Комментарии 34
Да ладно? Это обычная реклама ??? мнда...
а есть продолжение?)
KeePass небезопасен?
А никому не известный широко известный в узких кругах Пассворк, естественно совершенно секурен!
Чувствуете, чем-то в воздухе запахло?
П%здежом Рекламой.
Вот да, тоже резануло. Реклама от необоснованных утверждений в адрес конкурирующего/аналогичного решения в принципе моветон, даже в таком формате. Если бы был разбор с конкретными кейсами, наоборот было бы интересно почитать, а так сразу создается негативное впечатление о предмете рекламы.
Там какой-то “KeyPass”, да ещё и имеющий клиент-серверную архитектуру. Ну, если верить комиксу… “KeePass” не использует каких либо «аккаунтов». С другой стороны продукта с именем «KeyPass» нагуглить не удалось гуглится какая то фигня, похожая на KeePass
Если ваши данные утекли у кейпаса, кому вы можете что предъявить? Если сервис работает в правовом поле государства клиента - они отвечают за это, и несут последствия, ровно как и локальные безопасники на фирме - разницы тут никакой.
Keepass - не онлайн сервис. Пароли просто не могут от него утечь, пароли остаются у Вас. Чтобы их украсть злоумышленнику надо одновременно:
1) получить базу с паролями
2) узнать пароль от этой базы
3) получить доступ к сертификату - usb ключу, например (опционально).
И? какая разница как именно утекли данные. Я спросил кто отвечает за последствия, а не что нужно для этого. Когда уже понимать прочитанное научимся, а не отвечать лишь бы ляпнуть что нибудь типа "умное".
Большая, в случае KeePass - ты не зависишь от чьих то услуг ибо это не сервис предоставленный сторонней организацией. Соответственно
кому вы можете что предъявить
Только себе, а что, обязательно за свои косяки и неумение работать с конфиденциальной информацией необходимо обвинить кого-то со стороны? Даже если услугами со стороны ты не пользуешься?
спросил кто отвечает за последствия
А как же, вот эти вот?
локальные безопасники на фирме
В конце концов, ещё поди докажи что это у сторонней организации «утекли» пароли, а не твой сотрудник, имеющий доступ к мастер-паролю/аккаунту на сервисе сторонней фирмы не «потерял» доступ, а злоумышленник им воспользовался
1)получить доступ к компу, на котором вы расшифровали базу с паролями.
"Несут последствия". Да, штраф 60 000 рублей - огромная сумма для компании.
Мне кажется, или тут прям концептуальные проблемы хранения паролей в компаниях обозначены?
Не используется доменная учетка пользователя, которая легко блокируется и где можно настроить время жизни пароля.
Вместо неё какие-то мастер учётки, с которыми сложно проводить аудит кто что делал в системе.
Шаринг паролей с админами (хоть в кипасе, хоть в рекламируемой проге, это уже вовлечение третьей стороны, а значит, больше каналов для компрометации).
Концептуальные проблемы паролей в компаниях обозначены обычно большой текучкой кадров и отсутствием в принципе отделан ИБ. Отдел ИТ и не обязан отвечать за ИБ к сервисам, у него у самого туда не должно быть просто так прямого и тем более админского доступа. А когда один человек и ит и на дуде игрец - это самая большая дыра в безопасности и есть. За лишнюю копейку он может слить ВСЕ и никто об этом не узнает.
Ну раз можно рекламировать, то лучше это прочитайте: Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками
Я даже подумал, что этот админ, это тот админ. Но не тот.
А тот вот:
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
А раньше
Раньше было лучше! Просто неважно, что просто лучше.
Вы путаете теплое с мягким. Когда человек за неделю, месяц, полгода запоминал цифры которые высвечивались на экране каждый при вызове, никак нельзя сравнивать с необходимостью запомнить с первого раза сложный пароль(или десяток другой) который может оказаться, что надо вводить к примеру раз в неделю.
Когда человек за неделю, месяц, полгода запоминал цифры которые высвечивались на экране каждый при вызове
А где экран?
Так это ещё проще запомнить, когда каждый день крутишь этот диск не по одному разу.
Тогда ещё и номера были короче. У нас в Петрозаводске в советские времена номера состояли из пяти цифр. Ещё могли быть ведомственные АТС, знаю как минимум про одну - железнодорожную, там внутренний номер состоял из четырёх цифр.
...и номеров было мало ;) И набирали их вручную, поэтому и помнили.
Паролей - тоже "не очень много", и набираем мы их не ногами. Скорее с телефонами проще потому, что они из одних цифр (если забыть о вариантах с использхованием букв на кнопках/дисках телефонов, популярных в США - +1-800-FREEBSD :)), "america's hottest talkline") и они структурируемо воспринимаются - так, что в итоге мы 4 цифры запоминаем и номер АТС (очень ограниченное множество, часто ассоциируется с местностью). С мобилами - запоминание чуток похуже - там нужно запоминать 7 цифр+код оператора.
и никто не пользовался записными книжками для телефонов
СБ на Вас нет :).
Почему Вы до сих пор используете статические пароли и заставляете людей их менять!!!, когда на поверхности лежит использование динамических паролей.
к примеру разная таблица для Васи, Пети и тд.:
час, день, день недели, месяц, год, положение луны, погода и тд. - каждое соответствует такому то набору символов в зависимости от данных + дополнительные мусорные вставки в пароль для ввода при посторонних.
Прикольно нарисовано и придумано. Можно почитать в свободное время на работе, когда заняться нечем :)
Невероятные приключения Человека-Админа: В поисках хранилища паролей
Сильнейший из офисных супергероев — Человек-Админ, защитник безопасности и хранитель паролей. Каждую рабочую неделю он сталкивается с новыми испытаниями: то нужно помочь коллегам сменить скомпрометированные пароли, то восстановить доступ к жизненно важным ресурсам. На этой неделе он столкнётся со сложнейшей задачей в своей жизни. Но для Человека-Админа провал невозможен! Чтобы преуспеть, он отправится в приключение на поиски оптимального способа хранить пароли.