Как стать автором
Обновить

Руководство по парольной политике. Часть 2

Время на прочтение 25 мин
Количество просмотров 10K
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 9

Комментарии 9

Здравствуйте! Интересует ваше мнение по вопросу - как быть с админами? Один админ изменил пароль на каком-либо ресурсе, не сказал об этом никому. Как отслеживать изменения паролей на узлах или ресурсах (на web интерфейсе например)

В идеале админ должен использовать свой аккаунт, а не общий на всех.

Заббикс по-умолчанию показывает алерт, если изменился пароль.

Факторы «То, чем вы являетесь» многие считают самыми безопасными, поскольку они основаны на физических характеристиках пользователя, которые невозможно изменить

МойДядяЖиветвГрузии, ЛучшаяМашинаВазЖигули, ДальнийВостокМояРодина

Ужасные примеры, потому что это осмысленные фразы (впрочем, ладно, фраза «ЛучшаяМашинаВазЖигули» бессмысленная). Если такие пароли будут популярными, злоумышленник может попытаться отсортировать варианты для брутфорса так, чтобы более осмысленные фразы проверялись перед менее осмысленными


Лу4ш@яМ@шин@8@3Жигули№1!, Д@льний;80(т0к; М0я; Родина@, М0йДядяЖи83т-8Гру3ии!

Пароль Tr0ub4dor&3 передаёт привет

Некоторые системы не дадут завести несколько аккаунтов, как быть с этим?(как пример корпоративный аккаунт в ютуб или соц сетях, на некоторых веб мордах нет разграничения доступа )

Есть хорошее opensource-решение "Lithnet Password Protection for Active Directory" (https://lithnet.io/products/password-protection), позволяющее существенно расширить функционал по установке требования к паролям, устанавливаемым в учетках AD, а так же по контролю (через анализ NTLM-хешей) скомпроментированных (засвеченных в инете) паролей.

который будет выглядеть примерно так:
GHj*65%789JnF4$#$68IJHr54^78

И вам сайт такой — а нельзя в пароле #*^. Когда-то давно этим грешил icq, сипнет, и какие-то еще сайты, уже не вспомню.
Лу4ш@яМ@шин@8@3Жигули№1!

xkcd.com c конём, батарейкой и скрепкой.

Лично я уже лет восемь не знаю ни одного своего пароля наизусть. Простой алгоритм, по которому можно восстановить пароль с помощью обычного блокнота c ручкой (рисуется матрица 8х8 с цифрами и буквами в разном регистре — дальше только ваша фантазия).
пишем habr.com — получаем P34h5KSw0m11EFuQ
пишем vk.com — получаем 6a9i3rYWUg0Mgex1
Сейчас у нас сезон в разгаре и процесс создания новых учетных записей идет полным ходом.
И этап создания / запоминания пароля пользователем в этом деле вызывает больше всего сложностей (хотя никаких тайн и секретов у пользователей этих учеток нет и быть не может)

а) попытка генерировать пароли централизованно и раздавать пользователям.
Результат: даже пароли уровня Qwerty123456 забываются буквально к следующему разу.

б) создание пароля самим пользователем — в 99% это что-то еще более простое (например — имя и год рождения)
Конечно, есть и продвинутые люди, создающие пароли по всем правилам. Но они обычно забываются еще быстрее (рекорд — три минуты, и это не шутка :)

в) методов узнать пароль у самого пользователя — масса. Если сам пользователь его еще помнит, конечно.

Многоразовые пароли устарели в принципе (так как использование таких паролей оказалось слишком сложной задачей для массового пользователя).
И без 2FA/U2F делать уже нечего

(Обычными ключами умеют пользоваться все. И забывают/теряют их гораздо реже, чем пароли. Так что «I have» всем в руки :)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории