forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск SFTP-сервера SFTPGo 1.0"
Отправлено Ordu, 11-Июл-20 21:27

> Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в
> случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах,
> потеря флэшки и т.д. и т.п)
Вообще-то нет. Выше модель уроз никак не определялась явно. Если ты предполагал что-то своё, то... эмм... чей это косяк?
>> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или
>> чаще. При таком подходе несложно за неделю заучить два десятка рандомных
>> символов.
> Ну, может у вас такая уникальная память, а вот в местах где
> смена пароля должна быть сделанnа по полисям раз в 3 месяца,
> вас не поймут
Не поймут, потому что технари, требующие смены паролей, совершенно не могут в управление персоналом. Не могут как интеллектуально, так и с точки зрения административного ресурса.
Естественно персоналу глубоко начхать на бородатого админа в свитере, и они убить его готовы за то, что он делает их жизнь сложнее. В случае каждого отдельного сотрудника маловероятно, что его пароль украдут или подберут, и из-за этой малой вероятности он должен по прихоти этого админа придумывать и запоминать пароли? Естественно, что с точки зрения этого сотрудника, вся эта деятельность по смене паролей -- лишняя головная боль, которая ему не нужна совершенно и с которой он совершенно ничего не получит. С точки зрения этого сотрудника, админ решает свои проблемы за счёт других. И, естественно, этого админа посылают на три буквы и будут посылать.
Преврати смену паролей в игру на деньги, придумай и объясни всем правила, давай призы в виде бонусов к зарплате и штрафы, в виде вычетов из зарплаты. Подумать придётся, да, надо сделать так, чтобы платить не очень много, но достаточно существенно, чтобы людям не стало бы фиолетово на выплаты и штрафы. Да, при этом, просто игры будет мало, потому что люди разные -- кто-то поведётся на игру, а кто-то нет, найдутся и те, кто будет резистить все попытки, например, потому что им кажется всё это детским садом, или потому что они наслушались OpenEcho на опеннете, не верят совершенно в пароли, и пытаются своим сопротивлением доказать админу, что они умнее его. Или может быть тысяча разных других причин. Вплоть до особо плохой памяти. Но 99% случаев решается на уровне менеджмента, который будучи достаточно квалифицированным и заинтересованным, может извлечь из своего тулбокса собранного по крупицам в ВУЗе, на семинарах, на онлайн-курсах, конференциях... нужные инструменты и сподвигнуть людей менять пароли. Кого-то купить, кому-то польстить, кого-то палкой огреть, кому-то что-то ещё. Это сложно, особенно поначалу, потом слежение за паролями войдёт в корпоративную культуру, и люди будут воспринимать это как данность, как часть своих служебных обязанностей. Впрочем, следить за сменой паролей всё равно придётся.
>> не надо нам тут рассказывать о том, что безопасности нет и
>> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности.
> Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже
> более, я говорил как эффективно генерировать пароли с достаточной и эффективной
> сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор
> символов
Эмм... Ты выше описывал генерацию текстов длиной в килобайт, но там не написано, что ты ратуешь за этот способ. Можно вывести из написанного, что ты считаешь его эффективным, но вот одобряешь ты его или нет неясно. У этого способа есть же очевидные недостатки: учить стихи -- это кошмарно сложная деятельность, учить наизусть прозу -- вообще неодолимая проблема. Пароль в 24 символа ещё можно запомнить за счёт комбинации зрительной (для подключения зрения, впрочем, очень полезно поломать /bin/login и научить его отображать пароль), слуховой и кинестетической модальностей памяти.

Исходное сообщение
"Выпуск SFTP-сервера SFTPGo 1.0" Отправлено Ordu, 11-Июл-20 21:27
> Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в > случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах, > потеря флэшки и т.д. и т.п) Вообще-то нет. Выше модель уроз никак не определялась явно. Если ты предполагал что-то своё, то... эмм... чей это косяк? >> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или >> чаще. При таком подходе несложно за неделю заучить два десятка рандомных >> символов. > Ну, может у вас такая уникальная память, а вот в местах где > смена пароля должна быть сделанnа по полисям раз в 3 месяца, > вас не поймут Не поймут, потому что технари, требующие смены паролей, совершенно не могут в управление персоналом. Не могут как интеллектуально, так и с точки зрения административного ресурса. Естественно персоналу глубоко начхать на бородатого админа в свитере, и они убить его готовы за то, что он делает их жизнь сложнее. В случае каждого отдельного сотрудника маловероятно, что его пароль украдут или подберут, и из-за этой малой вероятности он должен по прихоти этого админа придумывать и запоминать пароли? Естественно, что с точки зрения этого сотрудника, вся эта деятельность по смене паролей -- лишняя головная боль, которая ему не нужна совершенно и с которой он совершенно ничего не получит. С точки зрения этого сотрудника, админ решает свои проблемы за счёт других. И, естественно, этого админа посылают на три буквы и будут посылать. Преврати смену паролей в игру на деньги, придумай и объясни всем правила, давай призы в виде бонусов к зарплате и штрафы, в виде вычетов из зарплаты. Подумать придётся, да, надо сделать так, чтобы платить не очень много, но достаточно существенно, чтобы людям не стало бы фиолетово на выплаты и штрафы. Да, при этом, просто игры будет мало, потому что люди разные -- кто-то поведётся на игру, а кто-то нет, найдутся и те, кто будет резистить все попытки, например, потому что им кажется всё это детским садом, или потому что они наслушались OpenEcho на опеннете, не верят совершенно в пароли, и пытаются своим сопротивлением доказать админу, что они умнее его. Или может быть тысяча разных других причин. Вплоть до особо плохой памяти. Но 99% случаев решается на уровне менеджмента, который будучи достаточно квалифицированным и заинтересованным, может извлечь из своего тулбокса собранного по крупицам в ВУЗе, на семинарах, на онлайн-курсах, конференциях... нужные инструменты и сподвигнуть людей менять пароли. Кого-то купить, кому-то польстить, кого-то палкой огреть, кому-то что-то ещё. Это сложно, особенно поначалу, потом слежение за паролями войдёт в корпоративную культуру, и люди будут воспринимать это как данность, как часть своих служебных обязанностей. Впрочем, следить за сменой паролей всё равно придётся. >> не надо нам тут рассказывать о том, что безопасности нет и >> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности. > Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже > более, я говорил как эффективно генерировать пароли с достаточной и эффективной > сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор > символов Эмм... Ты выше описывал генерацию текстов длиной в килобайт, но там не написано, что ты ратуешь за этот способ. Можно вывести из написанного, что ты считаешь его эффективным, но вот одобряешь ты его или нет неясно. У этого способа есть же очевидные недостатки: учить стихи -- это кошмарно сложная деятельность, учить наизусть прозу -- вообще неодолимая проблема. Пароль в 24 символа ещё можно запомнить за счёт комбинации зрительной (для подключения зрения, впрочем, очень полезно поломать /bin/login и научить его отображать пароль), слуховой и кинестетической модальностей памяти.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в 
>> случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах, 
>> потеря флэшки и т.д. и т.п)

> Вообще-то нет. Выше модель уроз никак не определялась явно. Если ты предполагал 
> что-то своё, то... эмм... чей это косяк?

>>> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или 
>>> чаще. При таком подходе несложно за неделю заучить два десятка рандомных 
>>> символов.
>> Ну, может у вас такая уникальная память, а вот в местах где 
>> смена пароля должна быть сделанnа по полисям раз в 3 месяца, 
>> вас не поймут

> Не поймут, потому что технари, требующие смены паролей, совершенно не могут в 
> управление персоналом. Не могут как интеллектуально, так и с точки зрения 
> административного ресурса.
> Естественно персоналу глубоко начхать на бородатого админа в свитере, и они убить 
> его готовы за то, что он делает их жизнь сложнее. В 
> случае каждого отдельного сотрудника маловероятно, что его пароль украдут или подберут, 
> и из-за этой малой вероятности он должен по прихоти этого админа 
> придумывать и запоминать пароли? Естественно, что с точки зрения этого сотрудника, 
> вся эта деятельность по смене паролей -- лишняя головная боль, которая 
> ему не нужна совершенно и с которой он совершенно ничего не 
> получит. С точки зрения этого сотрудника, админ решает свои проблемы за 
> счёт других. И, естественно, этого админа посылают на три буквы и 
> будут посылать.

> Преврати смену паролей в игру на деньги, придумай и объясни всем правила, 
> давай призы в виде бонусов к зарплате и штрафы, в виде 
> вычетов из зарплаты. Подумать придётся, да, надо сделать так, чтобы платить 
> не очень много, но достаточно существенно, чтобы людям не стало бы 
> фиолетово на выплаты и штрафы. Да, при этом, просто игры будет 
> мало, потому что люди разные -- кто-то поведётся на игру, а 
> кто-то нет, найдутся и те, кто будет резистить все попытки, например, 
> потому что им кажется всё это детским садом, или потому что 
> они наслушались OpenEcho на опеннете, не верят совершенно в пароли, и 
> пытаются своим сопротивлением доказать админу, что они умнее его. Или может 
> быть тысяча разных других причин. Вплоть до особо плохой памяти. Но 
> 99% случаев решается на уровне менеджмента, который будучи достаточно квалифицированным 
> и заинтересованным, может извлечь из своего тулбокса собранного по крупицам в 
> ВУЗе, на семинарах, на онлайн-курсах, конференциях... нужные инструменты и сподвигнуть 
> людей менять пароли. Кого-то купить, кому-то польстить, кого-то палкой огреть, кому-то 
> что-то ещё. Это сложно, особенно поначалу, потом слежение за паролями войдёт 
> в корпоративную культуру, и люди будут воспринимать это как данность, как 
> часть своих служебных обязанностей. Впрочем, следить за сменой паролей всё равно 
> придётся.

>>> не надо нам тут рассказывать о том, что безопасности нет и 
>>> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности.
>> Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже 
>> более, я говорил как эффективно генерировать пароли с достаточной и эффективной 
>> сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор 
>> символов

> Эмм... Ты выше описывал генерацию текстов длиной в килобайт, но там не 
> написано, что ты ратуешь за этот способ. Можно вывести из написанного, 
> что ты считаешь его эффективным, но вот одобряешь ты его или 
> нет неясно. У этого способа есть же очевидные недостатки: учить стихи 
> -- это кошмарно сложная деятельность, учить наизусть прозу -- вообще неодолимая 
> проблема. Пароль в 24 символа ещё можно запомнить за счёт комбинации 
> зрительной (для подключения зрения, впрочем, очень полезно поломать /bin/login и научить 
> его отображать пароль), слуховой и кинестетической модальностей памяти.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру