Про информационную безопасность

[dil]

Вчерась на работе разослали письмо, что все сотрудники должны срочно, ещё вчера до конца следующей недели прослушать (точнее, самостоятельно прочитать на сайте) курс по охране персональных данных и информационной безопасности и сдать там же экзамен, ответив правильно не менее, чем на 8 вопросов из 10.

В курсе, кстати, два раза подчёркивалось, что каким бы привлекательным ни был клиент, сотрудник компании ни в коем случае не должен приглашать его (или её) на свидание, поскольку это нарушение законодательства. Клиент присылал копию своих документов только для целей идентификации личности, поэтому использовать их для других целей, не объявленных предварительно клиенту, сотрудники компании не имеют права. Но это так, лирическое отступление.

А для прохождения курса в письме содержалась ссылка на сайт, логин и пароль:
Username: имя фамилия
Password: Password

Буквально так. Вот такая информационная безопасность..

Upd: письмо с логином и паролем было не от самого сайта, а от нашего менеджера, который там эккаунты для конечных пользователей создавал..

Оригинал этой записи в личном блоге.

Comments

[trailmax]

вывод о plain-text паролях сделан неверно, ибо думал что пароль пришел с сайта.

Пароли в принципе надо защищать, ибо люди ленивые и одинаковые пароли используют в разных сайтах. И мало ли, вдруг кто криворукий совсем и такой же пароль использует у себя в банке. А потом ломают вот такие сайтики и уводят аккаунты твиттеров и фейсбуков. В худшем случае деньги из банка.

[filonovd.myopenid.com]

в принципе - надо. Я и не спорю. Но иногда... Иногда проще сгенерить юзеру пароль, держать его в плейнтексте и не давать его поменять. Но это таки очень отдельные случаи.
P.S. А вот если юзер сам ставит пароль, то его таки надо шифровать. Тут без вопросов.