О security и параное

[Dmitry67]

Интересно, есть ли вменяемые админы разрабатывающие полиси
Которые понимают, что пароль не похожий на все что было до этого + меняющийся раз в месяц + почта на телефоне которая раз в два дня его переспрашивает... это не безопасность. А вариации мест, кто где записывает пароль.
Накипело.

[Slonjra]

пароли на компе и почте - вообще зло, если вы только не в Пентагоне работаете. ))
А входа снаружи у нас к локалке вообще нет.
Веб сервер и почтовик вынесены на внешний хостинг.
админы к рабочим сервакам заходят через VPN - и вот только там стоят серьезные пароли.

[Dmitry67]

Для удаленного доступа - дожили...

[fruit6]

попросил придумать и запомнить пароль из 8 символов со спец знаками и цифрами -- получи, фашист, пароль записанный на видном месте.

[Dm.uk]

дык очеь просто

на работе я один раз вызубрил этот мудреный пароль, а при всех регулярных сменах пароля меняю только один из спецзнаков тот что на клавиатуре по соседству с ним ...

`!"£$%^&*()

ну итд

[Slonjra]

дык очеь просто

на работе я один раз вызубрил этот мудреный пароль, а при всех регулярных сменах пароля меняю только один из спецзнаков тот что на клавиатуре по соседству с ним ...

`!"£$%^&*()

ну итд

то же вариант )))) потом вернемся в начало клавы, и начнем добавлять спецсимвол в следующую позицию... а как клава закончится, там уже и пенсию пора

[Dmitry67]

У нас новый пароль не должен содержать части старого

[mskmel]

на работе я один раз вызубрил этот мудреный пароль, а при всех регулярных сменах пароля меняю только один из спецзнаков тот что на клавиатуре по соседству с ним ...

Это пока умники не сохранят хэш первой и второй половины пароля и потом будут ругаться, что пароль уж слишком на предыдущий похож.

[zgur]

на работе я один раз вызубрил этот мудреный пароль, а при всех регулярных сменах пароля меняю только один из спецзнаков тот что на клавиатуре по соседству с ним ...

Это пока умники не сохранят хэш первой и второй половины пароля и потом будут ругаться, что пароль уж слишком на предыдущий похож.

хранение хешей части пароля сильно облегчает подбор, если хеши утекли. Врядли это будут делать

[perasperaadastra]

У нас новый пароль не должен содержать части старого

+1
На бывшей работе нужно было менять каждые четыре месяца, и нельзя было, чтобы новый пароль содержал части старого. Каждый раз при смене я какое-то время перебирал предыдущие пароли, пока не вспоминал новый. В конце-концов я стал записывать на sticky note, который положил в ящик стола. Кстати, список требований к паролю включал шесть пунктов — иначе не происходила синхронизация со всякими почтами и цытриксами.

[Vоvan]

Я печатаю что нить длинное на великом могучем только в англ регистре (не втранслите) - два слова или фраза пробивают все эти проверки на раз (да и запомнить легко )

--
В.

[adb]

Удобство работников никого не заботит.

[Колхозник]

Удобство работников никого не заботит.

И не должно.
Самый "удобный" пароль == "" (как история показывает). Чего уж там.

[zVlad]

На мой взгляд (я не назначенный IT security officer, но на МФ в zOS мой account - RACF Special, т.е. выше уровня доступа нет) главными требованиями должно быть кодирование паролей и блокировка доступа после 3-4 неверных попыток.
Более интересный подход это когда пароль вообще не используется а используются личные сертификаты и PassTickets.

Требования использовать изощренные пароли или пароли длинные при том что они передаются открытым текстом или не блокируют аккаунт или разблокируют автоматом после определенного (так сделано у нас на домэйн сервере), а также хранение старых паролей которые каждый наловчился менять так что если кто знает старые то может с нескольких попыток догадаться о том какой пароль сейчас.
Так что лучший пароль и защита доступа - это отсутствие пароля, использование сертификатов. А также single signon должен быть.

[brrdrr]

«Бережённого, бог бережёт», сказала монашка натягивая презерватив на свечку.

[DropAndDrag]

при удаленном доступе у нас используется SecureID, так что пароли не играют роли при VPN. также удаленный доступ к каждому комп проставляется для каждого человека, что тоже ограничивает возможности.
тоже достает менять пароль раз в полгода и требование к паролю, что он не должен повторять предыдущие за несколько лет.
по-моему это достаточно разумным.
у администраторов есть второй account. его возможности для workstation полные, но по центральным ресурсам скорее всего ограничены. возможно его пароль меняется чаще. что и как делается на серьзных серверах - не знаю.

[Uzito]

главными требованиями должно быть кодирование паролей и блокировка доступа после 3-4 неверных попыток.

Уходит значит мой сосед на ланч, я подхожу к его компу и пытаюсь залогиниться используя имя CEO с неверным паролем. А CEO как раз едет на встречу с клиентами. Его аккаунт залочивается автоматически, т.е. ни почты, ни ремотного доступа.
Сколько времени пройдет между тем как СЕО вставит пистон IT и он уберут блокировку доступа?

[OtecFedor]

А я нацял пользоваться dashlane.com, удобно пока.

[Slonjra]

главными требованиями должно быть кодирование паролей и блокировка доступа после 3-4 неверных попыток.

Уходит значит мой сосед на ланч, я подхожу к его компу и пытаюсь залогиниться используя имя CEO с неверным паролем.

Если есть физический доступ к компу под виндами...то никакой пароль вам вообще не нужен ))) что б туда логинуться

[DropAndDrag]

главными требованиями должно быть кодирование паролей и блокировка доступа после 3-4 неверных попыток.

Уходит значит мой сосед на ланч, я подхожу к его компу и пытаюсь залогиниться используя имя CEO с неверным паролем.

Если есть физический доступ к компу под виндами...то никакой пароль вам вообще не нужен ))) что б туда логинуться

почему только под виндами? физический доступ - это полный пипец. хотя не знаю как работает шифрование диска.

[Dmitry67]

Нет компа - Нет проблемы
Всех на VDI

[zVlad]

главными требованиями должно быть кодирование паролей и блокировка доступа после 3-4 неверных попыток.

Уходит значит мой сосед на ланч, я подхожу к его компу и пытаюсь залогиниться используя имя CEO с неверным паролем. А CEO как раз едет на встречу с клиентами. Его аккаунт залочивается автоматически, т.е. ни почты, ни ремотного доступа.
Сколько времени пройдет между тем как СЕО вставит пистон IT и он уберут блокировку доступа?

Комп CEO должен стоять в кабинете возле которого сидит его PA и никого не пускает, или кабинет запирается. Программные меры безопасности без ограничения доступа к компам nedostatochny. Блокировка доступа должна быть в наличии и именно CEO должен быть в этом заинтересован.

P.S. Кроме блокировки хорошо иметь возможность вычисления ИП аддресс с которого делались попытки логиниться. И затем служебное расслодование с увольнением шутки кем бы он ни был.
Я недавно делал такое расследование логина к zOS. Дошел до Citrix сервера имея время логина и номер порта с которого делался логин на МФ, но ребята на стороне Citrix ничем помочь не могли.

[Uzito]

Комп CEO должен стоять в кабинете возле которого сидит его PA и никого не пускает, или кабинет запирается.

Вы не поняли. Я говорю об обычном логине с любого компа компании используя имя CEO и неверный пароль с целью залочить его сетевую учетную запись. Как это предотвратить?

хорошо иметь возможность вычисления ИП аддресс с которого делались попытки логиниться. И затем служебное расслодование с увольнением шутки кем бы он ни был.

Ну аудит покажет что пытались залогиниться с компьютера Кумара Патела, во время ланча. У Кумара даже ресит есть из столовки.
Кто подходил у его компу никто не видел. Что делать дальше?

[mskmel]

Комп CEO должен стоять в кабинете возле которого сидит его PA и никого не пускает, или кабинет запирается.

Вы не поняли. Я говорю об обычном логине с любого компа компании используя имя CEO и неверный пароль с целью залочить его сетевую учетную запись. Как это предотвратить?

У нас так один новый секурити админ решил проверить пароли всех пользователей на словарные пароли, заблокировал почти всех юзеров

[Slonjra]

Комп CEO должен стоять в кабинете возле которого сидит его PA и никого не пускает, или кабинет запирается.

Вы не поняли. Я говорю об обычном логине с любого компа компании используя имя CEO и неверный пароль с целью залочить его сетевую учетную запись. Как это предотвратить?

легко. В политиках разрешить СЕО логиниться только с его собственного компа.
да и по умолчанию эта блокоровка автоматом сбрасывается через 30 минут.
Можно поменять на меньшее время, если надо.