Как стать автором
Обновить

Сильнейший из офисных супергероев — Человек-Админ, защитник безопасности и хранитель паролей. Каждую рабочую неделю он сталкивается с новыми испытаниями: то нужно помочь коллегам сменить скомпрометированные пароли, то восстановить доступ к жизненно важным ресурсам. На этой неделе он столкнётся со сложнейшей задачей в своей жизни. Но для Человека-Админа провал невозможен! Чтобы преуспеть, он отправится в приключение на поиски оптимального способа хранить пароли.

Присоединиться к приключениям!
Всего голосов 85: ↑52 и ↓33+19
Комментарии34

Комментарии 34

Да ладно? Это обычная реклама ??? мнда...

Есть. Значит, так, переходите на сайт пассворк тчк ру…

KeePass небезопасен?

А никому не известный широко известный в узких кругах Пассворк, естественно совершенно секурен!

Чувствуете, чем-то в воздухе запахло?

П%здежом Рекламой.

Вот да, тоже резануло. Реклама от необоснованных утверждений в адрес конкурирующего/аналогичного решения в принципе моветон, даже в таком формате. Если бы был разбор с конкретными кейсами, наоборот было бы интересно почитать, а так сразу создается негативное впечатление о предмете рекламы.

Там какой-то “KeyPass”, да ещё и имеющий клиент-серверную архитектуру. Ну, если верить комиксу… “KeePass” не использует каких либо «аккаунтов». С другой стороны продукта с именем «KeyPass» нагуглить не удалось гуглится какая то фигня, похожая на KeePass

Перевожу:

KeePass = ДержИжоп

KeyPass = КлючПро*б

Если ваши данные утекли у кейпаса, кому вы можете что предъявить? Если сервис работает в правовом поле государства клиента - они отвечают за это, и несут последствия, ровно как и локальные безопасники на фирме - разницы тут никакой.

Keepass - не онлайн сервис. Пароли просто не могут от него утечь, пароли остаются у Вас. Чтобы их украсть злоумышленнику надо одновременно:

1) получить базу с паролями

2) узнать пароль от этой базы

3) получить доступ к сертификату - usb ключу, например (опционально).

И? какая разница как именно утекли данные. Я спросил кто отвечает за последствия, а не что нужно для этого. Когда уже понимать прочитанное научимся, а не отвечать лишь бы ляпнуть что нибудь типа "умное".

Большая, в случае KeePass - ты не зависишь от чьих то услуг ибо это не сервис предоставленный сторонней организацией. Соответственно

кому вы можете что предъявить

Только себе, а что, обязательно за свои косяки и неумение работать с конфиденциальной информацией необходимо обвинить кого-то со стороны? Даже если услугами со стороны ты не пользуешься?

спросил кто отвечает за последствия

А как же, вот эти вот?

локальные безопасники на фирме

В конце концов, ещё поди докажи что это у сторонней организации «утекли» пароли, а не твой сотрудник, имеющий доступ к мастер-паролю/аккаунту на сервисе сторонней фирмы не «потерял» доступ, а злоумышленник им воспользовался

1)получить доступ к компу, на котором вы расшифровали базу с паролями.

А клиент-серверный менеджер паролей сможет защитить от подобного вектора? Подозреваю что тоже нет. Когда злоумышленник уже имеет доступ к машине - это совсем иной уровень сложности защиты данных

trezor password manager может. но он отыквлевается летом. Замену пока не нашёл.

"Несут последствия". Да, штраф 60 000 рублей - огромная сумма для компании.

Нет, последствия это уход с рынка или близкие к этому последствия. Если 1с, маил или яндекс будут регулярно сливать и платить штрафы по 60к, через месяц их сервисами никто не будет пользоваться. Даже те кому на эти данные наплевать, просто потому что все уходят и я пойду.

Мне кажется, или тут прям концептуальные проблемы хранения паролей в компаниях обозначены?

  1. Не используется доменная учетка пользователя, которая легко блокируется и где можно настроить время жизни пароля.

  2. Вместо неё какие-то мастер учётки, с которыми сложно проводить аудит кто что делал в системе.

  3. Шаринг паролей с админами (хоть в кипасе, хоть в рекламируемой проге, это уже вовлечение третьей стороны, а значит, больше каналов для компрометации).

Концептуальные проблемы паролей в компаниях обозначены обычно большой текучкой кадров и отсутствием в принципе отделан ИБ. Отдел ИТ и не обязан отвечать за ИБ к сервисам, у него у самого туда не должно быть просто так прямого и тем более админского доступа. А когда один человек и ит и на дуде игрец - это самая большая дыра в безопасности и есть. За лишнюю копейку он может слить ВСЕ и никто об этом не узнает.

Ну раз можно рекламировать, то лучше это прочитайте: Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками


Я даже подумал, что этот админ, это тот админ. Но не тот.


А тот вот:


Однажды Сисадмин пожаловался Учителю:

– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

Инь Фу Во спросил:

– Сначала скажи, почему они это делают.

Сисадмин подумал и ответил:

– Может быть, они не считают пароль ценным?

– А разве пароль сам по себе ценный?

– Не сам по себе. Ценна информация, которая под паролем.

– Для кого она ценна?

– Для нашего предприятия.

– А для пользователей?

– Для пользователей, видимо, нет.

– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

– Что для них ценно? – спросил Сисадмин.

– Догадайся с трёх раз, – рассмеялся Учитель.

Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

на четвертый день сисадмин был уволен по инициативе главбухши.

И пришлось всем сотрудникам изменять размер зарплаты, потому что все уже про всех узнали?)

А раньше все помнили номера телефонов наизусть например. Всех своих друзей, родителей, всех родственников, коллег И так далее и никто не считал что это сложно или плохо. И с памятью было все впорядке

А раньше

Раньше было лучше! Просто неважно, что просто лучше.

Вы путаете теплое с мягким. Когда человек за неделю, месяц, полгода запоминал цифры которые высвечивались на экране каждый при вызове, никак нельзя сравнивать с необходимостью запомнить с первого раза сложный пароль(или десяток другой) который может оказаться, что надо вводить к примеру раз в неделю.

Когда человек за неделю, месяц, полгода запоминал цифры которые высвечивались на экране каждый при вызове

А где экран?


image

Так это ещё проще запомнить, когда каждый день крутишь этот диск не по одному разу.

Тогда ещё и номера были короче. У нас в Петрозаводске в советские времена номера состояли из пяти цифр. Ещё могли быть ведомственные АТС, знаю как минимум про одну - железнодорожную, там внутренний номер состоял из четырёх цифр.

...и номеров было мало ;) И набирали их вручную, поэтому и помнили.

Паролей - тоже "не очень много", и набираем мы их не ногами. Скорее с телефонами проще потому, что они из одних цифр (если забыть о вариантах с использхованием букв на кнопках/дисках телефонов, популярных в США - +1-800-FREEBSD :)), "america's hottest talkline") и они структурируемо воспринимаются - так, что в итоге мы 4 цифры запоминаем и номер АТС (очень ограниченное множество, часто ассоциируется с местностью). С мобилами - запоминание чуток похуже - там нужно запоминать 7 цифр+код оператора.

У кого их не очень много?

У меня 5-7 штук, которые я держу в памяти и примерно 500+ которые в KeePass.

И те что в памяти периодически выпадают, тогда я начинаю паниковать.

ПС: телефоны в жизни не набирал по памяти, собственный с трудом помню. Потому что это неважная техническая информация.

и никто не пользовался записными книжками для телефонов

СБ на Вас нет :).

Почему Вы до сих пор используете статические пароли и заставляете людей их менять!!!, когда на поверхности лежит использование динамических паролей.

к примеру разная таблица для Васи, Пети и тд.:

час, день, день недели, месяц, год, положение луны, погода и тд. - каждое соответствует такому то набору символов в зависимости от данных + дополнительные мусорные вставки в пароль для ввода при посторонних.

потому как с поддержкой fido2 всё до сих пор плохо.

Прикольно нарисовано и придумано. Можно почитать в свободное время на работе, когда заняться нечем :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий