Еще раз про "200 паролей..."

Для любителей просто поболтать

Еще раз про "200 паролей..."

Сообщение Музалёв Николай » 29 мар 2005, 19:16

В продолжении скоропостижно зарытой темы Поменять пароли... я бы хотел ответить уважаемому коллеге, ибо моё скромное ИМНО расценило его заключительное сообщение как наезд и очень этому огорчилось.
Мда...

Коллега Андрей Тр. aka RH писАл:
А что, процедуры генерации надежных паролей для пользователей с какого-то времени объявили дырой в безопасности ?

Вообще-то дырой в безопасности была объявлена не собственно генерация паролей (по всем правилам криптографии, разумеется, надежных и устойчивых), а ситуация, озвученная когда-то папашей Мюллером: "Что знают 2е..." ну, вы помните...
При этом пароли, ....типа "12345" или "ааааа", очевидно, считаются верхом надежности.

Вы будете смеяться, но именно - ДА, считаются. Т.к. они, эти пароли, как минимум, на бумажке к монитору не прислюнявлены. А через некоторое время (при установке флага Уникальный Пароль) эта проблема сама собой исчезает и пароли становятся вменяемыми.

А можно и так, что даже и генерящий не будет их видеть.

А вот тут я напомню: автор темы конкретно изложил ситуацию:
...пароли сохранены в текстовом файле в виде:
имя_пользователя пароль [кстати, а кто эти самые пароли формирует и в файл пишет?]
......
....каждый месяц перебивать [в NWAdmine ??] 200 паролей...

И совет мой - в русле его реальной ситуации.

При всем уважении к коллеге Андрею - остаюсь при своем Скромном ИМНО: принудительное централизованное распространение паролей - дыра в безопасности. Исключение, изложенное в Уставе Гарнизонной и Караульной Службы - не в счет.

P.S. Гостиница - не дом. Мы там только ночуем... Если не повезет.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Timur Kazimirov » 30 мар 2005, 07:56

Николай, случаев генерации паролей для пользователей и их хранения в каком-либо файле, базе и т.п., к которому имеют доступ другие люди, процессы и т.д., на самом деле очень и очень много. Возьмите те же самые PIN-коды для кредитных карт, SIM-карточек, Интернет-карточек. Список можно продолжать до бесконечности... Причем вся эта информация зачастую передается (и хранится!) отнюдь не в зашифрованном "суперсекурном" виде (но это отдельный разговор). Все дело как в технологии процесса, так и в обычном "человеческом" факторе. Причем двустороннем факторе, вернее, в контролируемости или неконтролируемости самого процесса "генерация-хранение-передача-отслеживание". "Недобросовестный" админ ЛВС, генерирующий пароли, в состоянии причинить ущерб, никто не спорит. Но ведь, точно также, аналогичный (если не больший!) ущерб может нанести и пользователь с паролем "12345", который имеет доступ к какой-либо другой подсистеме организации, к которой админ доступа не имеет и иметь не может.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Re: Еще раз про "200 паролей..."

Сообщение Андрей Тр. aka RH » 30 мар 2005, 10:58

Николай, ИМХО наезд - это когда человек задает вполне конкретный вопрос технического характера, и ответ на него - односложный, а его начинают поучать в духе "ну ты совсем дурак что ли, кто ж так делает-то ?!". Вот это - наезд.

Вдобавок к уже сказанному Timur Kazimirov ..
Музалёв Николай писал(а):
При этом пароли, ....типа "12345" или "ааааа", очевидно, считаются верхом надежности.

Вы будете смеяться, но именно - ДА, считаются. Т.к. они, эти пароли, как минимум, на бумажке к монитору не прислюнявлены. А через некоторое время (при установке флага Уникальный Пароль) эта проблема сама собой исчезает и пароли становятся вменяемыми.

Наверное, это дело вкуса - считаются или нет. Да прислюнявлены бумажки и со своими паролями, прислюнявлены - я проверял. Мне не раз доводилось вылавливать подбных чудаков, тем или иным способом доставших чужие пароли ( довольно увлекательное занятие ). Флаг "уникальный пароль" спасает лишь от их повторного использования, но не влияет на надежность назначаемых паролей. Благо, детей / собачек / кошечек / любимых команд и т.п. у пользователей хватает, равно как и рядов клавиш на клавиатуре. Если Вы хотите быть уверенным, что они используют надежные пароли, то советую попробовать прикрутить к 4.11 софтину, тестирующую назначаемые пароли на этот предмет ( dictionary attack, brute force attack ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Музалёв Николай » 30 мар 2005, 12:40

Коллеги! Надежный пароль - это не тот, который невозможно подобрать, узнать, определить (dictionary attack, brute force attack... , а также КГБ и АНБ совместно.... бррр.... медвежуть! ) а тот, который вот сейчас, вот в этот момент, мои дорогие сослуживцы не знают.
Ибо если они его - самый сложный, запутанный, правильный - знают, то это профанация чистой воды. (По поводу различных карточек не силен, но коды-пароли без карточек ведь не действют? или как?)

Досадно, что я не могу вам втолковать прстейшую мысль - генерация паролей наносит удар по секретности именно тем, что позволяет с ней , секретностью, не считаться. Ибо генерация паролей АВТОМАТИЧЕСКИ выводит пользователя из-под ответственности за действия под-логином.

Пример из нашей жизни: "Алло, здравствуйте, Пупкин слушает....Что говорите? пользователь ВАСАПУПКИН удалил годовю базу? ай-яй-яй.... да, я... ну и что , что я - васапупкин? пароль мой [жутко правильный, словарями генерированный, на устойчивость проверенный, к запоминанию не пригодный, длиной 159 с половинкой байт, и тд и тп... - сарказм мой] 1й отдел знает? - Знает. - Пароль мой второй отдел знает?- Знает... - Пароль мой бухгал-терьеры знаю? - Знают... - Ну так идите-ка, ребята, в заросли armoracia rusticana.... некогда мне с вами время тратить: у меня тут дуума последний уровень ждет... ""

Ситуация та же, вариант два: "Алло, это Пупкин? Здравствуйте, дорогой товарищЪ... у нас для вас отличные новости: корзинку Кисляровского наш профом вам подарит... ну а уж сухарики - тут вы сами, сами.... Как это ЗаЧто? За снос годовой базы! .... А кто , кроме вас ? У нас в аудите так и написано - Сам ВасаИПарольЕго, 35 мартобря сего года базку то и того...тю-тю начисто, с пургением тома.... Как это НеЗнаю? А кто то еще имеет доступ? Кто, кроме вас, мог пароль для ВАСАПУПКИН знать, а? Кто его придумывать должен и в секрете держать? и менять на новый регулярно? Кто на сё крест целовал, землю жрал и к бумаге перст прилагал, а?"

Пример, кстати , из жизни. Так что - почувствуйте разницу...

Думаю, что стороны высказались и уточнили свои позиции, так что читающий может выбрать ту, что ближе его пониманию проблемы...

Спасибо всем, кто принял участие.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Андрей Тр. aka RH » 30 мар 2005, 15:14

Николай, а как у вас получают первоначальный пароль новые пользователи ? Согласен, когда пароли знают целыми отделами, да еще зачем-то бухгалтеры - это нехорошо.

Понятие надежного пароля ( strong password ) существует уже давно, где-то еще с 70-х, так что смысла здесь это обсуждать я не вижу. Есть способы доставки паролей и кодов доступа пользователям, и ими пользуется несчетное количество компаний и организаций. Пароли для этого, ессно, генерятся автоматически ( соответствующей службой компании, банка и т.п. ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Музалёв Николай » 30 мар 2005, 16:23

...новые пользователи ?

Наверное, как у всех - при регистрации заносятся данные пользователя и устанавливается входной пароль-отмычка. Самый простой - 11111, 22222 , 12345, .... Ограничение у нас становлено не 6 входов, как по умолчанию, а на 3. Регистрация и инструктаж - персональные, поэтому входные отмычки и не очень разнообразные...
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Андрей Тр. aka RH » 30 мар 2005, 17:31

Музалёв Николай писал(а):при регистрации заносятся данные пользователя и устанавливается входной пароль-отмычка. Самый простой - 11111, 22222 , 12345, ....
И что, эти пароли, небось, знает генерящий их админ ? Ну вот вам повезло, у вас их мало и нечасто, а мне, к примеру, то и дело приходится генерировать подобные для сотен пользователей. И никакой при этом тебе персональной регистрации .. и кто-то из них первый раз ими воспользуется на следующий день, кто-то - через неделю, а иные так могут и через две-три. Большинство своих пользователей мы не знаем в лицо, и полагаться на их способности не имеет смысла.

Ну и потом, даже при краже паролей для подавляющего большинства пользователей ущерб будет сравнительно небольшим ( по крайней мере, очень ограниченным ). Ни о каком сносе годовой базы не может быть и речи.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron