November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Про информационную безопасность

dil: (Default)
[personal profile] dil
Friday, May 24th, 2013 12:35 pm

Вчерась на работе разослали письмо, что все сотрудники должны срочно, ещё вчера до конца следующей недели прослушать (точнее, самостоятельно прочитать на сайте) курс по охране персональных данных и информационной безопасности и сдать там же экзамен, ответив правильно не менее, чем на 8 вопросов из 10.

В курсе, кстати, два раза подчёркивалось, что каким бы привлекательным ни был клиент, сотрудник компании ни в коем случае не должен приглашать его (или её) на свидание, поскольку это нарушение законодательства. Клиент присылал копию своих документов только для целей идентификации личности, поэтому использовать их для других целей, не объявленных предварительно клиенту, сотрудники компании не имеют права. Но это так, лирическое отступление.

А для прохождения курса в письме содержалась ссылка на сайт, логин и пароль:
Username: имя фамилия
Password: Password

Буквально так. Вот такая информационная безопасность..

Upd: письмо с логином и паролем было не от самого сайта, а от нашего менеджера, который там эккаунты для конечных пользователей создавал..

Оригинал этой записи в личном блоге.

Tags:
Flat | Top-Level Comments Only

[identity profile] filonovd.myopenid.com
Friday, May 24th, 2013 03:31 pm (UTC)
Во-первых, присылать пароль в открытом виде - это, конечно, не очень правильно, но не так, чтоб прямо ЗЛО. Просто к этому "злу" нужна приписка, что "пользователь должен поменять пароль при первом логине". Это-же является более-менее адекватным ответом на одинаковые пароли. Причем в данном случае одинаковые пароли таки бОльшее зло, ибо все сотрудники одновременно узнают пароль соседа и могут успеть зайти под его именем раньше.

Дальше вопрос только в том, есть-ли под этим паролем хоть что-то требующее защиты. Если любой человек, зашедший под любым именем, видит один и тот-же урок по информационной безопастности, то можно ваще без пароля жить. Защищать-то нечего.

P.S. Откуда сделан вывод о plain-text паролях не ясно. Но если оно так, то это таки зло. Хотя иногда это зло таки оправдано. Но это уже совершенно другой вопрос.

dil: (Default)
[personal profile] dil
Friday, May 24th, 2013 03:54 pm (UTC)
Смена пароля при первом логине на самом сайте как раз предусмотрена, они сразу после логина отправляют на страницу смены пароля.

А вот одинаковые пароли - это бардак в любом случае. Уроки-то там показывают всем одинаковые (по крайней мере, в рамках одной организации), но возможность провалить экзамен за соседа остаётся.

[identity profile] filonovd.myopenid.com
Friday, May 24th, 2013 04:14 pm (UTC)
Ну я как раз об этом и написал. Что в данном случае большее зло как раз в одинаковости, а не в плейнтекстовости.

[personal profile] trailmax
Friday, May 24th, 2013 04:01 pm (UTC)
вывод о plain-text паролях сделан неверно, ибо думал что пароль пришел с сайта.

Пароли в принципе надо защищать, ибо люди ленивые и одинаковые пароли используют в разных сайтах. И мало ли, вдруг кто криворукий совсем и такой же пароль использует у себя в банке. А потом ломают вот такие сайтики и уводят аккаунты твиттеров и фейсбуков. В худшем случае деньги из банка.

[identity profile] filonovd.myopenid.com
Friday, May 24th, 2013 04:17 pm (UTC)
в принципе - надо. Я и не спорю. Но иногда... Иногда проще сгенерить юзеру пароль, держать его в плейнтексте и не давать его поменять. Но это таки очень отдельные случаи.
P.S. А вот если юзер сам ставит пароль, то его таки надо шифровать. Тут без вопросов.
Flat | Top-Level Comments Only