1 марта, понедельник 04:29
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Пароли, пароли, вокруг одни пароли....

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Пароли, пароли, вокруг одни пароли....

    Положения стандартов, письма ЦБ и здравый смысл требуют от нас, чтобы пользователи использовали сложные пароли, да ещё и все их хранили исключительно в мозгу. Я провёл небольшое исследование и оказалось, что человек постоянно должен помнить 5-15 паролей от разных систем, некоторые из которых достаточно часто ещё и меняются. Например, в Анелике пароль должен меняться раз в неделю.
    В таких условиях, наказывать сотрудника за то, что он куда-то записал пароль глупо, так как само выполнение требования не реально. Но и бросать на самотёк тоже нельзя - расслабятся и начнут лепить стикеры с паролями прямо на монитор.
    Решил я озадачиться введением в обиход менеджеров паролей. Знаю есть, много разных, и платных, и бесплатных, и удобных, и не очень. Меня интересует другое: именно внедрение самих систем, а то, на какую стоит глаз положить. У кого-нить есть опыт подобного внедрения или альтернативные решения?

  • #2
    Никогда не пользуйтесь простыми паролями там, где он защищает ваши средства (например, в Интернет-банкинге). Для того, чтобы запомнить сложный набор цифр и букв в пароле удобно использовать известные только Вам ключевые фразы, к примеру, для фразы:

    "Я первый раз попал в Египет в 99 году" пароль по первым буквам будет иметь вид: «ЯпрпвЕв99г», Смена раскладки клавиатуры c русского на латиницу превратит этот пароль в следующий ZghgdE99u и т.п.
    Пишем, пишем, пишем, пишем документы.

    Комментарий


    • #3
      Сообщение от Berckut Посмотреть сообщение
      У кого-нить есть опыт подобного внедрения или альтернативные решения?
      Я бы все-таки смотрел в сторону смарткарт или токенов в качестве единого ключа. Его использовать для AD, а туда уже по максимуму интегрировать все корп. приложения.

      Для неинтегрируемого и всяких интернетов могу порекомендовать keepass - сам использую и нравится что он переносной.

      Комментарий


      • #4
        А я хочу ответить в стиле "дешево сердито":
        Ключевым пользователям ставите TrueCrypt, делате криптоконтейнер и кладете в него экселевскую таблицу, в которую пользователь заносит все свои сотни паролей...

        Токен вашу проблему не решит. Пусть даже сделаете вы себе SSO, сторонним софтом - он вам не будет автоматически менять пароли.

        Комментарий


        • #5
          Сообщение от Шауро Евгений Посмотреть сообщение
          А я хочу ответить в стиле "дешево сердито":
          Ключевым пользователям ставите TrueCrypt, делате криптоконтейнер и кладете в него экселевскую таблицу, в которую пользователь заносит все свои сотни паролей...
          После чего, в какой-то не очень удачный момент, после перезагрузки по сбою питания, вся эта таблица уходит в Великий Холод...

          Комментарий


          • #6
            Резервное копирование информации, сэр, никто не отменял.
            С точки зрения рисков БД специального менеджера паролей точно также может слететь. Идеальной надежности не бывает.

            Комментарий


            • #7
              Сообщение от Шауро Евгений Посмотреть сообщение
              Резервное копирование информации, сэр, никто не отменял.
              С точки зрения рисков БД специального менеджера паролей точно также может слететь. Идеальной надежности не бывает.
              Естественно.

              Комментарий


              • #8
                Сообщение от Шауро Евгений Посмотреть сообщение
                Резервное копирование информации, сэр, никто не отменял.
                С точки зрения рисков БД специального менеджера паролей точно также может слететь. Идеальной надежности не бывает
                А вот бумага в этой ситуации будет надежнее. Только вот сейфов не напасешся, остается опечатываемый пенал-конверт и в сейф руководителя либо в хранилище.

                Комментарий


                • #9
                  Шауро Евгений,

                  работает на практике и радует?

                  Комментарий


                  • #10
                    Сообщение от Шауро Евгений Посмотреть сообщение

                    Токен вашу проблему не решит. Пусть даже сделаете вы себе SSO, сторонним софтом - он вам не будет автоматически менять пароли.
                    почему не будет менять пароли при реализации сторонним ССО?

                    Комментарий


                    • #11
                      Сообщение от VSolon Посмотреть сообщение
                      А вот бумага в этой ситуации будет надежнее. Только вот сейфов не напасешся, остается опечатываемый пенал-конверт и в сейф руководителя либо в хранилище.
                      Ну, есть сейфы со встроенными индивидуальными ячейками, в которых как раз конверт или тубус и помещаются.

                      Комментарий


                      • #12
                        Резервное копирование организовать не проблема. У каждого пользователя есть своя сетевая папка, документы отуда подлежат резерному копированию. Берём портабл версию менеджера паролей и помещаем его в эту папку. Всё работает, все счастливы.
                        Вопрос заключался в другом. Чует моё сердце, что будет много подводных камней, начиная от обучения пользователей и заканчивая закручиванием гаек. Вот этот опыт и хотелось услушать.

                        Бумага - не выход. Как раз от неё избавиться и хочу.

                        Комментарий


                        • #13
                          ИБ это палка с двумя концми: защищенность vs удобство.
                          Угол и положение этой палки в пространстве и времени определять вам.
                          Вы должны двигать вопрос так, чтобы пользователи поняли, что это не ваша прихоть, а требования регуляторов, стандартов, руководства, да кого угодно.

                          Комментарий


                          • #14
                            Сообщение от Шауро Евгений Посмотреть сообщение
                            ИБ это палка с двумя концми: защищенность vs удобство.
                            Угол и положение этой палки в пространстве и времени определять вам.
                            Вы должны двигать вопрос так, чтобы пользователи поняли, что это не ваша прихоть, а требования регуляторов, стандартов, руководства, да кого угодно.
                            Когда-то я тоже так думал. Но потом я понял, что для пользователя и его начальника гораздо важнее, чтобы он больше дохода принёс и быстрее проценты посчитал. Мне мало интересно выполнение требований для галочки, ради слепого соответствия стандартам или документам регуляторов. Поэтому когда есть возможность, заботясь о безопасности, сделать жизнь пользователя проще, к этому надо стремиться. Хранение паролей - это как раз тот случай. Мы не можем избежать всего того зоопарка систем и кучи паролей, но помочь пользователю в выполнению этих требований - вполне по силам. И если получится создать интересный и удобный механизм - люди сами к этой идее потянутся. А иначе просто будут, как и раньше, прятать бумажки в ежедневники.

                            Комментарий


                            • #15
                              Сообщение от Berckut Посмотреть сообщение
                              У каждого пользователя есть своя сетевая папка, документы отуда подлежат резерному копированию. Берём портабл версию менеджера паролей и помещаем его в эту папку.
                              Хранилище паролей на сетевом ресурсе, пусть даже и личном, даже и защищенное?
                              Бумага - не выход. Как раз от неё избавиться и хочу.
                              Почему? Если она надежно хранится.

                              Комментарий


                              • #16
                                Сообщение от sergio1969 Посмотреть сообщение
                                Хранилище паролей на сетевом ресурсе, пусть даже и личном, даже и защищенное?
                                Если админ захочет получить пароль, он найдёт более простые решения, чем взлом базы менеджера паролей. В остальном, если не обспечена деклалируемая защищённость личной папки, то и говорить не о чем.

                                Сообщение от sergio1969 Посмотреть сообщение
                                Почему? Если она надежно хранится.
                                Потому что, во-первых это не работает, во-вторых, в этом же сейфе лежат лежат дискеты и смарт-карты, для которых эти ключи предназначены. А это уже не правильно.

                                Комментарий


                                • #17
                                  Для начала было бы неплохо, если бы используемый в работе приклад (ППО, АБС и пр.) проверял стойкость пароля на момент его формирования (занесения) пользователем.
                                  А когда пароль "12345678", то забота о его охране, тем более от админа, не более чем ханжество.

                                  зы: понимаю, есть генераторы паролей и пр., но в тоже время где гарантия что пользователь РЕАЛЬНО этим генератором воспользовался, а не просто сделал вид.
                                  Да пребудет с тобой Сила!

                                  Комментарий


                                  • #18
                                    Сообщение от sergio1969 Посмотреть сообщение
                                    Ну, есть сейфы со встроенными индивидуальными ячейками, в которых как раз конверт или тубус и помещаются.
                                    Не всегда дают деньги, даже на такую мелочь. Но в целом так и делали к примеру для ключей СКЗИ, которые хранятся в индивидуальных боксах (запираемых и опечатываемых), но совместно в одном сейфе. Там же журнал выдачи в котором делается отметка о выдаче и контроле целостности печати.

                                    Комментарий


                                    • #19
                                      Сообщение от Berckut Посмотреть сообщение
                                      Потому что, во-первых это не работает, во-вторых, в этом же сейфе лежат лежат дискеты и смарт-карты, для которых эти ключи предназначены. А это уже не правильно.
                                      Работает, тройку проверок и заработает.
                                      А вот совместное хранение паролей к ключам и сами ключи - это уже яйца в одной корзине.

                                      Комментарий


                                      • #20
                                        А этого более менее эффективно можно добиться (а потом управлять и контролировать) только с использованием AD и SSO

                                        А вот кто нибудь с т.з. здравого смысла может обьяснить зачем раз в один-два месяца менять пароль, если он изначально сложный и хранится в правильном месте (в голове или на токене)?
                                        Ведь если пароль скомпрометирован, то менять его надо моментально, а если нет - то вообще не надо.

                                        Комментарий


                                        • #21
                                          Сообщение от PSA Посмотреть сообщение
                                          А вот кто нибудь с т.з. здравого смысла может обьяснить зачем раз в один-два месяца менять пароль, если он изначально сложный и хранится в правильном месте (в голове или на токене)?
                                          Ведь если пароль скомпрометирован, то менять его надо моментально, а если нет - то вообще не надо.
                                          Для того, чтобы моментально сменить скомпрометированный пароль, надо моментально узнать, что пароль скомпрометирован- а с этим проблемы. Даже если он у вас напрочь правильный м хранится исключительно в голове, это еще не значит, что оне хранится в информационной системе воткрытом виде

                                          Комментарий


                                          • #22
                                            Имелся в виду пароль в AD.
                                            Но в любом случае, Ваш ответ подтверждает что смысла в обязательной смене пароля по истечении определенного периода времени нет никакого.

                                            Комментарий


                                            • #23
                                              Сообщение от PSA Посмотреть сообщение
                                              Имелся в виду пароль в AD.
                                              Но в любом случае, Ваш ответ подтверждает что смысла в обязательной смене пароля по истечении определенного периода времени нет никакого.
                                              Ясно, объясняю на пальцах.

                                              1. AD, нормально настроенная политика сложности паролей. Угадайте с трех раз, какие там будут самые распространенные пароли. "Qwerty1!", "Qwe!23", "P@ssw0rd". Password aging и password history позволяют со временем эти пароли вытеснить.
                                              2. На досуге проверьте, отключено ли у вас кеширование паролей LanManager. Если не отключено - ваш мегастойкий пароль выдергивается из локального кеша LM и восстанавливается за секунды. В большинстве организаций - не отключено.
                                              3. Как нетрудно догадаться, пользователи стремятся использовать одинаковые пароли в AD и приложениях. Приложений, которые хранят их в открытом виде - до фига и больше.
                                              4. Закрытый ключ RDP на серверах меняете после установки? Большинство не меняет. В итоге пароль при доступе по RDP передается практически в открыьтом виде (ибо стандартный закрытый ключ общнизвестен).
                                              Продолжать?

                                              Т.е. способов выдернуть ваш пароль AD - до фига и один. Одинаковая для всех политика обязательной регулярной смены пароли снижает последствия перехвата пароля.

                                              Комментарий


                                              • #24
                                                Добавлю, что в AD не обязательно знать пароль, что бы получить доступ куда-либо. Достаточно полного NTLM хэша.

                                                Комментарий


                                                • #25
                                                  А давайте так вопрос поставим - какие риски выше:
                                                  - сотрудник, будучи обязан менять пароли каждые 1-3 месяца, да ещё и использовать несколько разных паролей - в итоге неизбежно начнёт их забывать и писать на бумажках, в телефоне, в бумажный блокнот и т.п. - где злоумышленник может их обнаружить даже случайно;
                                                  - сотрудник будет использовать 1-3 пароля (AD, критичные бизнес-приложения, некритичные бизнес-приложения), которые вполне реально держать в голове, и менять их раз в год (тоже вполне реально) - писать вряд ли куда будет, - но взломав одну из систем злоумышленник может получить доступ к нескольким другим.

                                                  Кстати злоумышленник (особенно если он - админ) может использовать клавиатурный перехватчик и удалённый просмотр экрана, против которых мучения юзера кучей паролей абсолютно бессильны.

                                                  P.S. Кто-нибудь может посоветовать хорошую SSO (желательно с указанием использованных криптоалгоритмов)?

                                                  Комментарий


                                                  • #26
                                                    Сообщение от alexmib Посмотреть сообщение
                                                    P.S. Кто-нибудь может посоветовать хорошую SSO (желательно с указанием использованных криптоалгоритмов)?
                                                    А чем вас не устраивает MS AD?

                                                    Сообщение от alexmib Посмотреть сообщение
                                                    А давайте так вопрос поставим - какие риски выше:
                                                    - сотрудник, будучи обязан менять пароли каждые 1-3 месяца, да ещё и использовать несколько разных паролей - в итоге неизбежно начнёт их забывать и писать на бумажках, в телефоне, в бумажный блокнот и т.п. - где злоумышленник может их обнаружить даже случайно;
                                                    - сотрудник будет использовать 1-3 пароля (AD, критичные бизнес-приложения, некритичные бизнес-приложения), которые вполне реально держать в голове, и менять их раз в год (тоже вполне реально) - писать вряд ли куда будет, - но взломав одну из систем злоумышленник может получить доступ к нескольким другим.
                                                    Как бы авторизация через MS AD решает проблему - у пользователя есть ровно 1 пароль, которые меняется раз в месяц. У большинства пользователей проболем с этим не возникает. Бывают единичные личности, которые в принципе не способны запомнить новый пароль, но это рещается нормальной техподдержкой (я сам иногда забываю, каким паролем тоько что заменил устаревший и вынужден просить админов сбросить его ).

                                                    Для доступа к мегакритичным приложениям добавляется еще один фактор аутентификации.

                                                    Сообщение от alexmib Посмотреть сообщение
                                                    Кстати злоумышленник (особенно если он - админ) может использовать клавиатурный перехватчик и удалённый просмотр экрана, против которых мучения юзера кучей паролей абсолютно бессильны.
                                                    Защита от админа - это нонсенс.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      А чем вас не устраивает MS AD?
                                                      А как быть с кучей ПО, которое не использует AD?

                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Защита от админа - это нонсенс.
                                                      Интересно, а контроль - не защита?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от alexmib Посмотреть сообщение
                                                        А как быть с кучей ПО, которое не использует AD?
                                                        Вы полагаете, что с этим ПО каким-то волшебным образом сможет работать какая-либо другая система авторизации? Как ьббы для этого в ПО должна быть сделана поддержка соответствующей платформы - Kerberos, GSS API, RADIUS

                                                        Сообщение от alexmib Посмотреть сообщение
                                                        Интересно, а контроль - не защита?
                                                        В случае админа - профанация.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Вы полагаете, что с этим ПО каким-то волшебным образом сможет работать какая-либо другая система авторизации?
                                                          Полагаю, и такая система есть на моём ноутбуке. Она запоминает окно и выбранные поля ввода, заполняет их по проведению пальцем по сканеру отпечатка. Но мне на неё не удалось найти информации об используемых криптоалгоритмах и стандартах.
                                                          Вариант не самый защищённый, но явно лучше чем 10 ежемесячно меняемых паролей, записанных на единой бумажке в кармане или на телефон.
                                                          "Как бы" для этого поддержка платформы необязательна, хотя и желательна.

                                                          Сообщение от malotavr Посмотреть сообщение
                                                          В случае админа - профанация.
                                                          Директора контролировать можно, всех сотрудников можно, а вот админа - профанация. Цикл PDCA разбился вдребезги об админа на этапе check. Стандарты по ИБ оказались невнедряемыми и нереализуемыми. Может вы всё-таки имели ввиду что "админа контролировать часто сложно и не всегда возможно"?

                                                          Комментарий


                                                          • #30
                                                            [alexmib;2907819]Полагаю, и такая система есть на моём ноутбуке. Она запоминает окно и выбранные поля ввода, заполняет их по проведению пальцем по сканеру отпечатка. Но мне на неё не удалось найти информации об используемых криптоалгоритмах и стандартах.[/quote]

                                                            Понятно, разница в терминологии. Вас интересовали не SSO, а менеджеры паролей.

                                                            Если у вас ThinkPad, то пароли хранятся на диске, зашифрованные на открытом ключе RSA 1024 или 2048. А вот дальше интереснее. Если ноут "серый", то закрытый ключ хранятся на чипе TPM. Если ноут предназначен для продажи в России, то TPM отключен и используется его эмуляция, закрытый ключ хранятся где-то на диске.

                                                            Сообщение от alexmib Посмотреть сообщение
                                                            Вариант не самый защищённый, но явно лучше чем 10 ежемесячно меняемых паролей, записанных на единой бумажке в кармане или на телефон.
                                                            Этот вариант не избавляет пользователя от необходимости регулярно менять пароли, которые спольуются менеджером паролей. Менежер паролей решает две мизерные проблемы:
                                                            - записывание паролей на бумажку;
                                                            - использование кейлоггеров.
                                                            Все остальные проблемы (словарные пароли, выдергивание данных из окна ввода, хранение паролей в открытом виде в СУБД приложения, непосредственное использование хеша паролей и т.п.) никуда не деваются.

                                                            Сообщение от alexmib Посмотреть сообщение
                                                            Директора контролировать можно, всех сотрудников можно, а вот админа - профанация. Цикл PDCA разбился вдребезги об админа на этапе check. Стандарты по ИБ оказались невнедряемыми и нереализуемыми. Может вы всё-таки имели ввиду что "админа контролировать часто сложно и не всегда возможно"?
                                                            Опять терминологическая разница. Если под контролем понимать: "Если нам очень повезет, то мы заметим несанкцилнированное действие админа" - то да, проконтролировать его можно. Но я это назваю профанацией.

                                                            Комментарий

                                                            Обработка...
                                                            X