Про информационную безопасность

[dil]

Вчерась на работе разослали письмо, что все сотрудники должны срочно, ещё вчера до конца следующей недели прослушать (точнее, самостоятельно прочитать на сайте) курс по охране персональных данных и информационной безопасности и сдать там же экзамен, ответив правильно не менее, чем на 8 вопросов из 10.

В курсе, кстати, два раза подчёркивалось, что каким бы привлекательным ни был клиент, сотрудник компании ни в коем случае не должен приглашать его (или её) на свидание, поскольку это нарушение законодательства. Клиент присылал копию своих документов только для целей идентификации личности, поэтому использовать их для других целей, не объявленных предварительно клиенту, сотрудники компании не имеют права. Но это так, лирическое отступление.

А для прохождения курса в письме содержалась ссылка на сайт, логин и пароль:
Username: имя фамилия
Password: Password

Буквально так. Вот такая информационная безопасность..

Upd: письмо с логином и паролем было не от самого сайта, а от нашего менеджера, который там эккаунты для конечных пользователей создавал..

Оригинал этой записи в личном блоге.

Comments

[trailmax]

О_О
одинаковые пароли это, конечно, зло.
Но еще большее зло - это пароль в открытом виде присылать в емейле. А значит у них в базе он хранится не в виде хеша, что еще больший трындец.

И эти люди учат инфо-безопасности.

[dil]

Не, письмо было от нашего менеджера, а не от allnone.

[filonovd.myopenid.com]

Во-первых, присылать пароль в открытом виде - это, конечно, не очень правильно, но не так, чтоб прямо ЗЛО. Просто к этому "злу" нужна приписка, что "пользователь должен поменять пароль при первом логине". Это-же является более-менее адекватным ответом на одинаковые пароли. Причем в данном случае одинаковые пароли таки бОльшее зло, ибо все сотрудники одновременно узнают пароль соседа и могут успеть зайти под его именем раньше.

Дальше вопрос только в том, есть-ли под этим паролем хоть что-то требующее защиты. Если любой человек, зашедший под любым именем, видит один и тот-же урок по информационной безопастности, то можно ваще без пароля жить. Защищать-то нечего.

P.S. Откуда сделан вывод о plain-text паролях не ясно. Но если оно так, то это таки зло. Хотя иногда это зло таки оправдано. Но это уже совершенно другой вопрос.

[dil]

Смена пароля при первом логине на самом сайте как раз предусмотрена, они сразу после логина отправляют на страницу смены пароля.

А вот одинаковые пароли - это бардак в любом случае. Уроки-то там показывают всем одинаковые (по крайней мере, в рамках одной организации), но возможность провалить экзамен за соседа остаётся.

[filonovd.myopenid.com]

Ну я как раз об этом и написал. Что в данном случае большее зло как раз в одинаковости, а не в плейнтекстовости.

[trailmax]

вывод о plain-text паролях сделан неверно, ибо думал что пароль пришел с сайта.

Пароли в принципе надо защищать, ибо люди ленивые и одинаковые пароли используют в разных сайтах. И мало ли, вдруг кто криворукий совсем и такой же пароль использует у себя в банке. А потом ломают вот такие сайтики и уводят аккаунты твиттеров и фейсбуков. В худшем случае деньги из банка.

[filonovd.myopenid.com]

в принципе - надо. Я и не спорю. Но иногда... Иногда проще сгенерить юзеру пароль, держать его в плейнтексте и не давать его поменять. Но это таки очень отдельные случаи.
P.S. А вот если юзер сам ставит пароль, то его таки надо шифровать. Тут без вопросов.