Comments 85
там кто-то взломал майкрософт и сделал что-то логичное? или мамонт где-то умер?
PCI-DSS пункт 8.2.4 (Как и ГОСТ Р 57580.1) всё это требуют. Так что можно хоть обдоказываться, но если ваша компания хоть как-то связана с финансовыми услугами — меняйте минимум один раз в 90 дней и точка.
а где в госте про 90 дней?
вижу
вижу
Смена паролей пользователей не реже одного раза а год
Не знаете ли вы, а что с ISO стандартами? Например ISO 27001? Требуют ли эти стандарты периодической смены пароля?
А кем жди контролируется и что будет за нарушение?
PCI-DSS пункт 8.2.4 (Как и ГОСТ Р 57580.1) всё это требуют.
Требования PCI-DSS родились не на пустом же месте, а используют общепринятые рекомендации по безопасности в IT. Если сейчас массовый тренд идет на отказ от периодической смены паролей, и с логичным обоснованием, то в будущей редакции PCI-DSS его тоже уберут. А лет через 10-15 и в ГОСТе тоже.
сейчас все ходят с смартфонами. Почему бы не научить сотрудников пользоваться любыми менеджерами паролей на телефоне. И пароль тогда может быть довольно сложным и менятьcя регулярно. да и вообще удобно.
Почему бы компании не давать сотрудникам USB-ключ.
сейчас все ходят с смартфонами.Не все.
у нас так сделали
некоторым пришлось купить специально ради этого смартфон
а я все жду когда закрутят гайки и скажут что надо что бы телефон был обязательно без рута :-)
некоторым пришлось купить специально ради этого смартфон
а я все жду когда закрутят гайки и скажут что надо что бы телефон был обязательно без рута :-)
Это ни разу не удобно. Если надо войти в компьютер и пароль забыт, то:
— надо взять телефон
— надо разблокировать телефон
— надо запустить менеджер паролей
— надо разблокировать менеджер паролей
— надо найти нужный пароль там
Это всё довольно геморройно, особенно, если политика паролей заставляет использовать сложные пароли. Большинство людей не будет париться и, как и прежде, будет добавлять в конец любимого пароля цифру, чтобы не забывать его.
— надо взять телефон
— надо разблокировать телефон
— надо запустить менеджер паролей
— надо разблокировать менеджер паролей
— надо найти нужный пароль там
Это всё довольно геморройно, особенно, если политика паролей заставляет использовать сложные пароли. Большинство людей не будет париться и, как и прежде, будет добавлять в конец любимого пароля цифру, чтобы не забывать его.
Все еще хуже. Надо:
— Вспомнить или найти взглядом, где лежит телефон;
— Протянуть к телефону руку;
— Взять телефон в эту руку;
— Нажать кнопку включения экрана или открыть чехол;
— Приложить палец к сканеру отпечатков или ввести пин-код чтобы разблокировать телефон;
— Свернуть запущенное приложение, если оно есть;
— Вспомнить, как называется менеджер паролей;
— Найти менеджер паролей;
— Запустить и разблокировать менеджер паролей;
— Найти нужный пароль.
Отвратительно, кто вообще пользуется телефонами с таким-то геморроем каждый раз?
— Вспомнить или найти взглядом, где лежит телефон;
— Протянуть к телефону руку;
— Взять телефон в эту руку;
— Нажать кнопку включения экрана или открыть чехол;
— Приложить палец к сканеру отпечатков или ввести пин-код чтобы разблокировать телефон;
— Свернуть запущенное приложение, если оно есть;
— Вспомнить, как называется менеджер паролей;
— Найти менеджер паролей;
— Запустить и разблокировать менеджер паролей;
— Найти нужный пароль.
Отвратительно, кто вообще пользуется телефонами с таким-то геморроем каждый раз?
Да, вы ещё подробнее описали почему это так себе идея :)
Менеджеры паролей хорошо работают, если они хоть как-то интегрируются в рабочее окружение. Или когда пароли оттуда требуются крайне эпизодически.
А каждый день по несколько раз проделывать подобную процедуру — обязательно возникнет непреодолимое желание начать срезать углы. Например, на разблокировке телефона и менеджера паролей. Потом кто-то его потеряет.
Для основной учётной записи гораздо практичнее и безопаснее использовать запоминающийся и стойкий пароль — это может быть парольная фраза, например.
«СолнцеСелоЗаГорами» — запоминается легко, печатается быстро (так как слова привычные), ломать достаточно сложно.
Менеджеры паролей хорошо работают, если они хоть как-то интегрируются в рабочее окружение. Или когда пароли оттуда требуются крайне эпизодически.
А каждый день по несколько раз проделывать подобную процедуру — обязательно возникнет непреодолимое желание начать срезать углы. Например, на разблокировке телефона и менеджера паролей. Потом кто-то его потеряет.
Для основной учётной записи гораздо практичнее и безопаснее использовать запоминающийся и стойкий пароль — это может быть парольная фраза, например.
«СолнцеСелоЗаГорами» — запоминается легко, печатается быстро (так как слова привычные), ломать достаточно сложно.
не знаю, как у вас, но во многих смартфонах разблокировка по отпечатку, что практически мгновенно разблокируется, как достается телефон из кармана
Конечно, но всё равно неудобно.
У меня как раз так и есть — база паролей от всякой фигни в телефоне, телефон на отпечатке. Приходишь куда-нибудь, надо ввести — полез за телефоном, открыл менеджер паролей (пароль на него), нашёл там нужное (это всё быстро, но всё это отдельные операции), а там ещё пароль $up@duPaF1y8&!^ — извольте печатать по буквам. Нет, раз в високосный год это сделать не проблема, но регулярно — это гемор. И несознательные личности будут стремиться себя от него избавить хоть как-то.
Если уж смартфон, то лучше он вторым фактором будет. Хотя, кмк, какой-нибудь токен в этом смысле привычнее и удобнее.
У меня как раз так и есть — база паролей от всякой фигни в телефоне, телефон на отпечатке. Приходишь куда-нибудь, надо ввести — полез за телефоном, открыл менеджер паролей (пароль на него), нашёл там нужное (это всё быстро, но всё это отдельные операции), а там ещё пароль $up@duPaF1y8&!^ — извольте печатать по буквам. Нет, раз в високосный год это сделать не проблема, но регулярно — это гемор. И несознательные личности будут стремиться себя от него избавить хоть как-то.
Если уж смартфон, то лучше он вторым фактором будет. Хотя, кмк, какой-нибудь токен в этом смысле привычнее и удобнее.
По себе знаю, что пароль любой сложности при регулярном использовании запоминается за несколько дней. Максимум пару недель потребуется для пароля из 20 символов со всякими скобочками и прочими знаками пунктуации. Но, конечно, если его приходится набирать по несколько раз в день.
Это вы по себе знаете, а пользователи знают по себе. Они бывают бухгалтеры (входят в комп два раза в сутки, утром и после обеда), бывают какие-нибудь прорабы (эти вообще могут раз в несколько дней приходить в штаб строительства, когда надо что-то в центр отправить и там «так, падажжи епрст...»).
Потом они даже запомнят — а тут бах и снова пароль поменялся. А они далеки от идей ИБ, для них это ненужный гемор и какие-то причуды сисадминов, у них отчёты горят — вот это важно. Раз потыкаются, два потыкаются — и на третий под монитором появится бумажка.
Потом они даже запомнят — а тут бах и снова пароль поменялся. А они далеки от идей ИБ, для них это ненужный гемор и какие-то причуды сисадминов, у них отчёты горят — вот это важно. Раз потыкаются, два потыкаются — и на третий под монитором появится бумажка.
Да, действительно уже много архаики победили, а ведь раньше надо было взять сумочку, открыть сумочку, достать кошелочку, закрыть сумочку, открыть кошелочку, достать кошелек, закрыть кошелочку и т.д.…
Напомнило детское:
Как в три действия положить ежа в холодильник?
… Не знаю.
1. Открыть холодильник
2. Положить туда ежа
3. Закрыть холодильник.
Как в шесть действий положить ежа в ящик?
Открыть ящик, положить ежа, закрыть ящик?!
Не-а. В шесть.
Не знаю!
Открыть холодильник. Взять ежа. Закрыть холодильник. Открыть ящик. Положить ежа. Закрыть ящик)))
Как в три действия положить ежа в холодильник?
… Не знаю.
1. Открыть холодильник
2. Положить туда ежа
3. Закрыть холодильник.
Как в шесть действий положить ежа в ящик?
Открыть ящик, положить ежа, закрыть ящик?!
Не-а. В шесть.
Не знаю!
Открыть холодильник. Взять ежа. Закрыть холодильник. Открыть ящик. Положить ежа. Закрыть ящик)))
Это ни разу не удобно. Если надо войти в компьютер и пароль забыт, то:
Вы забыли первый пункт:
— надо оторвать задницу от стула
не, не менеджер паролей нужен, а двухфакторная аутентификация. приложение на смартфоне, которое получит пуш от вашего сервера, с пинкодом.
1. Не все
2. Но даже если все и ходят с смартфонами. Допустим установил там Google Authenticator или что-то еще. Но, смартфон твой, не компании… юридически она не может тебя заставить держать сам андроид чистый, тогда какая гарантия что у тебя нет в телефоне какой-нибудь вирус, который тоже будет знать эти токены. Да, кто-то скажет что у них срок 30 секунд, но! есть и системы которые выдают тебе коды раз в 30 секунд из определенного списка, а вот список вирус и может украсть.
2. Но даже если все и ходят с смартфонами. Допустим установил там Google Authenticator или что-то еще. Но, смартфон твой, не компании… юридически она не может тебя заставить держать сам андроид чистый, тогда какая гарантия что у тебя нет в телефоне какой-нибудь вирус, который тоже будет знать эти токены. Да, кто-то скажет что у них срок 30 секунд, но! есть и системы которые выдают тебе коды раз в 30 секунд из определенного списка, а вот список вирус и может украсть.
Использовать менеджер паролей — это почти то же самое, что установить одинаковый пароль на все сервисы, которыми пользуешься.
Статья реально не о чем. Пришла сегодня инструкция по ИБ из министерства. Там :"полная плановая смена паролей пользователей раз в месяц". Мне этот пост в министерство отправить?
можно оригинальную статью отправить и когда количество превысит некоторый предел, возможно что-нибудь и поменяется…
Отправьте. Ведь они как-то должны чему-то учиться.
«Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».Тут, почему-то, попытки брутфорса они оставили за скобками, а потом о них уже вспомнили. Ведь если вас постоянно брутят, и ваша система настолько тупа, что эти попытки не пресекает, то смена пароля очень мешает этим попыткам взлома. Конечно, если менять весь пароль, а не только цифирку в конце. Хотя, конечно, есть доля везения, что вы и ускорите этот процесс :)
Если система (как техника, так и персонал) настолько тупа, что позволяет брутить, то смена паролей раз в месяц-полтора вряд ли сильно поможет. А вот попытки сотрудников упростить себе жизнь в условиях смены паролей могут облегчить взлом.
Опять таки, запоминающийся пароль, который меняется редко, может быть и длинным — в виде фразы. «ЛошадкаИЕжикЛучшиеДрузья» — заколебутся брутить при самой минимальной защите :)
Там же, где попытки брута ожидаются и трудно предотвращаются (всякие там технические пароли, секретные ключи и т.п.), обычно и так стоит что-то случайно сгенерированное из 20-30 символов, так как это никто руками не вводит.
Опять таки, запоминающийся пароль, который меняется редко, может быть и длинным — в виде фразы. «ЛошадкаИЕжикЛучшиеДрузья» — заколебутся брутить при самой минимальной защите :)
Там же, где попытки брута ожидаются и трудно предотвращаются (всякие там технические пароли, секретные ключи и т.п.), обычно и так стоит что-то случайно сгенерированное из 20-30 символов, так как это никто руками не вводит.
У меня на работе был случай.
Проводили у нас аудит на проникновение в связи с PCI-DSS
Меня взломали, т.к в SMB была бага, что при авторизации отправлялись хэши паролей в сеть и отправлялись они без соли или что-то в этом роде. Microsoft исправила эту багу, но т.к я менял пароль более 5 лет назад, то мой хэш моего пароля отправлялся каждый раз одинаковый, без соли. А если бы я даже поменял пароль1 -> пароль2 -> пароль1, то пароль бы перезаписался где-то в системе и все было нормально. А так его поломали через rainbow crack.
Но это скорей косяк Windows, чем мой, он должен был потребовать поменять пароль в таком случае.
Вообще, практика показывает, что гораздо вероятней появление критической уязвимости в ПО, чем то, что кто-то сбрутфорсит пароль или он утечет.
А еще постоянное требование смены пароля приводит к тому, что он оказывается записан на бумажке и лежит рядом с клавиатурой. Или пароли становятся простыми типа qwerty12345. Потому что один пароль можно запомнить, два, три, а потом уже забывают. Не все пользуются менеджерами паролей. Аудита на тему «как человек решает проблему, что нужно постоянно запоминать где-то новый пароль, пользуется ли менеджерами паролей», такого аудита нет.
Проводили у нас аудит на проникновение в связи с PCI-DSS
Меня взломали, т.к в SMB была бага, что при авторизации отправлялись хэши паролей в сеть и отправлялись они без соли или что-то в этом роде. Microsoft исправила эту багу, но т.к я менял пароль более 5 лет назад, то мой хэш моего пароля отправлялся каждый раз одинаковый, без соли. А если бы я даже поменял пароль1 -> пароль2 -> пароль1, то пароль бы перезаписался где-то в системе и все было нормально. А так его поломали через rainbow crack.
Но это скорей косяк Windows, чем мой, он должен был потребовать поменять пароль в таком случае.
Вообще, практика показывает, что гораздо вероятней появление критической уязвимости в ПО, чем то, что кто-то сбрутфорсит пароль или он утечет.
А еще постоянное требование смены пароля приводит к тому, что он оказывается записан на бумажке и лежит рядом с клавиатурой. Или пароли становятся простыми типа qwerty12345. Потому что один пароль можно запомнить, два, три, а потом уже забывают. Не все пользуются менеджерами паролей. Аудита на тему «как человек решает проблему, что нужно постоянно запоминать где-то новый пароль, пользуется ли менеджерами паролей», такого аудита нет.
Если ваш пароль лежит под клавиатурой, записанный на бумажке, то утечка через дыру в SMB ему не страшна :)
Если серьёзно — то при защите от угрозы извне, хранение пароля на бумажке может быть даже полезным (там он может быть сложнее, чем способен запомнить пользователь). А если защищаться от бумажек, то стоит следить, чтобы пользователь блокировал компьютер, как только уходит на пару минут и не сидел под другим аккаунтом, даже, чтобы помочь кому-то. Уровень угрозы такой же.
Если серьёзно — то при защите от угрозы извне, хранение пароля на бумажке может быть даже полезным (там он может быть сложнее, чем способен запомнить пользователь). А если защищаться от бумажек, то стоит следить, чтобы пользователь блокировал компьютер, как только уходит на пару минут и не сидел под другим аккаунтом, даже, чтобы помочь кому-то. Уровень угрозы такой же.
насколько я помню тот пост майкрософт, то там предлагалось не просто отказаться от периодической смены, а отслеживать утечки и по нахождению утечки менять пароли. многие ли готовы добавить себе задачу постоянно мониторить все утечки с учетом того, что пользователи имеют привычку использовать одинаковые пароли и дома и на работе?
Нужно сделать уведомление как у гугл. Там в случае входа с другого устройства сразу приходит оповещение на все авторизованные устройства.
Задача автоматизируемая на уровне менеджера паролей. Dark Web Monitoring у Dashlane (смотри правда по e-mail'у).
Или интеграции с HaveIBeenPwned (с проверкой не утек ли конкретный пароль БЕЗ его раскрытия).
Но… надо менеджер паролей который так умеет, и если пользователь использует одни и те же пароли на работе и дома — это должен быть один и тот же менеджер. Либо нужно это куда то еще интегрировать и опять же — если пользователь использует одни и те же пароли то см выше.
Или интеграции с HaveIBeenPwned (с проверкой не утек ли конкретный пароль БЕЗ его раскрытия).
Но… надо менеджер паролей который так умеет, и если пользователь использует одни и те же пароли на работе и дома — это должен быть один и тот же менеджер. Либо нужно это куда то еще интегрировать и опять же — если пользователь использует одни и те же пароли то см выше.
Что-то мне кажется мелкомягкие готовят что-то новое в этой области, вот и греют аудиторию
У меня есть пароли, которые до сих пор подходят к компаниям, в которых я работал надцать лет назад.
Двух-факторная авторизация. Вы представляете себе сколько раз админ вводит пароль(пароли) в день?
Отсюда выводы: пароли менять надо, но не параноидально. У обычных бесправных юзерей можно и не менять, но надо чтобы они действительно были бесправные, а не доменными админами из-за того что не ставятся драйвера на принтер. Двух-факторную включать на важных ресурсах, куда не логинишся по 10 раз в день. Ну и т.д.
Ну и вообще безопасность это не то что один раз настроил и забыл. Это процесс. В любой момент может появиться новенький 0day Ваня Вонакрай.
Двух-факторная авторизация. Вы представляете себе сколько раз админ вводит пароль(пароли) в день?
Отсюда выводы: пароли менять надо, но не параноидально. У обычных бесправных юзерей можно и не менять, но надо чтобы они действительно были бесправные, а не доменными админами из-за того что не ставятся драйвера на принтер. Двух-факторную включать на важных ресурсах, куда не логинишся по 10 раз в день. Ну и т.д.
Ну и вообще безопасность это не то что один раз настроил и забыл. Это процесс. В любой момент может появиться новенький 0day Ваня Вонакрай.
Админ вводит свой пароль один раз в день. И дальше везде по ssh со своим ключиком ходит.
Если он делает не так, то это плохой админ.
sudo без пароля? Не уверен, что это хорошая идея
UFO just landed and posted this here
Если админ уходя пописать не блокирует свой комп — такой админ не нужен
Правила безопасности должны соответствовать ценности данных, которые они защищают. Учетка админа банка может наделать много бед. Учетка админа рекламного агентства не способна дать ничего такого, чего бы не имела учетка рядового менеджера этого же агентства.
Речь о простой ИБ-гигиене, независимо от должности
Только для 90% организаций речь о кроилове, когда вместо смарт-карты в пропуске задалбывают пользователей ИТ-гигиеной с паролями.
Какое отношение ваша персональная боль имеет к вопросу? Руки с мылом моете?
Если бы только в моём SMB, но даже в крупных компаниях оно встречается довольно редко.
Хотя на выходных видел карточки в мобильном пунктe диспансеризации, за что респект DIT'у.
Хотя на выходных видел карточки в мобильном пунктe диспансеризации, за что респект DIT'у.
Хорошо, 5 раз. Или даже 10, если курит. В общем столько же сколько средний пользователь.
Я не понимаю аргумента «Если вы знаете что пароль украден, вы побежите его менять тут же, а не через 42 дня, поэтому его не надо менять раз в 42 дня». Возникает вопрос, а если вы не знаете, что пароль украден? Ах, да, вор все уже украл за эти 42 дня. А если не украл, руки не дошли, базу не купил, был в отпуске? А если ценные для него сведения появятся на 45-й день?
Когда я приехал в Окридж в следующий раз, все секретарши и вообще
все, кто знал меня, просили: «Не ходи здесь! Не ходи здесь!»
Оказалось, полковник разослал всем служащим завода записку: «Во время
последнего визита мистера Фейнмана видели ли вы его в служебное или
неслужебное время в вашем офисе, поблизости от вашего офиса или проходящим
через ваш офис?» Кто-то ответил «да», другие ответили «нет». Те, кто
ответили «да», получили вторую записку: «Пожалуйста, смените код вашего
сейфа».
Полковник принял решение: опасность представлял я. И из-за меня все
они должны были сменить свои коды. Это целая проблема — менять код и
запоминать новый, так что все они сердились на меня и не хотели, чтобы я к
ним приближался: может, им придется менять код еще раз. Надо ли говорить,
что их бюро по-прежнему оставались открытыми во время работы!
столько времени прошло, а история не теряет актуальности
Смена пароля — это не просто бесполезно, это абсолютное зло с точки зрения безопасности. Ибо раз в жизни выучить что то типа Ks!@j131klq еще хоть как то возможно, а раз в пол года перезапоминать такую дребедень никто не будет гарантированно.
да в общем нет универсального решения.
во первых есть разные уровни безопасности и пароль от инсты с тремя фотками шашлыков конечно же не нужно менять с какой-либо периодичностью. а вот пароль от учетки банковского сотрудника, который имеет доступ к вашему счету — лучше менять регулярно (или вы не согласны?).
во вторых лень учить пароли может пойти дальше и пароль будет везде один и тот же — и на бесплатной почте и на доступе в клиент-банк.
во первых есть разные уровни безопасности и пароль от инсты с тремя фотками шашлыков конечно же не нужно менять с какой-либо периодичностью. а вот пароль от учетки банковского сотрудника, который имеет доступ к вашему счету — лучше менять регулярно (или вы не согласны?).
во вторых лень учить пароли может пойти дальше и пароль будет везде один и тот же — и на бесплатной почте и на доступе в клиент-банк.
1. Поднять цену на Azure MFA в 4 раза (теперь только с платной AAD).
2. Обновить политики с настойчивой рекомендацией его использовать.
3. PROFIT!
2. Обновить политики с настойчивой рекомендацией его использовать.
3. PROFIT!
Периодическая смена паролей имеет смысл, если для того, чтобы что-то украсть с компьютера, нужно не только знать пароль, но и незаметно получить физический доступ к нему. В этом случае если злоумышленнику удалось подсмотреть пароль во время его ввода — глазами или скрытой камерой — он может не успеть им воспользоваться до его очередной смены. Проблему запоминания паролей при их частой смене можно решить, если записывать их на бумаге, используя простую систему шифрования — прореживание, перестановки, замену символов + защиту от брутфорса, которая не позволит взломать эту систему перебором.
Ну вы же, надеюсь, понимаете, что компьютер, где есть что-то ценное, и где злоумышленник смог подсмотреть пароль, и за те несколько месяцев он не успел незаметно туда проникнуть, и от взлома спасло то, что пароль сменили по расписанию, в мире скорее всего не существует, и наверное и не будет существовать? Зато есть сотня миллионов, которые регулярно задалбывают сменой паролей.
Вы хотите заменить проблему запоминания паролей проблемой «как объяснить офисному сотруднику, что он, записывая пароль на бумаге, должен использовать прореживание, перестановки и замену символов»? Хм.
Проблему запоминания паролей при их частой смене можно решить, если записывать их на бумаге, используя простую систему шифрования — прореживание, перестановки, замену символов + защиту от брутфорса,
Вы хотите заменить проблему запоминания паролей проблемой «как объяснить офисному сотруднику, что он, записывая пароль на бумаге, должен использовать прореживание, перестановки и замену символов»? Хм.
Чтобы это работало, нужно менять пароль не раз в несколько месяцев, а хотя бы раз в месяц. И, конечно, это не даёт никаких гарантий, а лишь затрудняет взлом. Что касается задалбывания миллионов — просто нужно использовать каждый инструмент по назначению, и взвешивать преимущества и затруднения, которые приносит его использование.
Пароли так или иначе приходится записывать, даже если не менять их часто — всё равно есть время, нужное для уверенного запоминания. Это можно делать по-разному — использовать для их хранения труднодоступные места (сейф, менеджер паролей), прятать, или шифровать — каждый выбирает свой способ. Независимо от того, хранятся ли пароли в электронной или бумажной форме.
Пароли так или иначе приходится записывать, даже если не менять их часто — всё равно есть время, нужное для уверенного запоминания. Это можно делать по-разному — использовать для их хранения труднодоступные места (сейф, менеджер паролей), прятать, или шифровать — каждый выбирает свой способ. Независимо от того, хранятся ли пароли в электронной или бумажной форме.
Была в моей жизни история, когда я заставлял клерков менять пароли раз в 6 недель, как требовал MS. В силу молодости, неопытности и максимализма, свойственного возрасту, правила были самые жутчайшие: большие-заглавные буквы, цифры, спецсимволы, нечитаемые и не меньше 10 символов. Ещё и не ленился ходить по кабинетам и отрывать жёлтые бумажки с паролями, наклеенные на монитор. Первое время народ возмущался, раз в 42 дня я выслушивал многократное "фи" от пользователей по этому поводу (им даже просто придумывать их было сложно, не то, что запоминать), а затем вдруг всё прекратилось.
Я был счастлив. Даже немножко горд. Мол, смог воспитать народ. А заодно — у меня хорошо защищённые паролями рабочие места.
Но через какое-то достаточно продолжительное время на одном из "корпоративов" мне вдруг открылась страшная тайна: мало того, что жёлтые стикеры перекочевали с мониторов на обратную сторону клавиатуры (чтобы я не увидел), так ещё коллеги просто каждый раз передавали эти бумажечки соседу, устраивая круговорот паролей по кабинету. И всё. Именно в этом была причина, что народ перестал жаловаться. В итоге выходило так, что все знали пароли всех. И в случае чего — знали, где их найти.
Это произвело на меня сильнейшее впечатление. Я так и не смог выяснить, кто придумал этот "круговорот", но человек был, безусловно, толковый и изобретательный. И подавляющее большинство сотрудников было ему, безусловно, благодарны. Я же был просто потрясён своей наивностью. Та "защищённость", которой я так гордился, разбилась со звоном хрустального бокала, а продвинутость "моих" пользователей оказалась намного круче, чем я мог себе представить )
В итоге, в беседах пришли к выводу, что нужно поменять парольную политику. Отныне требование к паролям было одно: они должны быть длинными, больше 20 символов, дабы избегать паролей типа "15-06-1999", а для запоминания нужны не записи на стикерах, а мнемоники (что-то "ВаркалосьХливкиеШорьки"). А через какое-то время отключил в AD и устаревание пароля за 42 дня.
или если защищаемые данные периодически меняются и доступ означает именно доступ к актуальной информации (например доступ к групповому ящику/чату редакции новостного сайта, где утечка позволит конкурентам опубликовать сенсацию раньше).
или считывание/модификация охраняемых данных защищена временем (нельзя просмотреть всю базу целиком, а можно например увидеть/изменить 5 строк в день) — тогда периодическая смена пароля спасет большую часть информации от злоумышленника.
или считывание/модификация охраняемых данных защищена временем (нельзя просмотреть всю базу целиком, а можно например увидеть/изменить 5 строк в день) — тогда периодическая смена пароля спасет большую часть информации от злоумышленника.
В настоящее время не существует систем, которые невозможно взломать. Вся безопасность строится на том, чтобы профит от взлома был меньше средств, которые нужно на этот взлом затратить. И циферка определяющая частоту смены пароля — это один из ключевых параметров в этой системе.
И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему
Или вы даже не в курсе что его у вас того.
У меня вывод такой: если сервис не позволяет использовать однофакторную аутентификацию, значит этот сервис потенциально дырявый и когда аккаунт уведут с помощью поддельной сим-карты им даже нечего будет предъявить.
Sign up to leave a comment.
Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться