Постоянная смена паролей не такая уж и хорошая затея

    image Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное.

    Данное явление дошло до всех в различный период. Автор столкнулся c этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.

    Для тех, кто пользовался pass-менеджерами типа KeePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена.

    Постоянная смена паролей, вместо того, чтобы повысить уровень безопасности внутри организации приводит только к тому, что ее, безопасности, уровень понижается. И для этого есть целый ряд адекватных причин.

    Большинство рядовых пользователей стремится свои пароли запоминать и pass-менеджерами пользуются далеко не все. Если вы рекомендуете своим родным или знакомым менять пароли раз в несколько месяцев, вы оказываете им медвежью услугу. Ведь постоянная смена пароля ведет:

    • К его упрощению, ведь сразу запомнить сложный пароль тяжело, а пользоваться им придется, по всей видимости, постоянно;
    • Как следствие, используются, например, только цифры, или буквы имени, даты и т.п;
    • Если политика безопасности требует криптостойкий пароль с переменным регистром, цифрами и спец. символами, их начинают записывать на бумажки и клеить под клавиатуру. А некоторые еще и «ламинируют» скотчем. В особо тяжелых случаях клеится это дело на монитор.


    image
    Ярчайший пример «записывания», а в данном случае — распечатки паролей. В 2015 году на Хабре была статья о взломе французского телеканала, где в эфире в кадр попала обсуждаемая «памятка»

    Окей. Если на персональном рабочем месте у нас есть возможность установить пасс-менеджер и не знать беды, то существуют ситуации, когда человек просто не может установить стороннее ПО на рабочий компьютер.

    Вы никогда не задумывались, почему при проведении некоторых сложных операций в банке, кассир так долго, по вашему мнению, возится не пойми с чем?

    В своей работе рядовой сотрудник (кассир) использует около десятка учетных записей в различном ПО или его сегментах. Кроме входа в учетную запись при проведении операции каждую нужно подтверждать собственным паролем плюс, достаточно часто — паролем старшего кассира или руководителя отделения (все мы слышали этот крик «КОНТРОЛЬ!»). От банка к банку все пароли могут меняться около раза в месяц, а некоторые и того чаще.

    В теории, все выглядит прилично. Пароли везде, где это необходимо, не меньше восьми символов, везде разные. На практике все они повсеместно записываются на бумажках и хранятся в кармашках жилеток или под клавиатурой.

    По итогу, вместо двухуровневой системы защиты мы получаем решето с уже упомянутыми «памятками» только потому, что бытует мнение о том, что «менять пароли просто так — это полезно».

    Одним из наиболее распространенных путей запоминания пароля, если использование pass-менеджера невозможно, но пароль менять каждые N дней приходится, является его шаблонизация. Данный факт подтверждается исследованием в области безопасности сотрудниками Университета Северной Каролины еще за 2010 год.

    В своей работе они сымитировали генерацию паролей пользователями исходя из принципа шаблонизации, а после, исходя из этого, провели «атаку» на счета с учетом перебора максимально вероятных паролей до того, как система безопасности среагирует на происходящее. По условиям задачи, в руках злоумышленников была «старая», неактуальная уже банковская база на 7700 учетных записей. На тот момент исследователям с учетом шаблонности паролей удалось получить доступ к 17% (!!!) банковских счетов менее чем за 5 попыток. Еще 41% процент счетов был взломан за, примерно, 3 секунды.

    С более подробными алгоритмическими выкладками можно ознакомиться в самой работе.

    Это исследование еще раз подтверждает то, что однажды созданный сложный пароль там, где у человека нет возможности использовать специализированное ПО для хранения ключей, лучше, чем постоянная замена более простыми вариантами.

    Ведь наш мозг лентяй по природе своей, поэтому стремится все упростить и шаблонизировать. А это, в свою очередь, приводит к тому, что при попадании наших даже неактуальных данных в руки более-менее ушлых злоумышленников, постоянная смена пароля, если он шаблонный (а так чаще всего и происходит), нам не поможет, а только исключит возможность использования по-настоящему сложного для взлома ключа.
    Поделиться публикацией

    Комментарии 231

      +1
      В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц.
      А в некоторых организациях такие инициативы исходят от начальства, а админ вынужден подчиняться.

      Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.
        +6
        Намного большая дыра — это когда в организации 50% штата женщины и девушки и у каждой под клавой лежит бумажка с новым пассом.

        (Нет, я не выдумываю).
          0
          Ну тут сильно зависит от целей защиты. Если просто от взлома «из интернета», то бумажка довольно безопасна. Особенно если штат в 2-3 человека и у каждого свой кабинет. Если же народу много, да еще рассаженных «по модному» (кучей в большом помещении с перегородками), тут уже бумажки выглядят предупредительным в голову.
            0
            Основная цель смены локальных паролей к учетным записям — защита от взлома «изнутри». В том то и проблема.
              0
              Бумажки под клавиатурой тут ускорят дело, да.
              Но даже если не будет смены паролей, то со временем всё равно сотрудники друг другу расскажут свои любимые пароли, которые они и на работе себе установили. Ведь бывают ситуации, когда сотрудника нет на месте, а нужны файлы с его компьютера или запустить под его учётными данными что-либо.

              Разумеется, мы говорим не о фирме, где грамотный системный администратор правильно настроил права доступа и всех научил, как действовать, когда им нужны файлы другого человека или нечто подобное — ситуации, когда пароль и передаётся третьим лицам.
                0
                Это с чего вдруг резко может понадобится доступ к файлам другого сотрудника?
                  0
                  А с того, что так устроен рабочий процесс и такие нерадивые пользователи — хранят рабочие документы на рабочем столе, а не в сетевом расположении.
                    0
                    а потом при открытии «A:\Какой-то_Очень_Хитрый_Отдел\Уважаемая_Фирма_Заказчик\Офигеть_Какой_Важный_Вариант_Проектов_Для-Кого-то_Очень_Важного\Важный_Проект_Важной_Фирмы\Очень_Короткий_Адрес_Расположения_Объекта\Краткое_Описание_Очередного_Варианта_Решения_Задания\Обзорное_Что-то_От_Числа_Месяца_Года_С_Учётом_Замечаний_И_С_Поправками_От_Число_Месяца_года_Правленое.<расширение>»
                    Программа или модуль сделает грустные глаза и на этом всё. Т.к. путь от 250 знаков чреват очень неожиданными открытиями.
                    Да и лазить замучаешься, особенно если проект размазан по куче каталогов…
                    А некоторые специальные програмки распространяемые в принудительном порядке, принципиально с сетевыми дисками не работают, ни под каким соусом, за исключением жёсткого монтирования каталогов в локальную файловую систему, и то, не без сюрпризов.
                    И не у всех сервак способен выдавать гигабайты всем желающим.
                    У нас пара компов, на А10 и виндовс 10, с сетевых дисков тащит(открывает) файлы со скоростью 50-200 кб/с.
                      0
                      Я же не утверждаю, что это правильный рабочий процесс и так надо делать. Это просто иллюстрация того, что такие ситуации имеют место быть. А уж почему они возникают в отдельно взятых организациях — вопрос к тем, чья это зона ответственности.

                      У нас вот программист 1С любит длинные названия папок с огромной глубиной вложенности.
                        0
                        Никакой альтернативы серверному хранению документов нет. Кроме технической неспособности какого-то софта работать с сетью (с сетевыми шарами). В идеале схема должна выглядеть так — каждому юзеру при входе мапится пачка сетевых дисков с нужными документами, а на рабочем столе раскладываются ярлыки с не очень нужными документами.

                        «Лазить замучаешься» — можно решить, опять-таки, группировкой ярлыков в локальной папочке. Документов на рабочих станциях быть не должно.

                        На моём предыдущем месте работы юзеры сначала горестно вопили, что когда документы хранятся на сервере — «это неудобно, это (якобы) тормозно» и т. п. После чего им объяснили, что на серверах всё регулярно бэкапится, и лежит не на десктопных ненадёжных дисках, а на системах покрепче. В случае же вылета рабочей станции разбираться и тянуть данные с неё никто не будет — им выдадут новый комп, и всё. Даже если диск цел — то данные с него будут извлекаться только по служебкам, завизированными лично начальником отдела и директором фирмы. А если с диском на рабочей станции проблемы, и какие-то документы оказались потеряны, то будет виноват тот самый конкретный %username%, который эти документы на этом диске хранил, и сей факт будет иметь для %usename% определённые организационные последствия.
                        0
                        Мне казалось, что с копеечным Office 365 с SharePoint, бесплатными облачными хранилищами и т.п. эти проблемы исчезли у практически у всех. А всякие владельцы жутких секретов в состоянии оплатить нормальную инфраструктуру и администрирование.
                        +2
                        Бюрократия безжалостна. У нас один раз вообще пришлось подписываться за человека, который уже умер. Смерть не может являться причиной невыполнения проекта.
                  0
                  Подтверждаю, пароль который действителен 30-60 дней, плохо запоминается, и многие его куда то записывают. Так я когда проводил проверку организации, увидел много нарушений в виде записей на клавиатуре, открытом блокноте на столе, лист бумаги, или стикер который где то рядом.
                  0
                  Ну и когда у человека один пароль на всё — это намного большая дыра в безопасности, нежели пароль, который легко подобрать, но при этом не получить доступа ко всему.


                  Ну я прям не знаю. Если легкоподбираемые пароли всё равно позволят получить доступ ко всему, хоть их и несколько — один сложный ИМХО всё же надёжнее будет. Его как минимум дольше подбирать.
                    0
                    Давайте представим, что кто-то хочет целенаправленно получить доступ к неким аккаунтам жертвы. И у жертвы один пароль на все аккаунты.
                    Варианты получения пароля:
                    1. Подбор.
                    2. Взлом базы хранения паролей всех сервисов, где есть аккаунт жертвы — может есть такие, где база плохо защищена и пароли в открытом виде.
                    3. Устроиться на ту же работу, где жертва и узнать пароль, поискав листочек с паролем на рабочем месте жертвы.
                    4. Есть ещё вариант — копаться в мусоре, ведь мало кто задумывается над тем, что он выкидывает.
                    И если Вам кажется, что третий пункт — глупость и никто этим заниматься не будет, то ошибаетесь. Зависит от того, кто жертва.
                    А бывают и просто мстительные коллеги.
                    Не вижу причин, чтобы разрешать пользователям использовать те же пароли, что и в их личных аккаунтах, не относящихся к работе, чтобы они потом были известны всем сотрудникам организации.
                      0
                      Давайте теперь представим, что у жертвы разные, но простые пароли на разных аккаунтах. И хакер их узнаёт подбором/перебором, не особо заморачиваясь копанием мусора, устройством на ту же работу и втиранием в доверие. Это быстрее и проще.
                        0
                        А теперь давайте представим, что наша жертва — никому не нужный чувак с работы, который косо посмотрел на коллегу-му**ка и этот коллега решил отомстить.
                        И подсчитаем количественное соотношение наших гипотетических ситуаций — какая встречается чаще?
                          0
                          чаще встречается один простой пароль («домашний»), или еще и один сложный («рабочий») написанный на бумажке.

                          а вот подобрать этот сложный пароль коллеге с работы будет непросто, если он не знает так сказать «общих принципов взлома паролей».
                  +9
                  Там, где требуется регулярно менять пароли, те пользователи, которые помудрее, обычно добавляют в конце цифру, и при требовании смены пароля просто увеличивают её.
                    +6
                    Это и есть шаблонизация.
                      +1
                      А что делать?
                      Запоминать новый сложный пароль каждые три месяца — то еще удовольствие.
                        +2
                        Или каждый месяц. Об этом то и речь, что все шаблонизируют, ибо деваться некуда. По этой причине утечка даже старых БД может быть фатальной. Не говоря уже о «памятках» и прочих прекрасных вещах.
                          0
                          Ну если предположить что у нас утекла БД, то без принудительной смены у нас скомпрометировано 100% паролей, а так может ещё и пронесет кого. Да и шаблоны можно сделать такими, что не так просто будет подобрать пароль не зная шаблона, даже если будет n предыдущих паролей известно.
                            0
                            Какой процент девочек-рекрутеров будут заморачиваться сложным шаблоном?
                              0
                              Так эти же девочки не будут заморачиваться и генерацией сложного пароля даже если у нас не будет «протухания».
                              Понятно что «протухание» — далеко не самая полезная мера безопасности.

                              Мой комментарий был про ситуацию с «утечкой старой БД» когда выходит что без принудительной смены хуже чем с ней.
                                0
                                На самом деле есть достаточно простые и оригинальные методы генерации паролей для вот таких вот юзверей. Например вот такое: https://www.sicher-im-netz.de/dsin-muster-passwortkarte
                                Не то чтобы супер, но лучше чем обычный пароль «на всю жизнь».
                                  0
                                  Такой услугой пользуюсь после прочтения статьи
                                0
                                Вряд ли можно… Точнее сказать, сложный шаблон спасёт одиночную учётную запись (например, если Вы используете один пароль на все учётки, но этот пароль реально стойкий (под 40-50 знаков, где символ "♫" является одним из самых простых). Но если речь идёт о корпоративных учётках, то принцип шаблонизации плох тем, что ВСЕ сотрудники знают принцип шаблона. Тогда любой уволенный 3-4 года назад сможет «сгенерировать» сегодняшний пароль действующего сотрудника, а ведь инсайдерские взломы тоже составляют не малый процент причин утечки.
                                0
                                Погодите: Вы предполагаете, что утекли сами старые пароли? Или все-таки их соленые хэши?
                                  0
                                  Или пароли. Из файла \\server\share\boss\работа\пароли сотрудников.xls
                                  «А вдруг уволишься или заболеешь? Как на твой компьютер попасть?» Не везде же есть [грамотный] админ. Редкая смена паролей тут, правда, не поможет совсем.
                                  0
                                  Ну так утечка старой БД в случае без принудительной смены паролей еще хуже.
                                  Чем МойСложныйПароль№ хуже МойСложныйПароль? (Ну я не имею в виду именно эти три слова :))
                                  А если утекли соленые хэши старых паролей то вообще хорошо. Не идеально, но гораздо лучше. Особенно если хеш формируется на стороне клиента. Лишь бы после МойСложныйПароль9 не стал МойСложныйПароль1.
                                    0
                                    У нас именно так и есть, записи на листочках и шаблонизация и с пользователей этого не выбить. Если только надзирателей выставить, чтобы не записывали не куда.
                                      0

                                      Карточки паролей. Каждый новый пароль в обязательном порядке записывается вместе с датой установки и подписью сотрудника на бумажную карточку, которая запечатывается в конверт, опечатывается и подписывается сотрудником и сдается руководителю, который хранит их в сейфе. В произвольный момент времени появляются сотрудники службы безопасности и требуют конверт произвольного сотрудника. Проверяется:


                                      • Работоспособность последнего записанного пароля.
                                      • Соответствие всех паролей принятым нормам безопасности.
                                      • Периодичность смены паролей.

                                      После проверки сотрудник службы безопасности делает отметку о проверке и подписывает ее. При выявлении нарушений применяются меры административного воздействия. После проверки сотрудник проводит внеплановую смену пароля.
                                      Кое-где эта схема работает.


                                      А еще кое-где пароли в конвертах хранятся в службе безопасности. В день истечения срока действия пароля сотрудник вызывается, получает свой конверт и меняет пароль.

                                        0
                                        Всё отлично, но вот после того как пользователь узнал и установил свой новый пароль — он должен его выучить. А если пароль сложный — то это тем более непросто для среднего человека. Соответственно, в промежуток времени между установкой пароля и его запоминанием — этот пароль будет у пользователя легкодоступен. На бумажке, на стикере, в заметках на телефоне… И чем хуже у человека память на такие пароли, и чем сложнее сам этот пароль — тем дольше этот «срок уязвимости», вплоть до момента получения нового пароля.
                                          0

                                          Это всего лишь способ борьбы с шаблонизацией и другими нарушениями правил составления паролей. Метод достаточно эффективный, по крайне мере простых и эффективные способов его обхода мне неизвестны. Насчет бумажек с паролем, там другие методы, вполне очевидные применяются. Но это все не имеет никакого отношения к тому, насколько хороши сами правила.

                                            0
                                            Даже если сотрудник пароль выучил, но потом хорошо провёл отпуск… :)))
                                  +2
                                  Я как-то из-за политики смен паролей в виндовом сервере (на который я очень редко захожу — тестовая машина) забыл пароль админа. После потраченных 3 часов вспоминаний и подборов больше не придумаваю абсолютно другие пароли, а добавляю цифры :)
                                    0
                                    Не катит, новый пароль не должен содержать части старого. А меняется каждый месяц. В итоге у всех пароли типа 1234567Ab и т.д. в разной последовательности.
                                      0
                                      А как система может это проверить?
                                      Она где-то хранит пароли?
                                        0
                                        Мне несколько раз попадались сайты, которые на попытку восстановить пароль ругались, что мой новый пароль отличается от старого всего одним символом. Вот такие вот сумрачные гении попадаются.
                                          0
                                          У Киви, например, есть проверка на использование ранее использованных паролей.
                                          Видимо, хранят старые хеши.
                                            +3
                                            Не, ранее использованные — это понятно. Хэши можно хранить и всё.
                                            А вот чтобы говорить, что у тебя новый пароль использует часть старого — нужно хранить сами пароли, а не их хеш.
                                              +1
                                              Можно и хэш хранить. Просто перед хэшированием и записью в базу нового пароля, несколько раз прогоняем его по шаблонизации, описанной выше в статье, и сравниваем со старым кэшем. При наиболее банальных модификациях — этого достаточно, говорим айайай. А небанальные нас устраивают.
                                                0
                                                Как я понимаю, по правильному хешу никакой шаблонизации или схожести паролей не поймаешь.
                                                Если у тебя старый пароль только в виде хеша, то насколько на него похож новый пароль — не узнать.
                                                  0
                                                  При смене пароля надо вбить старый и например два раза новый. Тут то их и можно сравнить.
                                                    0
                                                    С предыдущим да, а с пред-предыдущим и ещё глубже?
                                                      0
                                                      Можно просить вводить еще пред-предыдущий! :D
                                                        +1
                                                        Старые пароли могут просто храниться в хранилище, которое может быть дешифровано текущим паролем. При смене пароля текущий добавляется в хранилище, а паролем от хранилища становится новый пароль. Но если пароль забыть и принудительно сбросить, то история паролей пропадает.
                                                        0
                                                        А-а… хе-хе. Ну да :)
                                                        0
                                                        Существует криптографическая теория обработки данных (гомоморфное ширование), при которой данные хранятся в зашифрованном виде, но при этом возможно выполнение операций над ними.

                                                        Т.е. теоретически можно хранить пароли так, чтобы их невозможно было расшифровать, но при этом определять вхождение в виде подстроки.
                                                          0
                                                          Ну если только так.
                                                            –1
                                                            Можно еще хранить три хеша: от пароля, пароля без одного символа, пароля без двух символов.
                                                            Срежем <Пасс1, Пасс2> и <Пасс1!, Пасс2">
                                                  0
                                                  Возможно хеширующий алгоритм позволяет сравнивает части паролей.
                                                    0
                                                    не хранит, пользователь сам вводит старый и новый пароли в процессе смены.
                                                  0
                                                  Или добавляют номер месяца, можно с определенным смещением.
                                                    0

                                                    я добавляю цифру в начале пароля, т.к. алгоритм проверяет, что новый и старый пароли начинаются по-разному :)

                                                    0
                                                    Опишу свой опыт: во всех организациях (сфера электроэнергетика) абсолютно все пароли знают все сотрудники, а смена пароля только бесит так как ты забываешь пароль и приходится его записывать… чаще всего бумажки с паролями валяются или на столах или еще где. Когда сотрудник уходит в отпуск он сообщает коллегам свой пароль и порой через электронную почту. Если бы был один пароль, то его бы легко запомнили все, но постоянная смена пароля приводит к последствиям которые описаны в статье.

                                                    В большинстве организацией в электроэнергетике не зарезан доступ к почте. Точнее зарезан но не совсем. На данный момент через браузеры я не могу законнектиться на свою gmail почту, но через Franz я могу законнектиться и кидать что угодно. На данный момент я могу ставить сторонний софт вплоть до Tor'а. И к слову: СБшники у нас бывшие военные.
                                                      +1
                                                      У нас когда ввели практику «протухания» пароля раз в месяц, всем пользователям (а это тысячи человек) установили один и тот же пароль по типу 123456Zz. Безопасность во все поля просто
                                                        +1
                                                        Могу поделиться опытом из своей сферы. Когда пароли истекают, то люди банально приписывают ещё одну цифру/букву. Всех бесит, так как сеть закрытая, и изолирована от интернета.
                                                        К примеру пароль MyPassword2015 превращается в MyPassword2016. Безопасности это никак не добавляет.
                                                          +12
                                                          Прекрасная история в тему
                                                          Как-то раз в советские времена довелось мне посетить «машинный зал» оборонного завода N. Прихожу рано утром, набираю на цифровом замке код — дверь не открывается. Набираю другой код, вхожу, включаю ЕС, иду ставить магнитные ленты на лентопротяжки.

                                                          Слышу сзади: «Стой, соколик, где стоишь, и руки вверх!» Оборачиваюсь. Бабушка — божий одуванчик с «макаровым». «Пошли, — говорит, — к начальнику охраны, будем разбираться, кто ты такой и как оказался на территории режимного ВЦ во внеурочное время». А мне-то что — допуск и предписание у меня есть. «Пойдёмте, — отвечаю, — раз такое дело».

                                                          Начальник охраны оказался бдительным соколом сталинского разлива. Пролистал мои документы, скривился и говорит: «В принципе, ты имеешь право здесь находиться, но есть одна большая неувязка. Я с утра код на двери в машинный зал сменил, но никому его не сообщал и не сообщу до завтрашней утренней планёрки. Ты его уже знаешь. Что это значит? У нас утечка информации!» И смотрит на меня исподлобья с хитрым прищуром.

                                                          Битых два часа пришлось мне ему доказывать, что я, недавний выпускник мехмата, страшным усилием мозга чисто случайно догадался, какой будет код на двери 2 января 1985 года, если предыдущий код был «1984».

                                                          ithappens.me)
                                                            0
                                                            Не такая прекрасная история, но произошла со мной
                                                            Студентом был на практике в банке. Все ушли на обед (я возвращался) а мне по памяти сообщили пароль, но он не подошел. Номеронабиратель был вверхногами (т.е. засунул пальцы в щель и нащелкиваешь их вверх — к себе) и с экраном. Первый ряд «1234», второй «5678», третий "#90*". Через несколько попыток я догадался что номер был продиктован правильно по расположению но по раскладки или телефона или клавиатуры. (кол-во рядов не совпадает, но не проблема) Приятно было наблюдать удивление админов когда они нашли меня в комнате от которой мне дали не верный пароль.
                                                            +4
                                                            Я просто меняю пароль 10 раз и выставляю свой старый пароль — лучше один хороший, чем новый на бумажке.
                                                            (ну и в системе нигде не надо перевводить пароль)
                                                              0
                                                              Интересный метод.
                                                                +1
                                                                А не проще уже начать пользоваться keepass?
                                                                  +1
                                                                  Возможно и проще, но не имею опыта с KeePass, да и не хочется еще и в паролях зависеть от третьего софта.
                                                                    0
                                                                    Ну это до тех пор, пока вы не введете свой любимый пароль в какую-нибудь корпоративную систему и вам его не пришлют его обратно email-ом в открытом виде (демонстрируя, что разработчики нужной супер системы чихать хотели на хэширование паролей в базе).

                                                                      0
                                                                      Являясь разработчиком, первую регистрацию прохожу с 5min email. Кроме этого я использую три пароля — для сайтов с низким, средним и высоким доверием.
                                                                        0
                                                                        Мне как-то попалась система, которая требовала пароль с буквами в обоих регистрах, цифрами и спецсимволами длинной от 7 и до 10 символов. В тот раз подход, подобный вашему, впервые дал для меня сбой, так как пароля удовлетворяющего таким требованиям у меня не было.

                                                                          0
                                                                          Либо вы меня не поняли, либо я вас, либо вам везло. Я тоже пользовался когда-то несколькими паролями и их производными для разных сайтов, теперь же keepass мои волосы гладкие и шолковистые.
                                                                        0
                                                                        А моя зависимость от софта принесла свои плоды. Когда-то, когда у меня стояла Windows 95 мне приходилось достаточно часто набирать серийный номер для продолжения установки винды. Вводить приходилось настолько часто, что серийник въелся мне в мозг, я сейчас его могу закрытыми глазами набрать. Сейчас этот серийный номер используется для генерации сложных паролей для определенной группы сайтов, с shift и без него (с shift числа заменяются спецсимволами), с перестановкой групп, с разной длиной. Для других групп сайтов используется другой серийный номер, уже от Windows XP)

                                                                        Считаю практику протухания паролей относительно небезопасной, ее нужно внедрять только там, где она, действительно, необходима.
                                                                        +1
                                                                        А как использовать KeePass для входа в систему?
                                                                          0
                                                                          Вот тоже думаю над этим. Пока придумалось взять или сделать USB брелок эмулирующий клавиатуру.
                                                                            0
                                                                            Можно использовать на стороннем устройстве, например, телефоне. Только пароль делать не 40-символьный с доп.знаками, а просто подходящий по политикам, легко набираемый. KeePass тут будет просто как памятка, а не источник копипаста.
                                                                              0
                                                                              Я для таких случаев пользуюсь 1Password. Пересел на него с KeePass.
                                                                              Для входа в сторонние системы использую 1Password для андроида. По моему гораздо удобнее чем записывать пароли вроде «gD2kJq0vMo1».
                                                                                0
                                                                                Спасибо, но нет. Я не буду покупать этот продукт. У keepass есть нормальная версия для мобильных. До недавнего времени долго не было адекватных версий для мак, но уже год как keeweb хорошо с этим справляется
                                                                      +3
                                                                      Использую шаблон пароля уже лет 10. поменял 3 работы, везде смена пароля каждые 30 -45 дней.
                                                                      Для личных целей использую пароль Буквенно-цифровой, большими и маленькими буквами, с использованием спец символов, меняю после подозрения на компрометацию, или по желанию.

                                                                      Был период (около 2х лет) когда демонстративно записывал пароль на бумажку и клеил на монитор, но как я понял, никого не волнует подобное поведение.
                                                                        0
                                                                        Самое прикольное это когда звонят и просят сказать пароль в упор не замечая приклеенную на монитор бумажку с этим самым паролем.
                                                                        0
                                                                        У нас в офисе больше половины сотрудников возрастом 40+ и почти все они хранят пароль от учётки на бумажке. Смена пароля каждые 2 месяца.
                                                                          0
                                                                          Шаблонизация паролей — всем известная беда. Ещё хуже бывает, когда работа построена таким образом, что отсутствие сотрудника вынуждает его сообщать свой пароль коллегам, ибо физически заменить его есть кем, а с временным доступом к его ресурсам (делам) для другого сотрудника никто заморачиваться не будет. И такое повсеместно, даже в банках. И так будет продолжаться до тех пор, пока целью будет безопасность на бумаге, а не в реальности.
                                                                            0
                                                                            А в случаях такой секретности, нельзя использовать «железные» решения?
                                                                              0
                                                                              дополнительные затраты, а при отсутствии знаний штатных админов — весьма существенные. интегрировать смарткарты в корпоративные приложения, у которых их нет «в коробке» тот ещё гемор.
                                                                              +2
                                                                              image

                                                                              Мой заказчик использует вот такие штуки. У сотрудника есть постоянный пин-код и регулярно изменяющийся номер, который он видит на экранчике.

                                                                              Что скажете насчет безопасности (и клиентолюбивости) такого метода?
                                                                                +1
                                                                                У нас сотрудники иногда пропуски забывают дома, либо теряют их, чего уж говорить про такие токены. Забыл токен = топай домой за ним? 1час в одну сторону + 1час в другую = 2часа потерянного рабочего времени. Никому не в радость — ни директору, ни работнику.
                                                                                  0
                                                                                  Ну вот у заказчика не забывают. Видимо есть удачная мотивация. Или решение проблемы забытого токена на месте, не знаю. Собственно не вижу большой разницы с рассылкой пароля через смс/приложение на мобильном.

                                                                                  Мобильный, конечно, тоже можно забыть дома.
                                                                                    +1
                                                                                    Для таких забывашек придумали приложение на мобильном.
                                                                                      0
                                                                                      Я в курсе про OTP генераторы, но ведь речь идет про физический исполнитель (см.картинку), и ни слова про «используется два варианта — физический или программный». Как правило, если заказчик параноик, то он форсит вот такие железные токены, и не воспринимает программные модули, мол «вирус попадет и всё, кирдык». Тот, кто более-менее адекватен — другой разговор…
                                                                                      0
                                                                                      К карте-пропуску или токену нужна ещё одна приблуда, устанавливающаяся дома (как в гостиницах): пока не вынешь карту/токен из держателя, не закроешь дверь дома.
                                                                                        0
                                                                                        Хорошо когда один живёшь, а так с каждым приходящим-уходящим проблема будет.
                                                                                        +1
                                                                                        Да, именно так и должно быть. Забыл токен — иди домой, получай выговор за прогул. Потерял — готовься к худшему.
                                                                                          0
                                                                                          У нас такие были на одном проекте. Если потерял токен — то пишешь бумажку, платишь копеечку, старый деактивируют — дают новый. Потеря времени — да, но народ довольно быстро привык.
                                                                                            +1
                                                                                            Забыл токен = топай домой за ним?

                                                                                            Я токен просто на ключи вешаю. Связку ключей забыть сложно.
                                                                                              0
                                                                                              Да идти домой. И соответственно, терять в деньгах на штрафе, Не поверишь один — два раза и он всегда с собой.
                                                                                              На предыдущей работе были такие токены. Правда в дополнение к обычным паролям…
                                                                                                0
                                                                                                На токен можно повесить временный пароль с ограниченным сроком действия. Полчаса, скажем, вместо пина + циферок с токена надо будет вводить просто «ядебил», потом опять обычная схема.
                                                                                                0
                                                                                                Для RSA можно и программку на телефон поставить, не обязательно хардварные штуки — с ними дольше и напряжнее.
                                                                                                А так — на телефоне программу открыл, пинкод ввел, текущий пароль получил.
                                                                                                Сертификат выдается например на несколько месяцев. Сотрудник еще работает — продлили. Уволился — закрыли.

                                                                                                  0
                                                                                                  Полностью согласен. Одно устройство на все случаи жизни.
                                                                                                  И лучше если какой-нибудь keypass будет один, но с открытым API. Чтобы любую систему можно было подключить
                                                                                                –1
                                                                                                Достаточно 2 пароля запомнить. И делать ими рокировку раз в месяц. Сам использую keePass
                                                                                                  +7
                                                                                                  Недостаточно: у нас вот например пароль не имеет права совпадать с десятью предыдущими. Помимо того, что пароль принудительно меняется раз в месяц, обязан содаержать спец.символы, цифры и буквы в разных регистрах, и не содержать последовательностей одинаковых символов длиной больше двух.
                                                                                                    +2
                                                                                                    У нас на работе любители «своего пароля» меняют сразу 10 раз, и потом меняют уже на «свой нужный» :)
                                                                                                      +6
                                                                                                      Ха! Для этого есть опция запрета смены пароля чаще чем раз в сутки!
                                                                                                        +1
                                                                                                        У нас эта опция включена, а ещё включена опция блокировки аккаунта при вводе неверного пароля и есть сайт на котором можно различить аккаунт с помощью секретных вопросов. Но, на сайте есть ещё возможность просто сбросить пароль, подтвердив личность ответами на секретные вопросы, и установить новый пароль. При этом, новый пароль не проверяется на повторы.
                                                                                                        В итоге, когда срок действие пароля истекает, мы просто его сбрасываем и указываем тот же пароль. Active Directory домен, не знаю родной сайт или нет ( при стандартной процедуре смены пароля все политики учитываются)
                                                                                                          +2
                                                                                                          Ну и для полной секьюрности:
                                                                                                          image
                                                                                                        0
                                                                                                        хэш прошлых паролей хранится? Даже и не подумал что так нужно)) тогда по месяцам смены пароля, числа в начале или в конце: ****04 — апрельский пароль))
                                                                                                        0
                                                                                                        На сколько знаю, глубина проверки на совпадение с предыдущими настраивается, и её может как не быть вовсе (при истечении срока пароль меняется на такой же), так и быть на полную уникальность (ни одного повторения)
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          +1
                                                                                                          Отпечатки тоже нужно менять каждый месяц? Плюс части старого отпечатка не могут содержаться в новом.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              +1
                                                                                                              Это был сарказм, направленый в сторону черезмерно усердных IT-Sec-ов.
                                                                                                            +1
                                                                                                            Использование любых биометрических данных крайне опасно. Если пароль при его компрометации можно просто поменять, то биометрические данные — нет. Поэтому биометрические данные должны быть защищены гораздо более сильно, чем пароли. И способ их применения также ограничен — их явно неразумно использовать для удалённой аутентификации в банк-клиенте.
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            +5
                                                                                                            Лучший пароль, который я видел, это:
                                                                                                            — Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой… ламерский…
                                                                                                            <...>
                                                                                                            — Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
                                                                                                            <...>
                                                                                                            Чингиз выдыхает и ледяным голосом произносит:
                                                                                                            — Сорок тысяч обезьян в жопу сунули банан.
                                                                                                            (с) Лукьяненко. Фальшивые зеркала
                                                                                                              0
                                                                                                              Для тех, кто хорошо набирает вслепую пятипальцевым методом можно сдвигать ряд вверх и менять регистр. Тогда получается что-то вроде

                                                                                                              Duyu4nhwdasjbuk5-js6benput3nd363ignkr6r6;
                                                                                                                +1

                                                                                                                Я тож так думал, а потом понадобилось зайти с мобильного, а там другая раскладка

                                                                                                                0
                                                                                                                Моллюски отгрызли мои гарцующие гениталии
                                                                                                                (с) UNIX. System Administration Handbook (русский перевод, изд. «Питер», «БХВ-Петербург»).
                                                                                                                  0

                                                                                                                  Стро́чна́я бу́ква — буква, размер которой меньше прописных. Строчные буквы используются по умолчанию для написания текстов во всех случаях, за исключением тех, где по правилам требуется использование прописных (больших) букв. Например, буква «а» — строчная, а «А» — прописная.


                                                                                                                  Прописная, она же заглавная буква — буква, которая увеличена в размере в сравнении со строчными буквами.

                                                                                                                    0
                                                                                                                    Теперь ещё объясните разницу между «печатная», «заглавная» и «прописная» — правда, интересно.
                                                                                                                    Иногда «прописная» используется как антоним для «печатная», что вводит в заблуждение.
                                                                                                                      0

                                                                                                                      Действительно вводит. Антоним для "печатная [буква]" — "рукописная". Иногда "письменная". Заглавные (они же прописные, они же "большие") и строчные (они же "маленькие") буквы могут встречаться и в печатных, и в рукописных документах.
                                                                                                                      Возможно вариант "прописная" в значении "рукописная" возник в просторечии как производное от "пропись" = "образец каллиграфического письма", а также "тетрадь, содержащая такой образец".
                                                                                                                      Ну и еще есть устойчивое выражение "сумма прописью", означает запись числительных (обыно в финансовых документах) в виде слов, а не цифрами. Может быть как в печатных, так и в рукописных документах.

                                                                                                                  +4
                                                                                                                  Ситуация с паролями — симптом ущербного процесса обеспечения безопасности. Службе безопасности нужно ставить в обязанность наладку реального безопасного рабочего процесса (а не абстрактную безопасность) с приоритетом работоспособности над ограничениями, учитывающего человеческий фактор, объективные рабочие ситуации (а не соображения безопасников на тему, как должно быть в теории) и потребности, реальные возможности и ресурсы каждого элемента и участника.

                                                                                                                  Только реальные условия и требования вышибают идейный бред из голов безопасников. Когда им придётся думать о реальном массовом мотивированном поведении, а считать, что «мы прикажем — юзера выполнят». Это как раз тот случай, когда не справляющимся СБшникам действительно лучше уйти. Если ограничения во имя «безопасности» мешают делу, то безопасник стал злоумышленником: нет разницы, почему дело встало.
                                                                                                                    –1
                                                                                                                    Ну ситуации разные бывают. Пусть не каждый месяц, но раз в полгода, например, захотели безопасники/админы сменить пароль, но 40-летние тётеньки подняли шум и скандал, обвиняя безопасника/админа во всех грехах, просто потому, что они не хотят и не могут запомнить новый пароль, это нарушает их комфорт. И что теперь, безопаснику/админу уходить? Или всё же пригрозить тёткам штрафом, а особо упрямых уволить? Ведь из-за упрямой некомпетентности действительно может произойти утечка секретов.
                                                                                                                      0
                                                                                                                      А если эти несколько тёток не просто бумажки перебирают, а являются ценными специалистами с многолетним опытом? А админа реально найти и заменить?
                                                                                                                      Не надо оценивать ситуацию так, будто админ — центр Вселенной.
                                                                                                                        0
                                                                                                                        Проблема — в необходимости использовать пару логин/пароль. Если следовать «лучшим практикам» безопасности, то в каждой системе необходимо использовать уникальную пару.

                                                                                                                        Проведём наблюдение: в скольких системах человек, активно пользующийся ИТ-средствами, имеет аккаунт?

                                                                                                                        Даже если просто оценить количество наиболее используемых систем в течение года: минимум три компьютера (десктоп рабочий и домашний, смартфон), пара интернет/мобильных/онлайн-банков, пара почтовых аккаунтов, пять аккаунтов в соцсетях, три платёжных системы, пятёрка багтрекеров, пятёрка сайтов перевозчиков (РЖД, авиа и т.д.), пара образовательных сайтов, тройка аккаунтов в госсистемах (ЕСИА для наологовой и РОИ, госуслуги, активный гражданин).

                                                                                                                        Итого 30 аккаунтов минимум, Карл, только на часто используемое в течение года! Вот кому это надо?
                                                                                                                        (Восстановления пароля каждый нарушает означенную выше «практику» и невозбранно увеличивает временные затраты на взаимодействие с системами.)
                                                                                                                        +1

                                                                                                                        Существует два, принципиально разных подхода к обеспечению безопасности. Первый применяется в сфере государственной безопасности и основан на том, что вред от утечки информации не поддается реальной оценке и принимается очень большим. В этом случае бюджет на обеспечение безопасности принимается как максимально возможный исходя из имеющихся финансовых возможностей. Второй подход применятся в сфере бизнеса. Там, вред от утечки как правило можно оценить более точно, поэтому бюджет безопасности расчитывается таким образом, чтобы обеспечивать приемлемый уровень рентабельности. Кроме того в первом подходе наибольшую опасность представляет именно утечка информации, а во втором — блокирование доступа к ней или ее уничтожение.
                                                                                                                        Ситуация в России складывается таким образом, что большинство специалистов в области безопасности либо сами большую часть своей карьеры специализировались на первом подходе, либо учились у таких специалистов. Отсюда и приоритеты.

                                                                                                                        +2
                                                                                                                        У нас был одно время такой маразм с системой учёта времени — там мало что пароль каждый месяц новый, так ещё и с кучей правил — надо было использовать буквы в обоих регистрах, цифры, несколько прошлых паролей нельзя, последний символ не должен быть цифрой, да ещё и если в новом пароле какие-то символы стоят на тех же местах что и в старом, то тоже не проходит, то есть одну- две буквы не заменить.

                                                                                                                        Короче, все обвешались бумажками, а я пришёл вот к какому хаку — вместо запоминания пароля я запомнил расположение клавиш, ну к примеру, EWQ1324s. И каждый месяц я сдвигался по клаве направо, соответственно следующий будет REW2435d, потом TRE3546f, и так далее. Первую букву пароля на данный месяц я писал прямо в календарь. Помогло безболезненно пережить этот кошмар.
                                                                                                                          0
                                                                                                                          Помогло безболезненно пережить этот кошмар.
                                                                                                                          Упомянутый тут не единожды KeePass помог бы пережить его проще. Естественно, если политика разрешает установку софта.
                                                                                                                            +1
                                                                                                                            KeePass я пользуюсь, точнее SplashID, что по сути тоже самое, но гайки были закручены до отказа — мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал, а набирать каждый раз случайно сгенерированный пароль глядя на экран смартфона неудобно. В общем «перемещаться» по клавиатуре оказалось для меня удобнее всего. При этом пароль вообще нигде не хранится, окромя головы. Плюс возникла «мышечная память» — я стал набирать этот пароль ну очень быстро, несмотря на то, что он менялся каждый месяц.
                                                                                                                              0
                                                                                                                              мало того, что ставить софт нельзя, так и даже хранение его в текстовом файле большого смысла не имело — копипаст в этом окне не работал

                                                                                                                              Бррр… ужасы какие…
                                                                                                                            +2
                                                                                                                            Интересно: для непосвященного система безопасности внешне кажется надежной, по факту — пароли хранятся в открытом виде.
                                                                                                                              0
                                                                                                                              шаблонизация в чистом виде, о чем собственно и статья :)
                                                                                                                              0
                                                                                                                              У меня есть почта на одном известном сервере. которую я завел на заре интернета в 2001 году. Там стоит 4-символьный пароль. Прошло уже 15 лет. Пароль все тот же, никто ничего не сломал. Ради интереса не буду его менять и дальше, хотя сервис упорно требует. Посмотрим, насколько хватит.
                                                                                                                                +4
                                                                                                                                Вероятно, вы тот самый Неуловимый Джо.
                                                                                                                                  +2
                                                                                                                                  Позвольте. А откуда вы знаете что никто ничего не сломал? Возможно сломали, но вас забыли об этом предупредить? Или возможно ваша безопастность — заслуга этого сервиса который не дал своей базе утечь налево за все эти годы (все же никто не будет сидеть и подбирать пароли через форму входа, любой сколько-нибудь приличный сервис заблокирует атакующего до того как он успеет проверить даже комбинации из всего 4х символов).
                                                                                                                                    0
                                                                                                                                    Подтверждаю Ваши подозрения. Был у меня сервер на старом пентиуме. Да точнее это был домашний роутер на два провайдера с ftp чтобы заливать и шарить файлы.
                                                                                                                                    Как-то раз заходя на него я нашел файлы в корне ftp говорящие о конфигурации моего компьютера. Беглый осмотр ничего не показал, а квалификация не позволила мне копнуть глубже, понадеялся что мой Pentim II с 5Гб винчестера никому не нужен.
                                                                                                                                    0
                                                                                                                                    Рамблер? )
                                                                                                                                      0
                                                                                                                                      Именно. Почему уверен, что никто не ломал — на почте этой одно время в открытом виде лежала некая инфа, которую взломавший наверняка бы стянул (доступ в разные ММО и тп, который регали родственники, а потом забросили играть). аккаунт стима, когда он еще не был столь популярен — ничего из этого не утекло.
                                                                                                                                      0
                                                                                                                                      У меня каким-то образом всё-таки увели такой аккаунт. Хотя я и был неуловимым Джо (не пользовался им, да и имечко было довольно случайное).
                                                                                                                                      0
                                                                                                                                      Я уже много паролей с совершенно случайной последовательностью символов наизусть помню.

                                                                                                                                      Основная проблема, что я их помню больше механически, и если попадаю в ситуацию, когда пароль надо ввести на виртуальной клавиатуре (через телефон или мышкой), долго туплю.
                                                                                                                                        0
                                                                                                                                        Большую часть своих паролей храню в lastpass, кроме критически важных (например от интернет-банка).
                                                                                                                                        Кто в теме, скажите, стоит ли переехать на keepass?
                                                                                                                                          +1
                                                                                                                                          На keepass2 или keepassX
                                                                                                                                            0
                                                                                                                                            Чем они лучше lastpass?
                                                                                                                                              +2
                                                                                                                                              keepass(X) опенсорсный.
                                                                                                                                          0
                                                                                                                                          У наших юзеров пароль от доменной учётки генерируется случайно и хранится в персональной touch-memory + клавиатурный пароль. Смена не обязательна. 99% рабочих приложений — браузерные, авторизация при входе сквозная. По-моему, идеальный вариант, как скажете?
                                                                                                                                            +1
                                                                                                                                            Насколько я понимаю, смену паролей практикуют на тот случай, если пароль или база с паролями будет украдена, но долго не использована.

                                                                                                                                            Главная проблема — это хранение и передача паролей в открытом виде. Если пользователь забыл пароль, то не должно быть ни единого способа этот пароль подсказать, только создать новый пароль. Даже Яндекс грешит хранением паролей в открытом виде.
                                                                                                                                              0
                                                                                                                                              Требования к периодической смене есть и в законодательной нормативке.
                                                                                                                                              В основном это против случайной утечки пароля.
                                                                                                                                              Если пароль не меняется годами, он постепенно становится известен все большему кругу лиц.
                                                                                                                                                0
                                                                                                                                                Требование о смене пароля раз в год и требование о смене пароля ежемесячно (с хранением в открытом виде и прочими прелестями) — разное
                                                                                                                                                0
                                                                                                                                                Учет рабочего времени тоже обычно ни к чему хорошему не приводит и не является полезной практикой.

                                                                                                                                                Мониторинг сетевой активности может быть полезен для анализа узких мест и приоретизации трафика, но никак не для анализа личной эффективности Петрова и Васечкина по частоте пользования «развлекательных» сайтов.

                                                                                                                                                На предыдущей работе были и СКД, и анализатор трафика, и даже в своё время счетчик трафика на разных сайтах (с отключением доступа к оным по превышению лимита), сейчас ничего такого нет, и слава Бобу. Производительность зависит не от этого.
                                                                                                                                                  0
                                                                                                                                                  Конечно эффективность не от этого зависит. Как раньше ходили толпами «покурить», так и сейчас. Как же раньше мою религию некурящего задевали — не дай бог я выйду с ними — я же бездельник, а они — «просто курят».
                                                                                                                                                  Как хорошо было уйти из офисной жизни. Теперь в офисы работать — ни ногой.
                                                                                                                                                    0
                                                                                                                                                    Контролируют что проще. Время нахождения проще и универсальнее всего (секретарша и программист находятся на месте одно время — отдача 100%). Одно средство, чтобы управлять ими всеми (почти Ц) Можно программистов по количеству залитых строк кода контролировать — так же бесполезно, но ещё и не универсально.
                                                                                                                                                    –1
                                                                                                                                                    Уйти от бумажек с паролями можно административными методами – регулярно проводить тесты сотрудников в присутствии представителя ИТ службы. Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.

                                                                                                                                                    Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
                                                                                                                                                      0
                                                                                                                                                      Как это спасёт от шаблонизации?
                                                                                                                                                      И вообще, ужесточение мер не выход. Достаточно доходчиво объяснить сотруднику, что за любые действия под его учёткой несёт ответственность только он.
                                                                                                                                                        0
                                                                                                                                                        Проблема не в шаблонизации от безответственности. В исследовании шаблонизированные пароли были на банковских счетах, а что может более ответственным, чем сохранностью кровью и потом заработанных?
                                                                                                                                                        +2
                                                                                                                                                        Угу, работаю на очистных — численность смены охраны ~ 0.3 от рабочей смены зарплаты думаю все 0.5 будет, на соседа повесили еще и обслуживание проходной (система учета) т.к. эти бугры прыщи с одной извилиной от фуражки не могут даже новый пропуск ввести. Не смотря на такое количество дармоедов, с площадки можно кучу дерьма украсть :).
                                                                                                                                                        «регулярно проводить тесты сотрудников в присутствии представителя ИТ службы» Вы из которых (сотрудник, вертухай безопасник, IT служба, нацгвардия)?
                                                                                                                                                        Имею опыт сисадмина 11 лет (дерево доменов, более 500 учеток, + удаленные доступ), а потом еще 3 года в безопастниках IT. сейчас АСУТП.
                                                                                                                                                        Всегда был против повальной политики смены паролей. А пример моего пароля: ijg,ibligrprg (песня про Щерса) к каждому месту ассоциативная песня.
                                                                                                                                                          +1
                                                                                                                                                          Не может ввести пароль без бумажки – наказывается штрафом согласно политике компании.
                                                                                                                                                          ТК РФ будет против.
                                                                                                                                                          Ну и постоянно напоминать, что один утекший пароль может разорить компанию: данные клиента утекают –> суд –> штраф –> банкротство.
                                                                                                                                                          А почему работника должны волновать риски работодателя?
                                                                                                                                                            0
                                                                                                                                                            ТК РФ будет против.

                                                                                                                                                            Не будет. Это делается через уменьшение размера премии, которая может составлять значительную часть зарплаты. В особо тяжелых случаях через выговор (прощай премия на год).

                                                                                                                                                              0
                                                                                                                                                              По закону нельзя просто так взять и уменьшить/не выплатить премию. Впрочем увеличить/выплатить просто так тоже нельзя. Согласно 129 ст. ТК РФ премия — это часть заработной платы.
                                                                                                                                                              Выплата премий регламентируется либо трудовым договором, либо положением о премировании. И вот в таком документе должно быть отражено за какие заслуги премия платится и в каких количествах. Соответственно, чтобы порезать человеку премию на том основании, что он не помнит свой пароль, нужно как-то фиксировать это требование. И вот как такое требование нормально закрепить в том же положении о премировании или трудовом договоре я хз. Т.е. зафиксировать-то просто, но вот зафиксировать так чтобы суд, в случае тяжбы, не признал такое требование ничтожным — это уже задачка сложнее.

                                                                                                                                                              С другой стороны работник, скорее всего, не будет париться и идти в суд (и ждать пару лет решения, ага) чтобы ему выплатили премию.
                                                                                                                                                                0

                                                                                                                                                                Смотрите, зарплата состоит из трех частей: оплаты за труд, компенсационных выплат и стимулирующих выплат. Стимулирующие выплаты (включа премию) выплачиваются обычно при отсутствии нарушений трудовой и производственной дициплины (это указывается в положении о премировании). В трудовом договоре пишется что-то вроде: "работнику может выплачиваться дополнительное вознаграждение в соотвествии с положение о премировании действующим на предприятии".
                                                                                                                                                                Фиксируется все просто. Выпускается инструкция, устанавливающая порядок использования паролей, доводится до каждого сотрудника под расписку. Когда приходят безопасники, это называется "проверка". По результатам проверки составляется акт, где в том числе указаны все нарушения. Когда готовится очередной приказ о выплате премии в нем указывается каким работникам и за какое нарушение премия снижается или не выплачивается. С приказом сотрудник так же ознакамливается под расписку. Обжаловать, конечно можно, но если юрист грамотный, то выплата премии оказывается не обязанностью, а правом работодателя.
                                                                                                                                                                Это все достаточно очевидно в любой фирме где есть нормальные юристы и делопроизводители.

                                                                                                                                                                  0
                                                                                                                                                                  Да, при таком подходе наверное покатит. Правда, насколько я понимаю, чтобы незнание пароля считалось нарушением трудовой дисциплины нужно, чтобы требование знание пароля наизусть было зафиксировано в трудовых обязанностях работника. Что вроде реализуемо.

                                                                                                                                                                  С другой стороны все это — тонна бюрократии, отчетности и времени непонятно для чего. Проще уж реально внедрить какие-нибудь rsa токены.
                                                                                                                                                          0
                                                                                                                                                          Лайфхак: в качестве пароля используйте какое-нибудь определение из математики, cs или что вас интересует. Или 10-20 сложных слов из языка, который изучаете.
                                                                                                                                                          Мотивация запоминать пароль и менять почаще — бонус.
                                                                                                                                                            0
                                                                                                                                                            Всякие шибко умные сайты и корпоративные политики могут требовать большие/маленькие буквы, цифры и спецсимволы.
                                                                                                                                                              0
                                                                                                                                                              Это ещё хорошо, что они не требуют паролей с Alt-кодами (у меня и такой был)
                                                                                                                                                                0
                                                                                                                                                                Большие и маленькие буквы, а так же знаки препинания — есть в любом определении. Да и в списке слов их легко получить: Cat, dog & elephant.
                                                                                                                                                                В крайнем случае, можно добавлять одинаковый набор спец символов к каждому паролю, т.е. их придётся запомнить один раз.
                                                                                                                                                              0
                                                                                                                                                              Вся проблема в том, что информационная безопасность — это очень комплексная штука и она упирается не только в вычислительную технику, но и в человека. При этом в большинстве компаний эту задачу вываливают на админа, который делает то, чему обучен — решает вопрос со стороны вычислительной техники. И как правило у админа есть только ответственность за утечку и нет административного ресурса для решения такой задачи. Про то, что должен еще быть чекист, который закручивает гайки со стороны человека как-то не вспоминают.

                                                                                                                                                                +1
                                                                                                                                                                Где то видел клевую идею. В качестве пароля брать фразу мотиватор на локальную краткосрочную цель. Скажем «надо скопить на отпуск» или «доделай уже ремонт». И пинает каждый раз доделать висяк и забыть такой пароль сложно и сложность пароля высока.
                                                                                                                                                                  0
                                                                                                                                                                  Это если у тебя есть цель поменять пароль, то можно без проблем подобрать легко запоминающийся, криптостойкий и укладывающийся в шаблоны. А если ты считаешь админа фриком с причудливыми тараканами в голове, то и пароль будет «123», и этот пароль будет написан на стикере наклеенном на мониторе и весь офис будет уведомлено о текущем пароле.
                                                                                                                                                                    0
                                                                                                                                                                    И на монитор можно приклеить и никто не догадается ;)
                                                                                                                                                                    0
                                                                                                                                                                    Истинно так. Но увы, ничего не поменяется в обозримом будущем.
                                                                                                                                                                      0
                                                                                                                                                                      Напишу-ка я свой первый комментарий!
                                                                                                                                                                      Работал я почти два года в министерстве, в Казани, в одном из самых маленьких.
                                                                                                                                                                      Да, каждый месяц меняли пароль по приказу совсем сверху.
                                                                                                                                                                      И да, у >90% сотрудников лежали бумажки с паролем под клавой, я при случае проверял всегда) И, даже у админа.
                                                                                                                                                                      Пожалуйста, не гуглите что за министерство, а то совсем тошно станет)
                                                                                                                                                                        0
                                                                                                                                                                        Альфабанк. Клик. Регулярно заставляют сменить пароль, при этом спецсимволы в пароле запрещены, а длина ограничена.
                                                                                                                                                                          0
                                                                                                                                                                          Я логин от альфаклика запомнить не могу, а на пароль уже и подавно забил, неудобный сервис вообще… сбербанк куда удобнее (необходимо помнить пинкод из 5-ти цифр и всё, хотя для первого логина нужен длинный логин)
                                                                                                                                                                            0
                                                                                                                                                                            В альфаклике можно задать свой альтернативный буквенный логин. А вот пинкод от альфамобайла я забыл сразу же. Очень неудобно, когда тебя заставляют ВОТПРЯМОСЕЙЧАС его придумать.
                                                                                                                                                                              0
                                                                                                                                                                              Честно говоря путаю клик и мобайл, мобайл у меня почему-то все время просил ввести и логин и пароль, иногда вроде бы логин запоминал, но его можно было случайно сбросить… В общем сервис платный, а доступ к нему был довольно геморройный решил отказаться, было это давно, возможно сейчас что-то у них по другому, но меня уже это не сильно волнует.
                                                                                                                                                                              0
                                                                                                                                                                              У Сбербанка проблема ещё более серьёзная: логины и пароли от онлайн-банка, наоборот, крайне живучие.

                                                                                                                                                                              Потерял старый листочек с паролем, пошёл к банкомату, получил новый — пользуюсь. Сменил логин — вообще красота. Нашёл старый листочек, ввёл от него старые данные — спокойно вошёл в онлайн-банк по старым логину и паролю.

                                                                                                                                                                              Походу, при запросе доступа в онлайн-банк просто создаётся новый алиас, а старые не уничтожаются.
                                                                                                                                                                                +1
                                                                                                                                                                                Это плохо.
                                                                                                                                                                                Но свой логин/пароль (на сколько заметил — без ограничений) однозначно удобная вещь. Короче ясно, листочки с банкомата надо съедать уничтожать после использования.
                                                                                                                                                                                  0
                                                                                                                                                                                  Не после. Перед прочтением уничтожить :)
                                                                                                                                                                                  0
                                                                                                                                                                                  Вот я тоже переживаю, брал листок с пинами в банкомате (которые можно вводить для подтверждения покупок вместо кода из смс), и где-то дома посеял его.

                                                                                                                                                                                  Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел, видимо нужно обращаться в сбербанк напрямую с заявлением.

                                                                                                                                                                                  Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!) и еще на новый номер умудряются присылать требования погасить задолженность незнакомого мне человека (видимо этот телефон ранее был добавлен в базу банка для другого счета по которому сейчас долг). Для того чтобы смс приходили на новый номер телефона пришлось сходить в банк 3 или 4 раза, причем каждый раз уверяли, что номер телефона был успешно изменен, вот как после этого верить словам сотрудника банка? Слова расходятся с фактами, говорит, что поменяли, а по факту смс в этот же день приходит на другой номер. Сначала думал, что вина в неопытных сотрудниках банка, но скорее всего у них просто ПО кривое и нужно менять номер телефона для каждой услуги отдельно и список этих услуг или выборку по номеру телефона и привязанным к нему услугам просто невозможно сделать.
                                                                                                                                                                                    0
                                                                                                                                                                                    Сбербанк кстати еще не умеет нормально менять номера телефонов, один раз привязался и потом хрен сменишь, т.е. часть смс продолжает приходить на старый номер телефона(!)

                                                                                                                                                                                    Та же проблема, при регистрации в Сбербанк-онлайне используется новый номер телефона, а при получении одноразовых кодов используется старый номер. Причём в отделении сбербанка старый номер удалить не могут, т.к. его в базах нигде нет.

                                                                                                                                                                                      0
                                                                                                                                                                                      Инструкций по отзыву неиспользованных пинов или по отзыву доступа по парам логин-пароль не нашел
                                                                                                                                                                                      Элементарно: идёте к банкомату, печатаете новый список паролей, и старый становится недействительным. Ну а с новым делайте что угодно, хоть уничтожьте.
                                                                                                                                                                                      Я тратил минут 10 на перебивание его в KeePass, а бумажный уничтожал. Раньше не все сервисы можно было через СМС подтвердить, некоторые только паролем, выручало.
                                                                                                                                                                                        0
                                                                                                                                                                                        Только есть одна беда: при перевыпуске карты будет новый логин/пароль, но старый продолжает работать. При утере старого листочка с паролем — всё.
                                                                                                                                                                                          0
                                                                                                                                                                                          Я не про пароль к онлайн-банку, а про одноразовые пароли для оплат (печатаются по 20 штук за раз), те точно недействительны становятся.
                                                                                                                                                                                            0
                                                                                                                                                                                            Это я бы тоже проверил, что-то мне подсказывает что с перевыпуском карты они продолжат действовать. Хотя можно попробовать с другой карты получить эти 20 паролей.
                                                                                                                                                                                              0
                                                                                                                                                                                              На счёт перевыпуска не знаю, но при перепечатывании чека прежние отменялись, проверял.
                                                                                                                                                                                          0
                                                                                                                                                                                          В том-то и дело, что старый остаётся действительным наравне с новым.
                                                                                                                                                                                            0
                                                                                                                                                                                            Отменили листочки в Сбере уж как несколько месяцев назад. Теперь только СМС.
                                                                                                                                                                                              0
                                                                                                                                                                                              Во как. Весной ещё печатал.
                                                                                                                                                                                                0
                                                                                                                                                                                                Те, кто в теме краж средств с карты мошенниками путём клонирования SIM, были сильно удручены этими действиями Сбера.
                                                                                                                                                                                        0
                                                                                                                                                                                        Лучше бы вместо всего сделали кодовую таблицу. Типа введите символы из ячеек A7, J2 и D7.
                                                                                                                                                                                        У Яндекса раньше было на деньгах, потом убрали, увы. Самая клёвая аутентификация.
                                                                                                                                                                                          0
                                                                                                                                                                                          Жена вообще не парится с запоминанием ихних паролей. Не нашла листочек — пошла новый напечатала.
                                                                                                                                                                                          0
                                                                                                                                                                                          А чем обосновано такое требование? Почему вообще многие компании за пользователей решают, какие у них должны быть пароли, ограничивая безопасность. Противоречивые требования (пароль не длиннее 8 символов, но и не короче 10, спецсимволы обязательны и одновременно запрещены) вымораживают.

                                                                                                                                                                                          Лично я с развитием мобильных устройств предпочитаю использовать длинные пароли, но не содержащие спецсимволов и букв в верхнем регистре. Скорость набора такого 12-символьного пароля гораздо выше, чем традиционного 8-символьного. Криптостойкость, как это ни странно, тоже выше.
                                                                                                                                                                                            0
                                                                                                                                                                                            Еще есть требования, чтобы пароль не содержал часть вашего имени или электронной почты(!)

                                                                                                                                                                                            IMHO лучше регистрозависимый пароль из 10-12 символов, без спец.знаков.

                                                                                                                                                                                            Если есть необходимость в большей защите, то прикрутить двух-факторную аутентификацию, если по каким-то причинам не подходит, тогда доступ по токенам (eToken, ruToken или просто защищенный контейнер с сертификатом на флешке), можно также использовать СЗИ от НСД, коих нынче огромный выбор.
                                                                                                                                                                                          0
                                                                                                                                                                                          А есть какие-то решения для авторизации в виндовом домене через смартфон (желательно и apple и android)?
                                                                                                                                                                                          Чтобы просто подтвердить в телефоне, что это ты заходишь без необходимости ввода паролей?
                                                                                                                                                                                            0
                                                                                                                                                                                              0
                                                                                                                                                                                              Windows Hello, если у вас Windows 8\10 на смартфоне.
                                                                                                                                                                                                0
                                                                                                                                                                                                нет, вообще не то.Чтобы авторизоваться в настольной системе в виндовом домене не вводя пароль, а подтвердив на своём телефоне, что ты входишь.
                                                                                                                                                                                                Как Google prompt
                                                                                                                                                                                              0
                                                                                                                                                                                              Работал в компании из топ200 по миру.
                                                                                                                                                                                              Каждый месяц надо было менять пароли. Подбирал по шаблону.
                                                                                                                                                                                              Впрочем, с некоторыми сервисами было наоборот. Паролем у каждого был его адрес электронной почты. И предупреждали, что менять его нельзя, иначе всё может перестать работать.
                                                                                                                                                                                                0
                                                                                                                                                                                                Вообще вся это истерия с паролями от низкой граммотности и «большого ума». Мало кто желает в совокупности рассмотреть проблему безопасности. Нужно думать не только о цифрах и мифической безопасности но и о людях использующих продукт. Почему-то очень не любят думать об эргономике. Хорошо продуманная и реализованная эргономика сама по себе отучает от неправильных привычек и предохраняет от ошибок и снижает риски. Но это же сложно, проще придумать дурашлепское правило с частой сменой паролей. Пусть я не безопасник по профилю но выполнял и эту функцию будучи сисадмином. Надо сказать, что еще до прочтения умных статей понял что самая большая дырка в безопасности это человек, каким бы пароль у него ни был. Если кратко резюмировать то лучшие результаты дали длинные пароли с редкой сменой и блокировкой учетки в случае подбора. От распространнения паролей отучали различными административными и юмористическими способами (хорошая и злая шутка оказалась эффективней начальственных тумаков). Были и побочные эффекты — наш безадминный филиал был заблокирован атакой kido, если не изменяет память, вирусная машина перебирала пароли к учетками и заблокировала в AD напрочь все (хитрый винт нашелся и на эту часть). Нужно подходить к задаче с умом и решать её под конкретные условия а не идя на поводу стереотипов потому что «так принято».
                                                                                                                                                                                                  0
                                                                                                                                                                                                  Мало кто желает в совокупности рассмотреть проблему безопасности.
                                                                                                                                                                                                  Истинно так.
                                                                                                                                                                                                  Все эти регулярные смены паролей и абсурдные требования подчас напоминают крепостные ворота в деревянном заборчике в метр высотой. Эдакая непоколебимая уверенность в том, что злоумышленник будет ломиться исключительно в самую защищенную точку системы.
                                                                                                                                                                                                    +1
                                                                                                                                                                                                    Если нужна чисто информация, вся эта безопасность и IT в целом идут лесом, т.к. работает банальный подкуп сотрудника, имеющего к ней доступ. Как правило в этих организациях зарплаты рядовых сотрудников (не руководящего состава) не такие уж и большие, так что способ работает.
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Скорее, ворота посреди чистого поля :)
                                                                                                                                                                                                    0
                                                                                                                                                                                                    Я вот тоже как-то работал в корпорации, где политика безопасности требовала менять пароль раз в месяц, при этом новый пароль не должен был повторять несколько предыдущих (к счастью, частичное совпадение не проверялось). Первые несколько раз пытался «честно» ставить новый, потом окончательно надоело. Зато теперь я помню число Пи до 14 знаков после запятой.
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Зато теперь я помню число Пи до 14 знаков после запятой.
                                                                                                                                                                                                      … а мы большинство ваших паролей :)
                                                                                                                                                                                                        0
                                                                                                                                                                                                        Да там уже наверняка и учётки-то моей несколько лет как нет, кого теперь могут беспокоить те пароли? Ну а в тех местах, где ко мне не предъявляют таких странных требований, я и не творю подобных глупостей :-)
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Не понимаю проблемы!
                                                                                                                                                                                                      Каждому сотруднику заводится личный номерной блокнотик.
                                                                                                                                                                                                      И карандашиком, блёкло и мелко, записывает в него свой текущий пароль вида — да хоть
                                                                                                                                                                                                      7$o[E__d_-1##752№ыmDq6Vx2

                                                                                                                                                                                                      При смене пароля старый вымарывается, записывается новый.
                                                                                                                                                                                                      Никаких бумажек под клавиатурами, никакой необходимости в шаблонах/токенах/софте на смартфоны.
                                                                                                                                                                                                      Никаких истерик по поводу «я не могу запомнить».
                                                                                                                                                                                                      За разглашение пароля, за забытый блокнот — штраф и выговор.
                                                                                                                                                                                                        0
                                                                                                                                                                                                        Чем это отличается от бумажки под клавиатурой? Будет личный номерной блокнотик под клавиатурой лежать.

                                                                                                                                                                                                        Ну и относительно записи блёкло и мелко на бумажном носителе:
                                                                                                                                                                                                        «ы» от «bi» сложно будет отличить.
                                                                                                                                                                                                        Как и догадаться о раскладке «Е» и «x» и о количестве подчёркиваний в "__".
                                                                                                                                                                                                          0
                                                                                                                                                                                                          Отличаться будет тем, что сотрудник будет обязан носить этот блокнотик с собой, с паспортом/правами. За забытый под клавиатурой — штраф.
                                                                                                                                                                                                          А пароль пусть заполняет сам, чтобы сам смог прочесть.
                                                                                                                                                                                                            0
                                                                                                                                                                                                            Я на работу не ношу паспорт, а права просто по форм фактору хорошо в кардхолдер помещаются, поэтому я их не вынимаю, но если не еду на машине совершенно не обязан брать с собой.

                                                                                                                                                                                                            Блокнотик можно спрятать под системник, шкаф, монитор, в тумбу, предварительно переписав нужный пароль на стикер. Спросили — вот он. не спросили и будет там пылиться.
                                                                                                                                                                                                            Будете каждый день ворочать весь офис?

                                                                                                                                                                                                            С таким директором — самодуром, на месте начальника отдела, я бы в своей тумбочке на ключике хранил блокнотики своих сотрудников и выдавал бы перед проверкой. Если, конечно, мне сотрудники были бы ценны.
                                                                                                                                                                                                            Штрафовать можно и без блокнотиков, только вряд ли у вас так много сотрудников останется в организации.
                                                                                                                                                                                                              0
                                                                                                                                                                                                              Ну смотрите. Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то. Вы ведь не прячете ключи от квартиры под системник, шкаф и монитор?
                                                                                                                                                                                                              Банковская карта даёт Вам доступ к деньгам.
                                                                                                                                                                                                              То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.
                                                                                                                                                                                                              А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.
                                                                                                                                                                                                              Логично ведь носить его с собой?
                                                                                                                                                                                                              Но память не у всехх хорошая, зато у бумаги она всегда хороша. Логично записать пароль на бумажку/в блокнот, и его уже носить с собой.
                                                                                                                                                                                                              А если по соображениям безопасности требуется смена пароля, в чём проблема вымарать старый пароль и вписать новый, потратив 1 минуту в месяц/квартал.
                                                                                                                                                                                                              Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.

                                                                                                                                                                                                              Весь шум-то по поду частой смены паролей — из-за чего? Из-за того, что новый стойкий пароль трудно запоминать, поэтому его приходится записывать. Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.
                                                                                                                                                                                                                +1
                                                                                                                                                                                                                Ключи от квартиры дают Вам и только доступ к ней. Вы их всегда носите с собой. Их опасно бросать где-то и доверять кому-то.

                                                                                                                                                                                                                Нет. Если я с женой выхожу гулять, то ключи не беру. Или она не берёт.
                                                                                                                                                                                                                Когда я знал, что мать постоянно дома, вообще мог ключи не брать с собой.

                                                                                                                                                                                                                Так же я не ношу с собой ключи от машины, ключи от машины отца, от гаража, от дачи отца, от дачи тёщи, от квартиры отца, от квартиры тёщи, от дома бабушки. Хотя всё это у меня есть и всё это очень ценно, и периодически мне необходимо.

                                                                                                                                                                                                                То же самое с паспортом, это удостоверение Вашей личности, которое желательно носить с собой.

                                                                                                                                                                                                                Откройте свой паспорт на последней странице, там написано, что вы обязаны делать. И «бережно хранить» совершенно не совместимо с «постоянно носить с собой»

                                                                                                                                                                                                                А пароль от компьютера или программы — это такой же ключ, карта и паспорт. Он служит для того, чтоб Вы и только Вы могли зайти в компьютер и программу.

                                                                                                                                                                                                                Расскажите это сотрудникам, которые клеят пароли на стикерах. Их менять паспорт и ключи от квартиры раз в три месяца не заставляют.

                                                                                                                                                                                                                Логично ведь носить его с собой?

                                                                                                                                                                                                                Вообще не логично.

                                                                                                                                                                                                                вымарать старый пароль

                                                                                                                                                                                                                Вы мне напоминаете фильм про разведку 60-х годов. Никто вымарыванием не занимается, это не надёжно, секретные тетради в первом отделе просто сжигают.

                                                                                                                                                                                                                Всего-то нужно приучить работников, что блокнитик с паролями такая же важная штука, как паспорт и банковская карта.

                                                                                                                                                                                                                Ну так о том и пост, что не работает это. При этом сделать смену пароля раз в три месяца политиками домена, легче чем приучить пользователей не придумывать простые пароли и никому их не рассказывать даже «по производственной необходимости». Потому что первое делается централизованно, а второе нужно делать с каждым сотрудником непосредственно. Задача не масштабируема. Для этого нужно выделить если не отдел, то как минимум одного человека. А ему деньги платить нужно.

                                                                                                                                                                                                                Но если бумажка с паролем будет не под клавиатурой, а в кошельке работника с паспортом и деньгами, пароль не уйдёт налево.

                                                                                                                                                                                                                Что мешало всем офисным сотрудникам со стикерами на монитор