Смарт-карты и OTP-брелки для пользователей против паролей под клавиатурами. Безопасность или бессмысленный ход?

Вот и ответ: надо совместить смарткарту и зарплатную карту. Написал на карте пин и оставил на столе? ССЗБ. Разделяешь риск попадалова с предприятием.

Как да пальца. Выше я привёл пример, по которому вообще не подкопаешь бумажками. Можно ещё токены на матответственность передавать, тогда можно смарт-карту с сертификатами в ней оценить в 5-10к рублей. И ещё иск предъявить за такую утерю можно, как я понимаю. В общем, грамотно составленная бумажка позволит троллировать любого сотрудника. Другой вопрос, как на вас потом ОБЭП с налоговой не натравили.

У вас правовая безграмотность. Любое снижение ЗП которое сможет доказать сотрудник может стать основанием для заведения дела в прокуратуре. Премия -это уловка, играя с которой работодатель ходит по лезвию ножа, пока не нарвется на подкованного в правовом плане юзверя.

Вводи разумных пользователей.

Вы пытаетесь тут доказать, что урезание премии незаконно? Серьёзно? Контора к твоей законной зарплате от щедрости добавляла денег в виде премии, и вдруг перестала и теперь она ещё и виновата?

Вот и ответ: надо совместить смарткарту и зарплатную карту.

Лоооооооооооооооол. Никогда бы не додумался. Но вариант био+смарт-карта тоже ничего. А вариант био+зарплатная карта - офигенен!

Составь бумажку о положении премирования

филькина грамота, не имеющая правовой силы, как и любая бумажка идущая вразрез с ТК, поймите работодатель не имеет права выдумывать законы.

Премия -это уловка, играя с которой работодатель ходит по лезвию ножа, пока не нарвется на подкованного в правовом плане юзверя.

Выше смотри. При введении нужных документов доказать что-то юзеру без уберюриста будет не под силу, судиться из-за 5-10к никто не будет. Реальная проблема: натравливание фин служб анонимками.

она ещё и виновата?

да так и есть, если сможете это доказать.

филькина грамота, не имеющая правовой силы, как и любая бумажка идущая вразрез с ТК, поймите работодатель не имеет права выдумывать законы.

Сам закон смотри: имеет. На основании неё и делается премирование. ТК определяет только вопрос ЗП, по большому счету. Итого: пруф или не было.

Вводи разумных пользователей.

Это невозможно по определению: пользователь != админ по условию.

Это простоо пять!!!!!!! Я под столом, хорошее настроение на утро понедельника )))))
И ведь реально неплохое решение, было бы, если бы не настоятельные рекомендации не раздавать пины, но можно обойтись cvv.

Кстати, судя по всему, совмещенных смарткарт и зарплатных карт нет.

Я уже загуглил: нет таких карт. Так что только био+смарт-карта.

Что там чип выдает я не знаю, точнее не знаю даже устройства, но у нее есть магнитная полоса как минимум, можно к ней привязаться.

Только специально для этого позвонил трудовику (начальник отдела кадров уже 20 лет). Так вот: если в договоре прописать, что премия - это мотивационное поощрение (или что-нибудь в этом духе, типа «когда хочу, тогда плачу»), то никаких даже дополнительных бумаг не надо: имеете полное право премию не платить. И ПОЛНОСТЬЮ законно, платить должны только оклад. Притрахаться работник может только, если есть положение о премировании (где его «заслуги» не прописали) или некорректно этот момент описан в договоре.

В общем, можешь забыть о своей премии, и идти доносы строчить. :)

Что там чип выдает я не знаю, точнее не знаю даже устройства, но у нее есть магнитная полоса как минимум, можно к ней привязаться.

Кстати, учитывая, что многие магнитные считыватели подключаются как виртуальная клава, то карта+донабрать пароль ещё катит. И ничего менять не надо.

А вообще с карты такой через картридер можно, как минимум, её номер и внутренний серийный номер считать. Но это в линуксе просто, а как с винде такое прикручивать - хз.

филькина грамота, не имеющая правовой силы, как и любая бумажка идущая вразрез с ТК, поймите работодатель не имеет права выдумывать законы.

Он и не выдумывает. Он решает поощрять сотрудников сверх зп, на что имеет полное право и платит с этого поощрения налоги. А вот за что поощрять или не поощрять вообще это исключительно его дело. Вообще говоря те кто вводит ежемесячные премии на основании положения о премировании делают это из простой человеческой лени, на больших предприятиях ежемесячно готовить приказ о премировании на всю «кодлу» бумаги не напасешся. Поэтому действуют от обратного, есть приказ в котором перечислено типа отдел такой-то должность такая-то и показатели премирования, а в случае нарушения например Ивановым издается приказ к которому прикладывается собстно бумажка от нач. за шо конкретно бедолагу лешили премии.

Реальная проблема: натравливание фин служб анонимками.

Для крупных предприятий вообще не проблема, там и так постоянно аудиты проводятся. Забывчивость (когда не все документы подготовили или кто-то не расписался) еще на ранних стадиях выявляется.

А какая модель угроз у биометрического сканера? Защита от любопытных, но ленивых мимокрокодилов?

Но это в линуксе просто, а как с винде такое прикручивать - хз.

Аналогично - хз. У меня софт который с считывателями карт работает на линуксе крутиться, под виндой только родная софтина для настройки их. Когда-то давно (лет 15 назад) пытался заморочится темой работы картридера под винду, так у них sdk шел за совсем не илюзорные деньги, причем за что такое не понятно, разве что за возможность менять настройки, вобщем профита я так и не увидел и плюнул на это.

А какая модель угроз у биометрического сканера? Защита от любопытных, но ленивых мимокрокодилов?

Ну у того сканера, которые рашкокомпании могут купить: да. А за бугром уже давно есть есть радиосканеры, детектинг пульса, температуры, или даже две камеры под углом для объёмного изображения.

Поэтому я и написал: био+смарткарта. Ну либо био+очень_простой_пароль (чтобы не писали под клавой).

А вообще о какой модели угроз мы говорим, если очевидно, что мы говорим про винду? Лол. Просто убрать банальных саботаж говноменеджеров и всяких мимокрокодилов. Те, кому надо, такую систему по-любому поимеют (да банально можно тупо админу дать 300к+, не думаю, что он откажется, если всё правильно сделать).

У меня софт который с считывателями карт работает на линуксе крутиться

Каких карт? Обычных смарт-карт? Там уже лет 10 как всё стандартизировано, если не ССЗБ говно покупать (типа некоторых алладинов и всякого копроПРО). Никаких дров с USB-CCID, у карты физический, логический и крипто-интерфейсы уже давно стандартизированы. Причём насколько, что можно там хранить сразу несколько контейнеров от вообще разной мидлвари: например, на винде юзать проприетарный алладин для IE и логина винды (хотя уже давно винда умеет и всякого говна напрямую работать), а на линукс - свободный opensc для лисы, openvpn и логина. И всё будет в одной карте жить, друг друга не видеть. Или Вы о банковских?

И про смарт и про магнитные в одном флаконе писал. Например я хз как отлавливать тот же usb картридер в винде, в линуксе легко. Подчеркиваю я пишу про себя.

И про смарт и про магнитные в одном флаконе писал.

Так про смарт или банковские? Сами то что юзаете? И пробовали ли Вы магнитные? Что за софт у Вас крутится?

тот же usb картридер в винде

Зачем его отлавливать? Если у Вас вход/rdp по смарт-карте, то там через политику настраивается, что делать при изъятии (выход, блокировка, ничего) и вставке (запрос пароля или автозаход, ожидание логина). Или для своего ПО? У них там есть свой криптоапи (и библиотеки почти для всех языков), плюс есть порт линуксового стека (не полный). Но если с нуля писать ПО, то возьмите явку: там всё идёт из коробки (если CCID и нормальная карта, но вообще никаких дров не надо, только приложение запустить) и крайне просто рулится.

Так про смарт или банковские? Сами то что юзаете? И пробовали ли Вы магнитные? Что за софт у Вас крутится?

1. Смарт, софт собственная разработка.
2. Магнитные это про то, что лет 15-лет назад было, тогда они в ходу были.

Или для своего ПО?

Для своего. Я уже понял что мы с вами о разном говорим :)

У них там есть свой криптоапи (и библиотеки почти для всех языков)....

Не, мне ничего не надо, то что у меня есть оно работает, я лишь описал свой опыт

Прошли времена этих отмазок. Сейчас зп на карту перечисляют. Так что встречный аргумент, а пин от карты Вы тоже не можите запомнить еще как работает.

Я писал о карте и пине несколькими сообщеними ранее.
Смарт-карты и OTP-брелки для пользователей против паролей под клавиатурами. Безопасность или бессмысленный ход? (комментарий)
По факту при всякой оплате достаю бумажку и читаю, ну если только пин не старый и очень долго используемый.

Да пожалуйста, для меня не мыслимо то, чтобы сослуживцы лежащий на столе кошелёк взяли и украли.

IMHO меры не должны ограничиваться смарткартами и OTP - нужно сводить к минимально возможным риски, связанные с утерей (кражей) токена или карты. Ну и вводить персональную ответственность сотрудника за токен, и все операции, связанные с ним. Чтобы половина офиса картой главбуха не пользовались, пока та в отпуске. Также система должна быть гибкой настолько, чтобы не мешать полезной работе сотрудника, чтобы не было «я отдала карту Маше потому, что ей надо дольше поработать, а её не пускают никуда после 18:00». То есть ввод системы безопасности - это процедура, меняющая всё работу компании, с самого низа до самого верха. Только техническими средствами, без готовности менять все методы работы, улучшений безопасности добиться невозможно.

Чтобы половина офиса картой главбуха не пользовались, пока та в отпуске.

А может ответ кроется здесь?
Может, раз бух оставляет карту, а другие ей пользуются и обращу внимание, главбух признаёт результаты надо пологать , что модель документооборота в фирме не правильна и не отражает реального взаимодействия сотрудников?
Почему бы не легализовать делегирования своих полномочий одного сотрудника другому?
Причём делегирования не «оптом», а частично?

во многих конторах работа в офисе организована по принципу «нет такого слова УКРАЛИ, есть слово ПОТЕРЯЛ», особенно где любят и ценят опенспейс, где проще остаться безнаказанным. Ну там же и бумажкой могут кинуть в затылок внезапно, болты в кресле выкрутить, монитор со стола унести, совершенно просто так. И при том все с карточками и бейджиками, без которых даже в сортир не сходить, что уж там в комп залогиниться. Как говорил мой знкаомый из Японии, насмотревшийся на наши конторы - Russia is cold, low-quality India.

Не очень понимаю к чему вы это написали, конечно если разложил кошелёк и его унесли, то будет считаться что я его потерял.
Но это не отменяет того что я могу его положить даже в проходном месте на некоторое время и его не унесут.

Ну там же и бумажкой могут кинуть в затылок внезапно, болты в кресле выкрутить, монитор со стола унести, совершенно просто так.

Надо делать разницу между унесением рабочего инструмента монитор и гоп выходкой в виде кидания бумажки в затылок.
Я посещал многие компании с опенспейсом и немогу представить в них такое поведение сотрудников.
И не потому что там начальник террорист и вахабит, а потому что люди просто нормальные и заняты работой или питьём чая, а не чёрт знает чем.

оставлять карту у компа, когда на обед идут

Объявить супер-акцию: каждый, кто найдёт на обеде чужую карту, получит десять тыщ премии, списанной с премии маши-растеряши. Заодно воспитает в сотрудниках здоровую взаимную ненависть и паранойю.

Очевидно же, что PIN.

Если сотрудники не могут друг другу поверить на 10000 р. то ваща фирма нищеброд какого я не могу себе даже представить.
Потому как в нормальной фирме под честное слово проходят намного большие суммы.

Я посещал многие компании с опенспейсом и немогу представить в них такое поведение сотрудников.

или везло, или мало низкооплачиваемых работников юного возраста (студентов, например). Да и на толпу нормальных вполне достаточно одного дегенерата, более чем достаточно.

Да пожалуйста, для меня не мыслимо то, чтобы сослуживцы лежащий на столе кошелёк взяли и украли.

Все бывает впервые. У меня на старой работе было: вроде как все свои т.е. из других отделов народ заходит с объектов приезжают но реально одни и тебе и вдруг фигак у начальника кошелек пропал. В другом отделе такая же фигня деньги из кармана пальто пропали хотя вроде здесь все свои тусуються, так что «мыслимо» «не мыслимо» но все бывает.

Если сотрудники не могут друг другу поверить на 10000 р. то ваща фирма нищеброд какого я не могу себе даже представить.
Потому как в нормальной фирме под честное слово проходят намного большие суммы.

Проходят до первого воровства.

Доверие не означает что никто не знает кто что делает.

моё мнение, которое скорее всего далеко от профильно-профессионального, как не ухищряйся, если твой сотрудник тупой или хитрожопый - поможет только его замена;

Вообще-то оно совпадает с профильно-профессиональным. Если начальство конторы не желает обучать пользователей или вводить строгие кары за несоблюдения политики безопасности, то все вводимые ограничения не более чем пустой звук.

Заставь купить клавы со считывателем магнитной полосы (ЕМНИП, они просто считанное выплёвывают как набранное с клавиатуры) и в качестве паролей установи данные магнитной полоски зарплатных карточек идиотических юзверей. Если уж они и зарплатные карточки будут разбрасывать и давать другим сотрудникам, то это не вылечишь даже биометрией. Будут и пальцы с глазами «оставлять» - например, быстренько давать доступ другому сотруднику своим органом и скорее идти обедать.