30 лет неудач: комбинация `имя пользователя/пароль`
Захотелось откоментировать новость 30 лет неудач: комбинация `имя пользователя/пароль`.
Вот уж видимо действительно не удачное изобретение - пароль.. Почему же, спросите вы?
Ну ответ на этот вопрос очевиден, хороший пароль, это тот пароль, который вы сами фиг запомните
Что, ваш пароль соответствует требованиям безопасного пароля виндовс и вы его помните?
А помните ли вы, что пароли к разным ресурсам не должны повторяться? Сколько у вас ресурсов, требующих пароль для доступа (комп, программы, почта и тд) и сколько из них безопасны и вы их помните?
Ааааа, у вас программка, которая их генерит и сохраняет… Нет, ну тоже конечно вариант, так я то про что…
Про то что, хороший пароль и удобство пользователя вещи не совместимые, а пользователи мы сами, как тут не схалтурить. А сколько раз мы регились на сайте тока чтоб что то скачать, мол нафик он мне и указывали логины и пароли типа 111111, тьфу занят, тогда 222222, блин тоже занят…
Что далеко ходить, кто чаще всего вынужден вводить пароль в программу? Разработчик! Если система уже работает и надо каждый день что то дописывать, и каждый раз запуская программу для проверки надо вводить пароль?
Никому не скажу, что пароль нашего главного спеца-разработчика по старой учетной системе - 1, на все его 5-6 логинов (фамилий с цифрами на конце)… Да впрочем, хотя нет, тссс! вдруг ещё кто - то на фирме этого не знает !
Внедряем новую систему, Навижн фигов, там виндовая авторизация, админы лютуют, заставляют юзеров заводить безопасные пароли и менять их каждые, не помню, скока там в винде месяцев?
А как вы думаете, какой у меня в системе qwerty пароль? Не скажу, но он проходит контроль безопасного пароля винды, да и галочку - не менять пароль я тоже поставил
А есть ещё SQL авторизация, вот где полная ж с безопасностью. Так уж сложилось, что был придуман внедренцами пароль, который с супер правами и юзался изначально всеми (не было ролей, да и сейчас с ними тяжко, стока надо писать в системе, что руки не доходят, а ещё ж и поддерка юзеров), сменить бы его, дык он в стольких местах прописан… под ним работают службы, он прописан в настройках репликации в несколько десятков мест - открытым текстом !!! Наш, конечно, косяк с этим паролем, но и в самой системе стока дыр, это пипец…
Другая система, кассовый сервер… как мне сказал самый крупный спец в нашей фирме по этой системе (она внешняя и довольно известная в своём роде) , она умеет работать с mysql только под юзером root с пустым паролем… я в шоке, не ужели и правда всё так плохо?
В общем к эти 2м проблемам - сложности для пользователя паролей и дыр и небрежности написания в самом ПО, можно до кучи добавить и саму организацию безопасности в фирме.
Маленькая история. Когда меня взяли на эту фирму, я хотел уволиться на 3ий день…
А знаете почему?
Мне, разработчику, закрыли всё в «моем» же компе. Не то чтоб флешку не могу вставить, кстати, она работала, запустить ничего не мог, был список exe которые можно запускать.
Дошло до полного идиотизма, прихожу к главному по тарелочкам (его уже сократили, давно пора было…) и говорю:
- Люди, дайте мне нормальные права, мне для работы надо !
- Какие тебе права?
- Ну мне н-р дельфи поставить надо, IB и тд.
- Щас придет админ, он тебе всё поставит…
Приходит админ… ставит дельфи… запускает - работает, перегружает комп и уходит…запускаю дельфи
- вы не имеете права на запуск delphi.exe.. Пилядь !!! Иду к админам… приходят, ставят права на запуск дельфи…Чуваки, мне ещё IBExpert нужен !!! А что это ?! А у нас нет…
Я озверевший уже в конец, такого «плевка в душу» с правами я нигде ещё не встречал (даже в банке, где безопасность была на высоком уровне, у меня были админские права на компе), иду к главному… Высказываю всё, что о нём думаю… и интересуюсь, такие права у меня на испытательный срок или по жизни? получаю ответ - по жизни, не нравится - пиши служебки, что тебе надо, зачем и почему …
В общем, в итоге начальство его, настучало ему же по шапке, а мне сделали более-менее права.
Дык к чему я эту, нифига не короткую, как думал историю рассказал, а к тому, что через неделю работы в этой фирме, у меня был пароль админа домена. Не, я не хакал никого, и не прикладывал для этого никаких усилий, просто по работе мне нужно было хранимую написать на SQL сервере и мне прогер дал для доступа пароль пароль админа домена (да,да, тот самый разработчик, у которого пароль 1) .
В общем, всё через ж… нету у нас понимания как грамотно организовать безопасность, а перегибы в отдельных вопросах, только ухудшают ситуацию.
Вот, например, хочу пожаловаться на админа, что у меня нет нормального инета на компе… Причем, после меня люди на испытательном сроке (прогеры) имеют полноценный инет, но я из принципа не буду у него просить доступ, да пошел он… что мне серверов, что ли не хватает, где есть инет и нет политики запретов
А то что у нас на фирме на пользовательских компах, да и на серверах, нет антивирусов, дык то не моя головная боль, у меня каспер стоит. Вот так, на пальцах, пересекаются личные интересы и безопасность фирмы. Уж не буду утомлять рассказом, как я узнал страшную тайну фирмы - зарплаты сотрудников, лежавшие в рассшаренной папке на компе бухов…
В общем, возвращаясь к теме : 30 лет неудач: комбинация `имя пользователя/пароль` - будущее явно за альтернативными способами авторизации, те же пальцы, сетчатка глаза или ещё что придумают
Вот тока интересно, сейчас сказал свой пароль кому-то и у него доступ есть, а как с сетчаткой? на, поюзай мой глаз? Или будет всеобщая идентификационная база, и указал его фио, а комп сам получит его отпечаток с сервера, или даже отправит отпечаток серверу, а тот подтвердит или нет.
ps: Я думаю, что каждый из вас мог бы в камментах написать кучу таких историй, ну если бы конечно, не ваша лень, но я то знаю, что вам просто лень, так что будем считать, что вы так и сделали
Это кросспост из блога "Блог жителей Чертенка.ру"
Вы можете посмотреть коментарии и оставить свои комертарии тут
(регистрация не нужна)