своими плюсами и минусами.
Надо проявить инициативу и менять раз в месяц. :)
И пароль строить по шаблону <тело_пароля>_гггг_мм. И будут однотипные romashka_2022_05, romashka_2022_06, romashka_2022_07... Зато безопасники довольны. :D
Если лежит в кошельке - проще использовать RFID. Карточка Em-marine или Mifare Classic - 8-10 грн/шт, USB считыватель - в районе 400-500 грн.
Mifare бывают и в виде брелков/колечек. Или можно телефон с NFC использовать.
Если уж прибегать к бумажке, то хотя бы, например, не записывать в сложном пароле символ (-ы), который пользователю будет легко запомнить, а постороннему трудно угадать.
Если подобные карточки и делать, то нужно разбивать пароль на две части, каждая часть с разных сторон карточки. Чтобы если изображение карточки все-таки утекло, то чтобы пароль с нее не могли полностью восстановить.
Делал подобное для терминалов самообслуживания. Сканируешь - открывается панель с настройками. Поменял в базе, распечатал, выдал настройщику. Тот "пикнул" и занимается своими делами.
Т.к. старший персонал часто забывает свои карты, а работать надо в защите, младший персонал сделал себе (для удобства!) мультипаспорт. Может заходить в систему под любым пользователем.
Зачем это нужно? Я использую KeePass для хранения паролей.
KeePass нужен для хранения ключей на машине к которой есть доступ. Эти карты используются как-раз для этого (для получения доступа к машине), в том числе их можно использовать как мастер-пароль для самого KeePass.
А вот такие штуки не проще в реализации? Туда и пароль можно генерить автоматом и размером с кредитку.
Зависит от того, что понимать под "проще". Проще для кого? Пользователь всё-равно будет привязан к какому-то предмету, который вынужден будет носить с собой, к тому же это "железка", которую еще нужно найти, она может сломаться и потерять которую будет сильно обиднее, чем карточку, которую можно сделать за 3 минуты не выходя из офиса.
Подключенный в режиме USB HID сканер позволяет вводить данные в любую программу, где есть поле для ввода данных с клавиатуры, так же, как если бы эти данные набирались вручную.
А эти сканеры позволяют считывать комбинации клавиш? Может ли код содержать что-нибудь начинающееся с Win+R cmd Enter?
Напечатать каждому пользователю уникальную маску на прозрачной пленке и заламинировать отпечатанную сторону. Изображение пароля генерировать так, чтобы оно проявлялось только при наложении карточки с маской на это изображение.
Простой способ - маскирование ячейками посимвольно на матрице текста. Сложный способ - "попиксельное" маскирование (не целых символов, а элементов изображения). В нем узнав один пароль и заполучив фото одной из шифрованных матриц с текстом сложнее составить набор отверстий (ключа) для считывания остальных карточек. На карточках с маскированным изображением текст располагать везде в разных местах и как на капчах (искаженным). Т.е. даже заполучив точный скан карточки и зная пароль на ней (именно пароль, а не как он на ней изображен), считать другую карточку достаточно сложно. Опасна только утечка "ключа" - прозрачной карточки с нанесенной пиксельной маской. Если ее подклеивать на пленку с лентикулярным растром, то кроме прямого сканирования на планшетнике даже по "шпионскому" фото будет сложно ее повторить.
Самое разумное и безопасное сгенерировать один пароль на все случаи жизни и запомнить его как следует.
Этот пароль утёк, а вы его как раз использовали на все случаи жизни.
Ваши действия?
з.ы. Вопрос риторический, конечно же. Я вот раньше тоже имел один базовый пароль, который мне сгенерировала моя первая онлайн-игра, и который запомнил на всю жизнь, и потом он оброс фиксированным количеством его вариаций (обычый, с большими буквами, обычный с цифрами, со спецсимволами, с цифрами и спецсимволами, с другим набором цифр и спецсимволов). Уже накопилось около 20 вариаций пароля. Самый кайф вспоминать через 3 года какой именно использовал для условного ВК когда случайно вышел из системы на домашнем компе, пробираясь сквозь капчу и т.д.
К чему я это. Теперь у меня осталось около пяти вариаций пароля, один наисложнейший - для менеджера паролей, и ещё 4 для ситуаций, где менеджером копипастить пароль нет возможности.
Самое разумное и безопасное сгенерировать один пароль на все случаи жизни и запомнить его как следует.
Сарказм оценил :)
Зачем генерировать, когда всё уже придумано - qwery123
Кажется что проще хранить пароли в заметках на телефоне, которые синхронизировать с облаком.
А вставлять через такие приложения: https://gadgetstouse.com/blog/2021/10/01/copy-paste-text-from-android-to-pc-or-vice-versa/
Вообще давно рынок требует клавиатуру с авторизаций. Мало запомнить пароль. надо еще чтобы браслет с разблокировкой клавы был в ределах полуметра от неё. отошел сотрудник поссать - комп лочится. И клава тоже, аппаратно. А другая клава тупо не работает. Вот это защита я понимаю. Сотрудник проссался, пришёл, клава браслет увидела и дала ввести пароль с клавы.
Кто создаст паролей пачку, тот получит ... Водокачку! :)
Нужно подкинуть идею жене.
Она заглядывает за паролями в затертый блокнотик и упрекает меня: "не верю я твоим технологиям". :)
Вы бы ещё свастон с орлом нарисовали, честное слово.
Ерунда все это. Если вы хоть слегка озабочены безопасностью, то кроме внешнего аппаратного хранилища паролей все остальное - полная ерунда. Мультипасс к примеру неплох. Все остальное как правило сливает все ваши пароли как только появляется доступ к вашему компу.
В принципе, его можно с собой не брать, а брать только смарт карту.... Это если места в кошельке жалко.
Карточки картонки пленки..... а банальный отпечаток пальца? Или нынче это не модно?!
Альтернатива стикерам с паролями на мониторе