Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 54
А где их еще хранить, когда выдается пароль вида "RBlplh8pRWlcX3QNcLAB", принудительно меняется раз в полгода, а установить свой нельзя.
В каком-нибудь PasswdSafe?
А если вы работник бухгалтерии с 20-летним стажем и вам надо логиниться в Windows?
Я не работник бухгалтерии, но по впечатлениям от посещений этих отделов: все работники бухгалтерии всегда ухитряются прятать деньги (и даже небольшие) в личные сейфы так, что и свои не украдут. А кто/что мешает им прятать в сейф список паролей? ИМХО привычки нет. И достаточно часто менять пароли — нет привычки. Но у многих уже сложилась привычка к паролям типа 12345678 :) М.б. сканер отпечатка пальца и электронный ключ, которые с теоретической точки зрения довольно слабая защита, в сложившийся ситуации защита наиболее эффективная? ;)
Вы не работник бухгалтерии.
А мешает им прятать пароли в сейф простая банальность, пароли нужны гораздо чаще (ведь заботливый администратор настроил автоматический блокировщик экрана), а деньги положил и пускай лежат хоть месяц.
Пароли вида 123456, это не проблема привычки, а проблема усталости от паролей, поэтому эпл даже адаптировала последние версии своих ОС чтобы можно было делать разблокировку просто подойдя к компьютеру с часами.
Фрактал боли начинается когда приложение яндекс.денег при запуске просит у вас сначала пин-код, а потом ещё и пароль для совершения платёжных операций. И ещё банковское приложение просит пин-код. И ещё пароль на VPN. А VPN не настроить без установленного пин-кода/пароля на телефон. Всё это добро надо держать в голове и/или менеджере паролей (а парочка другая паролей должна быть в голове в любом случае + пароль от архива с паролями).
А потом от обилия паролей ваш самсунг взрывается — да-да, это не в батареях дело)
А мешает им прятать пароли в сейф простая банальность, пароли нужны гораздо чаще (ведь заботливый администратор настроил автоматический блокировщик экрана), а деньги положил и пускай лежат хоть месяц.
Пароли вида 123456, это не проблема привычки, а проблема усталости от паролей, поэтому эпл даже адаптировала последние версии своих ОС чтобы можно было делать разблокировку просто подойдя к компьютеру с часами.
Фрактал боли начинается когда приложение яндекс.денег при запуске просит у вас сначала пин-код, а потом ещё и пароль для совершения платёжных операций. И ещё банковское приложение просит пин-код. И ещё пароль на VPN. А VPN не настроить без установленного пин-кода/пароля на телефон. Всё это добро надо держать в голове и/или менеджере паролей (а парочка другая паролей должна быть в голове в любом случае + пароль от архива с паролями).
А потом от обилия паролей ваш самсунг взрывается — да-да, это не в батареях дело)
сканер отпечатка пальца
Если такой пароль скомпрометирован, то хрен ты его сменишь.
А зачем ему админский пароль?
Раз в полгода? Почему так редко?
Да, уж! Существует отличная от нуля вероятность, что за полгода сравнительно небольшая группа хакеров (примерно в миллион человек) простым перебором найдет пароль «RBlplh8pRWlcX3QNcLAB» ;) Согласен, что лучше не вычислять невероятность такого события, а сильно чаще менять пароли. И что пароль должен быть удобным, если не для запоминания, то для набора. Нпр., четыре буквы, четыре цифры, четыре буквы и т.д. И не надо при генерации слишком скакать по регистру «большие/малые буквы».
ИБ взяли за руководство список антипаттернов?
На текущей работе есть предустановленный KeePass. Толку ноль, почти никто не пользуется, а пароли продолжают хранить везде где только можно: на сетевой шаре, в почте, в документации к ПО.
KeePass — отличная программа, но автор (Dominik Reichl) честно признает, что у нее принципиальные ограничения, присущие всем менеджерам паролей. От шпионов клавы и мыши она не спасет. И как в ней хранить пароль входа в ОС, т.е. хранить можно, но как использовать? :)
Если есть реальная производственная необходимость, то на работе можно сделать банковскую систему подтверждения одноразовым паролем, получаемым сотрудником на личный мобильник по SMS. Пока не подтвердишь — в систему не войдешь.
мобильник может сесть, сломаться, потеряться. Смс может идти больше минуты. Безопасность канала зиждется на вашем доверии ОПСОСу, были случаи когда этим доверием пользовались.
Поскольку решение всё равно за деньги, то есть требует похода к начальству и доказательства, зачем это вообще надо — лучше уж токены с генератором паролей брать.
Поскольку решение всё равно за деньги, то есть требует похода к начальству и доказательства, зачем это вообще надо — лучше уж токены с генератором паролей брать.
Как разработчики менеджера паролей для компаний могу сказать, что решений на рынке (по менеджменту корпоративных паролей) в целом немало, где-то 10-15 решений. Практически все решения созданы зарубежными компаниями и их стоимость может достигать десяток тысяч долларов, хотя есть и вполне доступные для российского рынка.
Мы общались с несколькими десятками технических директоров, и ни для кого из них проблема хранения паролей не была актуальной (а где-то треть вообще не понимали зачем это надо).
Еще один нюанс характерный для российский компаний — это зона ответственности, т.е. кому сделают атата за забытый пароль от доменного сервера. Пожурят админа или лишат премии, а начальники как лица принимающие решения при этом не страдают.
Плюс разработчикам необходимо иметь лицензии ФСБ на разработку продуктов с криптографией. Вообще, вся тема с лицензированием достаточно запутанная, не говоря уже про внедрение таких решений госам.
Мы общались с несколькими десятками технических директоров, и ни для кого из них проблема хранения паролей не была актуальной (а где-то треть вообще не понимали зачем это надо).
Еще один нюанс характерный для российский компаний — это зона ответственности, т.е. кому сделают атата за забытый пароль от доменного сервера. Пожурят админа или лишат премии, а начальники как лица принимающие решения при этом не страдают.
Плюс разработчикам необходимо иметь лицензии ФСБ на разработку продуктов с криптографией. Вообще, вся тема с лицензированием достаточно запутанная, не говоря уже про внедрение таких решений госам.
Кроме госов и квазигосударственного сектора пока есть еще и частное предпринимательство.
Какие ограничения и обязанности накладывает лицензия?
Есть ряд формальных требований для того, чтобы получить лицензии на разработку (например, требования к помещению, сотрудникам в штате с нужным образованием). А лицензия нужна, чтобы разрабатывать ПО с криптографией (есть несколько исключений, когда лицензии не нужны, например, если длины ключей меньше 56 бит).
Вообще, вся ситуация достаточно запутанная, одни эксперты инфобеза говорят, что лицензии нужны всегда, если есть криптография (о чем собственно и написано в законе), другие утверждают, что лицензии необходимо получать, если вы хотите лицензировать свой продукт, т.е. как бы официально доказать, что у вас все в порядке (ну и госы могут использовать только лицензированные продукты).
Более детально в «Положение о лицензировании деятельности по
разработке, производству, распространению шифровальных (криптографических)
средств, ...)» (утв. постановлением Правительства РФ от 16 апреля 2012
г. N 313)
Вообще, вся ситуация достаточно запутанная, одни эксперты инфобеза говорят, что лицензии нужны всегда, если есть криптография (о чем собственно и написано в законе), другие утверждают, что лицензии необходимо получать, если вы хотите лицензировать свой продукт, т.е. как бы официально доказать, что у вас все в порядке (ну и госы могут использовать только лицензированные продукты).
Более детально в «Положение о лицензировании деятельности по
разработке, производству, распространению шифровальных (криптографических)
средств, ...)» (утв. постановлением Правительства РФ от 16 апреля 2012
г. N 313)
В реальности всё намного проще, а можно за небольшую мзду нанять подрядчика с нужной лицензией.
Любопытно. Под это постановление попабают уэб-студии, которые хешируют пароли пользователей в системах напродажу.
Не уверен, там есть исключения (в частности про шифрование credentials, это типа делать можно). Так же если вы используете средства операционной системы, то лицензии вам не нужны. Т. е. если например вы используете openssl или mcrypt библиотеки, который как бы установлены в ОС, то все ок. А вот если вы сами реализуете криптоалгоритмы, тогда попадаете под действие закона
>> Мы общались с несколькими десятками технических директоров…
Где админы и где СТО… Проблемы афроамериканцев шерифа не интересуют.
Где админы и где СТО… Проблемы афроамериканцев шерифа не интересуют.
Прошу прощения, продолжение.
У нас в компании принято сдавать на хранение пароли привилегированного доступа в опечатанном конверте в сейф директора по безопасности. В 2001 году однажды пригодилось, когда администратор одной из систем трагически погиб.
У нас в компании принято сдавать на хранение пароли привилегированного доступа в опечатанном конверте в сейф директора по безопасности. В 2001 году однажды пригодилось, когда администратор одной из систем трагически погиб.
Большая часть культуры хакеров не спроста строится на социальной инженерии.
Верно. Только слово «культура» представляется не совсем подходящим: культура хакеров = культура взлома. Можно сказать: культура незаметного изъятия денег из карманов прохожих, культура проникновения в чужую квартиру посредством форточки и т.д.? ;)
Хакерство — культура и философия. Кража денег с кредиток — преступление.
Боевые исскуства — культура и философия. Нанесение тяжких телесных — преступление.
Ваш Кэп
Боевые исскуства — культура и философия. Нанесение тяжких телесных — преступление.
Ваш Кэп
Насколько мне известно хакеры исследуют уязвимости и недокументированные возможности ПО. Это американизированный неологизм в общем случае обозначающий гуру в области информационной безопасности. Когда хакер занимается взломами, то он автоматически становится кракером.
Выше Вы сказали:
В рувики подробная статья Хакер, основанная на вполне авторитетных источниках типа RFC 1983.
Большая часть культуры хакеров не спроста строится на социальной инженерии.
Насколько мне известно хакеры исследуют уязвимости и недокументированные возможности ПО.Отсюда следует, что хакеры исследуют уязвимости и недокументированные возможности ПО методами социальной инженерии?
В рувики подробная статья Хакер, основанная на вполне авторитетных источниках типа RFC 1983.
Отсюда следует, что хакеры исследуют уязвимости и недокументированные возможности ПО методами социальной инженерии?
А разговорить пьяного разработчика за кружкой пива в баре? А фишинг? Он основан на особенности нашего мозга додумывать слова с похожей лексикой. И это как раз социальная инженерия. Многие трояны распространяются только благодаря социальной инженерии, когда пользователь устанавливает софт который маскируется под приличные программы. Можно применить эффект толпы, когда зловредное ПО распространяется с сайта набитого хвалебными фейковыми отзывами. Прочитайте книгу Р.Чалдини «Искусство манипуляций», откроете очень много интересных моментов из нашей жизни, которыми пользуются и хакеры в том числе.
Я знаю, что социальная инженерия очень помогает взломщикам и с этим не спорю. Но не понял, как социальная инженерия помогает, когда «исследуют уязвимости и недокументированные возможности ПО»? Нпр., будет ли директор банка нанимать хакера, чтобы тот пытался разговорить пьяного разработчика за кружкой пива в баре? Думаю, что если директор и наймет хакера, то наймет, чтобы тот проверил чисто технические возможности взлома типа перебора паролей, а не болтливость разработчика.
Чтобы Петя не болтал лишнего не нужно нанимать взломщика-тестера, а нужно оговорить в контракте и должностных инструкциях ответственность Пети. Дело нанятого для тестирования взломщика — искать дыры в ПО, а не проверять Петю на верность фирме. Т.к. дыры в ПО — вещь постоянная, пока их не заткнут, а Петя — временный: сегодня Петя, а завтра он уволится, и на его месте будет Лена, а через некоторое время она уйдет в декретный отпуск. И что? Каждый раз при смене каждого из ответственных работников взломщика нанимать? Кроме того такие испытания вряд ли вскроют все возможные при реальном взломе подходы. Нпр., Петя может не так сильно любить пиво, чтобы сообщить под него что-то секретное, но может слишком сильно любить деньги. Вряд ли наемный тестер сможет предложить ему адекватную сумму. Сильнее пива Петю могут интересовать симпатичные девушки и что он не скажет взломщику, проболтает взломщице и т.д.
Несоблюдение контракта и дисциплины на рабочем месте — проблема начальства, а не стороннего тестера. Возможно, что есть конторы, где у 90% пользователей не только пароли висят на мониторах, но они регулярно опаздывают на работу, часами занимают рабочий телефон по неслужебным вопросам, курят и распивают алкогольные напитки на рабочем месте и т.д. Выявление и устранение подобных нарушений по силам администрации, сторонних тестеров для этого приглашать не нужно.
«хранит пароли в документах Word и электронных таблицах.» — это же неудобно! Всегда хранил пароли в реляционной базе данных. А пароль к серверу СУБД — в CSV.
А все по тому, что нормального решения по хранению паролей для большинства компаний просто нету.
Но только 45% обсуждают его и регулярно проводят «учения» с участием всех сотрудников.
Если это так, то это просто здорово. Рад за них.
А насчет того, где хранить пароли — какая разница, хоть в текстовом файле, хоть в таблице, хоть в базе. Есть же KeePass (Vera(True)crypt и др.). Только я не уверен, что KeePass поможет для входа в Windows в той же бухгалтерии, но и речь в заголовке статьи в общем-то, не про это.
В качестве меры по борьбе с паролями на вход (если уж это действительно нужно): смарт-карты. Не так дорого, но намного действеннее, чем всякие политики по сложности паролей. Рядовой пользователь не должен быть всерьез озабочен 10+ символьными паролями, новыми каждые 6 месяцев. Для этого есть голова у ИТшника и директора. Имхо, конечно.
Рискую показаться старомодным, но я свои пароли записываю в блокнот. Заодно удовлетворяю свою потребность в структурировании и педантизме. Зато ни у одного хакера не получится взломать мой «менеджер паролей» :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
40% организаций хранит администраторские пароли в таблицах и текстовых файлах