#21374 - Шпион не пройдёт

[Stephan S]

http://zadolba.li/story/21374

Нет, я не буду стесняться в выражениях. И не буду строить из себя сетевого интеллигента. Я просто чётко и ясно выскажусь: задолбали!

Адепты сетевой безопасности, сколько можно?! На работе четыре разных программы плюс учётная запись требуют разные пароли. Логично, безопасность же. Все эти программы, плюс всё та же учётка требуют раз в месяц изменить этот пароль. Тоже логично, ибо. Пароль не должен использоваться повторно — ни через месяц, ни через два, ни через год. Ну, это… Да, мы всё понимает, она самая. Безопасность.

Но вашу ж сетевую карту, почему, ну почему вам так нужно устанавливать обязательную смену пароля каждую неделю? На этой неделе — придумываем пароль к одной программе, на следующей — к другой и так далее. Чем для вас так привлекательно правило «последовательность этих трёх символов уже использовалась в предыдущих периодах»?!

Жёваный крот, вся ваша долбаная безопасность сводится к бумажкам под клавиатурой, неужели непонятно?!

А когда технари учитывали психологию людей? Частая смена пароля приводит не к меньшей, а к большей уязвимости — сия мысль труднодоносима для квадратно-гнездовых мыслителей.

[murmur]

Вот согласна, есть какой-то предел у памяти человеческой. Если менять пароли слишком часто и делать их слишком сложными, люди просто перестанут их учить и начнут записывать

[uvejourgen]

мой стандартный админский пароль на системе где действительно нужна безопасность 24 символа. меняю раз в полгода Сам пароль помню только базовый и от него каким способом изменяю. где-то через 2-3 недели на уровне моторики запоминаю.
Сам лютый сторонник авторизации по токенам, пальцам и т.д, потому чсто задолбали эти бумажки под клавиатурой. большинство юзеров пароль сложнее 12345 или йцукен запомнить не могут

[steelslife]

У меня на почтовом ящике паролю... когда там регистрация в гмейле была только по приглашениям?.. Кашмар! Нибизапасна!

большинство юзеров пароль сложнее 12345 или йцукен запомнить не могут

Если юзер совсем туп, его не спасёт сложный пароль. Если юзер просто неопытен, он станет более аккуратным после первого же взлома/чего-то-ещё. Если юзер нахер никому не нужен, он будет долго жить со своими 12345 и абвгд.

[Static Space]

Как правило, рядовые юзеры в фирмах знать не знают, что они кому-то нужны, даже после взлома

[Catty]

Сам лютый сторонник авторизации по токенам, пальцам и т.д, потому чсто задолбали эти бумажки под клавиатурой. большинство юзеров пароль сложнее 12345 или йцукен запомнить не могут

Что, кипас шибко сложный для хомячков?

[Шебуршунчик]

О да, у нас на работе такая фигня! А уходя от рабочего места хотя бы в туалет, комп обязательно нужно заблокировать (правда, на последнее мы в основном забиваем). А пароли... 1 - пользовательский винды, 2 -от токена, 3 - от рабочей программы1, 4 - от рабочей программы2 и че-то еще вроде было. ОТ токена меняется то ли раз неделю, то ли в 2, от учетки раз в месяц, от программ тоже раз в месяц. Адище! И тоже, разные буквы, цифры, знаки, регистры. Ну и у половины сотрудников чуть ли не на видном месте стикеры с паролями. Ага, Б-Безопасность.

[Sashetta]

Хорошо, что у нас пароль меняется раз в полгода, а не раз в месяц, я месяц только запоминаю новый

[dragolub]

Жёваный крот, вся ваша долбаная безопасность сводится к бумажкам под клавиатурой, неужели непонятно?!

перечень подколодных подклавиатурных бумажек включает заявление по собственному, задним числом (писать ежедневно). Это если внезапно речь не о "Шараш-монтаж евро плюс", а о предприятии со своей СБ.

[Tulip]

Ну блин, я работала в энергетической компании со своей СБ, на территорию хрен попадешь, кабинеты опечатываются, доки на столах должны лежать только лицом вниз и все такое. Тем не менее, бумажки с паролями под клавой лежали у каждого второго  

[Vogel]

Автор нуп. Полно же программ типа keypass. Или, например, замечательное расширение для хрома lastpass.

И если уж всё настолько плохо, то нахуа хранить пароли под клавиатурой и жаловаться, что это не безопасно? Никто же не заставляет так делать, в конце концов. Засунь их в сумку, запиши в заметку в телефоне и поставь 1 пароль. Стопицот вариантов - но нет же! Мы выберем самый хреновый метод записи паролей и будем жаловаться на разработчиков.

[steelslife]

Как правило, рядовые юзеры в фирмах знать не знают, что они кому-то нужны, даже после взлома

Ну дык пусть админ их в правах ограничивает. Или, если проще зоопарк каждую неделю чистить и документы восстанавливать, то забить.

И если уж всё настолько плохо, то нахуа хранить пароли под клавиатурой и жаловаться, что это не безопасно? Никто же не заставляет так делать, в конце концов. Засунь их в сумку, запиши в заметку в телефоне и поставь 1 пароль. Стопицот вариантов - но нет же! Мы выберем самый хреновый метод записи паролей и будем жаловаться на разработчиков.

Потому что бумажка быстрее и удобнее.

А почему бы и не жаловаться, если безопасность выглядит как бизапаснасть?

[Стрелиция]

Автор нуп. Полно же программ типа keypass. Или, например, замечательное расширение для хрома lastpass

Скорее всего, автор без админских прав, и никаких программ себе поставить не может.

У нас на работе настроена смена паролей раз в два месяца; на разные программы один пароль ставить можно; ставить пароль, который уже был, нельзя, но отличающийся хоть на символ можно. Так что последовала совету из чьей-то истории - придумала последовательность букв+цифры и при смене прибавляю единицу. Другие сотрудники из отдела так же делают.

Однажды звонила дама, сказала, ушла на обед, вернулась и пароль для входа в систему забыла. Хотя утром точно его вводила.

[Сова]

А когда технари учитывали психологию людей? Частая смена пароля приводит не к меньшей, а к большей уязвимости — сия мысль труднодоносима для квадратно-гнездовых мыслителей.

Редко в этом технари виноваты, в 90% случаев менять пароль каждые n единиц времени - это приказ сверху.
Возьмут на работу какого-нибудь директора по информационной безопасности, который про эту самую безопасность только вчера услышал. В итоге человеку заняться нечем, и он начинает рожать каждые три дня гениальный креатив, оформленный в виде приказов "запретить!!!111". И пароли требует по 10 символов делать, и менять часто, и usb порты прикрыть и т.д. и т.п.

[Тётя Сэм]

мой стандартный админский пароль на системе где действительно нужна безопасность 24 символа. меняю раз в полгода Сам пароль помню только базовый и от него каким способом изменяю. где-то через 2-3 недели на уровне моторики запоминаю.
Сам лютый сторонник авторизации по токенам, пальцам и т.д, потому чсто задолбали эти бумажки под клавиатурой. большинство юзеров пароль сложнее 12345 или йцукен запомнить не могут

Группа-альбом-дата выхода-песня, меняешь раскладку, вот тебе и хороший годный пароль.

[Vogel]

Редко в этом технари виноваты, в 90% случаев менять пароль каждые n единиц времени - это приказ сверху.
Возьмут на работу какого-нибудь директора по информационной безопасности, который про эту самую безопасность только вчера услышал. В итоге человеку заняться нечем, и он начинает рожать каждые три дня гениальный креатив, оформленный в виде приказов "запретить!!!111". И пароли требует по 10 символов делать, и менять часто, и usb порты прикрыть и т.д. и т.п.

Ооооу йес. Как "технарь" подтверждаю на все 100%. Клиенты просят фичу, мы дружно бьём себя руками по лицу, но делаем, так как в противном случае клиент  (читай: шеф тех несчастных юзеров, которым потом придётся этим пользоваться) отклонит работу.

[Экзистенциальный_Ужас]

я как человек не работающий просто ужасаюсь и рассказать мне нечего.
хотя и у меня бывает иногда. зарегистрировала как то интернет банк на кредитку. надо было придумать 3 пароля: основной, какой то пасс из букв и цифр и ключ только из цифр. в следующий раз когда хотела зайти чуть не разрыдалась. потому что эта чертова система просила то 2 цифры из ключа, то 3 буквы из пароля, то еще что то. а я не только забыла напрочь что там ключ а что пасс но и собственно последовательность цифр и все вот эти заглавные буквы и символы тоже  

[murmur]

Ужас, а кто ты по профессии? Я просто давно хотела спросить, да как-то к слову не приходилось)) Сначала же работала, до детишек, насколько я помню

[Экзистенциальный_Ужас]

murmur, вообще по профессии я парикмахер. в Англии получила диплом менеджера но свой профессией это не считаю. а работала в основном на фабриках и складах.

[murmur]

А на фабриках кем работала? Парикмахером что ли?

[Экзистенциальный_Ужас]

просто рабочим:) если честно не хочу тут работать парикмахером. стригу и крашу подружек иногда в свое удовольствие. а за деньги можно и на фабрике и на складе. благо зарплата такая что жить можно.

[ZloeAloe]

У меня в идеале - код на двери в здание, электронная карта, охранник - сверка фейса, код на двери в отдел, пароль на комп, пароль на пользователя, пароль на удаленку, пароль на базу, пароль на вторую базу, пароль на вторую удаленку, пароль на третью базу во второй удаленке и четвертую базу там же и все равно серьезнее всего было, когда у нас месяц шерстила внешняя проверка по охране личных данных.
А, и цисочка, конечно. И шкафчик на ключ.

Но то идеал, а реальность - разное бывает  

[murmur]

просто рабочим:) если честно не хочу тут работать парикмахером. стригу и крашу подружек иногда в свое удовольствие. а за деньги можно и на фабрике и на складе. благо зарплата такая что жить можно.

А, ясно)) А почему там парикмахером не хочется?

[Твинк]

У нас тоже пароль принудительно заставляют менять раз в три месяца. Да еще и комбинации должны быть из серии не менее 256 знаков, с заглавными, маленькими буквами и цифрами римского алфавита в обратном порядке. Так что слова, с чем-то у меня ассоциирующиеся, закончились через две-три такие вот смены. Конечно же, записываю в блокнотик. Более того, если блокнотик потеряю, придется кому-то взламывать учетку. Такое уже и бывало, кстати. Кому сделали хуже, я не знаю.

[Сова]

А я, как представитель технарей-аутсорсеров, заколебана этими политиками безопасности еще больше юзверей) потому что у каждого пользователя баз, в которых они работают, 1-3 штуки. Кинул пароль под клаву и радуйся.
А у нас до фига клиентов, у многих клиентов до фига серверов и баз. И когда подключаешься к клиенту, у которого месяц уже не был, и обнаруживаешь, что старый пароль просрочен, начинается танец с бубнами "найди и свяжись с тем, кто выдаст тебе новый пароль", что в условиях разных часовых поясов иногда ой как непросто  

[Иллия]

Я работаю в гуманитарном вузе, у нас никакой секретности в помине нет. Компьютер примерно раза три в год требует поменять пароль, но я всегда ввожу прежний и никаких проблем:)

[Earel]

Ууу, ппксю автору неистово. Два с половиной года работаю в таком учреждении. Пять программ, требующих разные пароли с регулярной сменой. Заколебали. Тоже исчерпала уже все любимые сложные пароли, волей-неволей перешла на %имя%12345 и тому подобное.
Сложно так жить.

[Vogel]

Имхо, идеальная система вглядеть должна так:
"Срок годности" пароля истёк -> юзеру показывают инфо-окошко, мол, дружище, пора менять пароль, давай-ка сейчас это сделаем. Да/Нет(позже).
Если юзер нажимает "Нет", в базе это отмечается, и с этого момента юзер сам несёт за себя ответственность. Проникнут в учётку - сам будет виноват. Сменит - будут виноваты технари.

Слишком утопично, да.. (

[ZloeAloe]

Имхо, если (в моем случае) левый человек дойдет до моего компа - то иметь надо прежде всего охрану и СБ.
А не технарей и не пароль.

[murmur]

А вдруг шпион в ту же компанию устроится и прокрадется во время обеда в твой офис!