Смарт-карты и OTP-брелки для пользователей против паролей под клавиатурами. Безопасность или бессмысленный ход?

Был ли опыт внедрения и чем кончилось?

Был. Лучше не стало (стало хуже), а затраты на внедрение и обслуживание стали ощутимыми (внедрение было в рамках ~600 человек).

Выходом стал болезненный шаг, который окупился в скором же времени. Переписали политику безопасности, и уволили около двухсот сотрудников, которые так и не смогли всосать как делать зя и как нельзя.

PS: моё мнение, которое скорее всего далеко от профильно-профессионального, как не ухищряйся, если твой сотрудник тупой или хитрожопый - поможет только его замена;

Кажется кто-то пропустил слово «two» в «two-factor authentication».

Политика безопасности. Безопасность или бессмысленный ход?

Зависит от вида бизнеса. Серьёзные банки заморачиваются. Linux Foundation заморачивается.

Как уже сказали - против идиотов с паролями под клавой спасёт только их эвтаназия увольнение.

что лучше

сканер отпечатков

а если это ИП, который тебя нанял?

Будут оставлять. И еще не понятно что лучше пароль или карта, бывают пользователи которые доверяют например только одному двум другим сотрудникам и сообщают им пароль. В случае же с смарт картой получиться надо оставлять ее на рабочем месте тогда шансов что кто-то еще зайдет больше. Бороться можно только административными методами.
Не очень плохо будет работать если скуд на каждой двери в офисе.

Тогда остаётся только живительная эвтаназия

Был. Лучше не стало (стало хуже)

В чём хуже?

а затраты на внедрение и обслуживание стали ощутимыми

А какие затраты на обслуживание? Или у Вас сертификаты каждый месяц у всех обновлялись?

и уволили около двухсот сотрудников

Как смогли руководство уговорить? Под дулом пистолета генеральный подписывал указ?

Кстати, что не так пользователи то делали? Почему система не сделала работу более безопасной? Были на смарткарты запаролены?

сканер отпечатков

Не дорого ли? И привязывается только к входу в домен и всё.

надёжно зато, можно заказчику рассказать про альтернативу в виде сканеров сетчатки, тогда тебе заплатят

Кажется кто-то пропустил слово «two» в «two-factor authentication».

Смарткарта может быть запаролена, а OTP требовать прибавить пароль к пину. Суть не в этом, а в том, что юзеры всё-равно будут хрен класть на безопасность. Думаю, что действительно: только биометрия + смарткарта может спасти ситуацию.

В случае же с смарт картой получиться надо оставлять ее на рабочем месте тогда шансов что кто-то еще зайдет больше.

Особенно, если пароль карты на ней маркером написан.

Не очень плохо будет работать если скуд на каждой двери в офисе.

Да, это очень хороший вариант.

Бороться можно только административными методами.

Как начальство убедить то?

Внедрено для определенных групп пользователей и сервисов (админский доступ на сервера, удаленный доступ к рабочему месту...).
Бывают, что и оставляют токен на столе, но с этим прекрасно справляются уборщицы. Они его моментально 3.14здят - у него ведь есть USB-разъем, и им бесполезно объяснять, что как флэшку его использовать не получиться =)
Внедряют такое обычно не по собственной воле, а по требованию аудита - когда деваться уже некуда. Если нет такого требования - то не нужно.

что лучше пароль или карта

И то и другое вместе. Something you know, something you have. Как с банковским карточками.

Внедрено для определенных групп пользователей и сервисов

Венда или линукс? Какое ПО использовалось?

Бывают, что и оставляют токен на столе, но с этим прекрасно справляются уборщицы.

Лол. Офигенно всё с безопасностью. С таким подходом можно уборщице дать 30к, и она все компы вынесет с данными прямо к порогу.

Внедряют такое обычно не по собственной воле, а по требованию аудита - когда деваться уже некуда.

Ты мне прям напомнил типичный IT-отдел в рашкинской компании, которые «работает, не трогай», «у на freebsd, линукс не нужен», «и на XP всё хорошо, а с семеркой одни проблемы». И бекапы на болванки.

Если нет такого требования - то не нужно.

Тут вопрос в том, чтобы реально безопасность повысить, а не требованию аудита удовлетворить (которому надо только на бумаге удовлетворять, если ты не знал).

И то и другое вместе. Something you know, something you have. Как с банковским карточками.

Очевидно, что карта может быть запаролена. Вопрос не в этом, а том, что звери - идиоты, будут оставлять карты в картридере и пароль на них писать маркером.

А вот таких под расстрел увольнять по ускоренной процедуре.

Пароль в голове лучше - карта не панацея. Идиотов к важным данным не пускать, все отправлять в backup к которому никого не подпускать.

Венда или линукс? Какое ПО использовалось?

Обе. RSA AM.

Лол. Офигенно всё с безопасностью. С таким подходом можно уборщице дать 30к, и она все компы вынесет с данными прямо к порогу.

Ну, камеры все-таки есть... Да и не должно быть данных на компе, только на сетевых дисках. Особо параноидальные конторы шифруют диски не только на ноутах, но и на стационарных компах.

... а не требованию аудита удовлетворить (которому надо только на бумаге удовлетворять, если ты не знал).

Вот придет к тебе аудитор, сядет рядышком и cкажет: «А покажи-ка мне, как ты логинишься на сервера...». Как его на бумаге удовлетворять-то?

Как его на бумаге удовлетворять-то?

хороший вопрос.

Думаю, что действительно: только увольнение может спасти ситуацию.

Починил, не благодари.

Как начальство убедить то?

Вопрос немного не туда. Задам встречный, а с чего это вам захотелось так сделать? Если только по велению левой пятки тогда это точно не нужно. Если есть для этого предпосылки, тогда для начала опишите их.

Вообще для таких дел нужен пендель от вышестоящей или проверяющей организации в определенном и всё разъясняющем направлении. А так попахивает мазохизмом.

Как пользователь скажу что может получится комбинация смарткарты с любым паролем назначенным пользователем.
Ну конечно пароль не должен быть вида 123 или его стандартным для интернет сайтов.
Но тем не менее, он должен быть легкодоступен или перед глазами.
Например он может быть в виде фотографии в телефоне или быть каким ни будь номером или кодом с клавиатуры или другого предмета.
Там стоящего на столе будильника, артикулом вставленной в него батарейки...

какую-то ерунду сказал.

А ты посмотри на свой стол, сколько на нём предметов имеют или имели серийные номера или какие нибудь коды?

Например я вот открыл свою мышку, а там на батарейке написано 99688239.
В клавиатуре батарейка к стати есть тоже.
Или например у меня на столе давно стоит стеклянная банка, а на ней штрихкод, тоже с номером.
К стати, нет ведь гарантии, что номер вводится целиком, он может вводится наоборот, начиная с какой то цифры и,или до какой то цифры.
Ну и ищи гадай, что надо ввести с трёх-четырёх попыток.

Да чегоуж там, даже на лежащей в ящике зажигалке есть штрих код с номером.

В чём хуже?

Пароли стали писать на карте, карты забывать на: рабочие места, кухни, курилки, туалеты, рецешены, итд итп.

А какие затраты на обслуживание? Или у Вас сертификаты каждый месяц у всех обновлялись?

Внедрение, человек на выпас такого штата по этому вопросу, ~10% сотрудников в месяц потеряшек.

Как смогли руководство уговорить? Под дулом пистолета генеральный подписывал указ?

Я был частью руководящего состава. И поскольку был из тех кто «я же говорил», после провала системы приняли мои методы работы с людьми (я был против внедрения).

Кстати, что не так пользователи то делали? Почему система не сделала работу более безопасной? Были на смарткарты запаролены?

Да, пароли были. Потому что безопасность это соблюдение правил гигиены работы, так сказать. Есть люди, которые попросту не приучены к этой гигиене, и принципиально осваивать это не хотят. Обычно такие борцуны с системой очень травят коллектив изнутри, потому что без удаления этой болячки или её злостного залечивания - другие видят что всё и правда сходит с рук, и тоже заражаются.

К стати, вот ещё мысль, компьютер выводит число, а пользователь должен с ним сделать арифметические операции, причём у каждого пользователя эти операции свои и вводит обратно в компьютер результат.
В общем вводимое в компьютер число получится одноразовым и записывать его будет бесполезно.

И конечно операции могут включать в себя число со штрихкода зажигалки или другого предмета в качестве операнда.

В общем один пользователь прибавляет к числу номер со штрихкода,
второй на это число умножает и вводит первые четыре цифры, третий делит и вводит последние четыре цифры, и далее какая у вас будети фантазия.
А запонить зажигалка/будильник/красная икра сложить/умножить первые/последние четыре цифры не так уж и сложно.

Приэтом есть две составляющие, быстро меняемый по мере утери или опустошениия штрихкод с зажигалки , и медленно меняемый в виде выражения и смарткарты.

~10% сотрудников в месяц потеряшек.

А если за потерю ввести штраф в 10к? И за оставление на рабочем месте? И публично наказывать? Или не поможет, будет фигня от генерального типа: ну он же не специально, простим на первый раз?

Пароли стали писать на карте

И много таких было? Кстати, сотрудники были проинструктированы так НЕ делать? В смысле не бумажку «прочитать» и подписать, а реально их согнать их в одно место и заставить слушать лекцию.

Обычно такие борцуны с системой очень травят коллектив изнутри

Можно развёрнутый пример такого поведения? И почему технически нельзя всё зааналить?

Кстати, а как вариант с биометрией (отпечатки) или био+смарт-карта? Тут уже технически сложно обойти политику безопасности.

К стати, вот ещё мысль, компьютер выводит число, а пользователь должен с ним сделать арифметические операции, причём у каждого пользователя эти операции свои и вводит обратно в компьютер результат.

Ой прекрати, прекрати, ты меня уморил. :D Звери часто даже предложение длиннее 160 символов не могут в своём ганглии обработать, от каких операциях в голове речь?

Наиболее логично тогда уж выдавать юзеру особый алгоритм, который будет работать над числом, которое им компьютер при каждом входе выдаёт. Они проводят по уникальному алгоритму в голове операции над числом, пишут результат и прибавляют к нему ещё и статический пароль из 12 символом. Проблема в том, что если бы у нас были бы такие пользователи, то не было бы таких тредов.

А если за потерю ввести штраф в 10к? И за оставление на рабочем месте? И публично наказывать? Или не поможет, будет фигня от генерального типа: ну он же не специально, простим на первый раз?

Тут вопрос законности предприятия. Если всё в белую - таки штрафы и наказания очень трудно ввести, плюс профсоюз тоже на таком может крепко лапу нагреть.

И много таких было?

Да.

Кстати, сотрудники были проинструктированы так НЕ делать? В смысле не бумажку «прочитать» и подписать, а реально их согнать их в одно место и заставить слушать лекцию.

Конечно. И не один раз. Организация работала с деньгами, потому такие вещи там были не показухой а необходимостью.

Можно развёрнутый пример такого поведения?

Ну вот есть у тебя 15ть женщин бухгалтерии, от среднего до приклонного возраста. Обязательно среди них будет альфа-бухгалтер, но только его главное умение не круто работать, а круто не работать, и что бы при этом всё было нормально. И вот такая женщина обычно теряет карточки, порой даже специально будет пренебрегать всеми правилами, а потом прикрывать свою филейную часть всякими законами и профсоюзами. И, обычно, такая для всех пример: строптивая, сильная, властная. Многие последуют её примеру, и будут ею же и крыты и обогреты.

Вообще это частный пример, но обычно всюду что-то такое есть.

И почему технически нельзя всё зааналить?

Вопрос не понял.

Кстати, а как вариант с биометрией (отпечатки) или био+смарт-карта? Тут уже технически сложно обойти политику безопасности.

Как я уже сообщил ранее - мы обошлись просто подбором ответственных людей, и более пряником, чем кнутом.

Расскажешь эту схему юристу или менеджеру какому-то, я бы посмотрел :)

Ну во первых

torvn77

а пользователь должен с ним сделать арифметические операции, причём у каждого пользователя эти операции свои

kessel

тогда уж выдавать юзеру особый алгоритм, который будет работать над числом

Разве это не одно и тоже?
Но мне ваша идея с очень сложным алгоритмом не нравится.
Примером такого решения может быть криптокалькулятор, но что мешает его забыть, так же , как и смарткарту?
Ну или хранить на бумажке длинющею инструкцию из 20 действий?
По этому действие должно быть простое,хотя если человек способен запонить больше, то его можно и усложнить.
Например =a*k+b*k^2

двенадцатибуквенный пароль не трудно запомнить если он будет храниться под рукой на каком нибудь предмете.

Пример такого предмета в виде зажигалки с не оторванной бумажкой со штрихкодом я уже привёл.
Если вы внимательно посмотрите то найдёте кучу других кандидатов для использования в качестве пароля.
ни что не мешает найти и другие предметы.
При чём логично чтобы пользователь такой предмет предлагал сам.

Ну и естественно, повторюсь, при переборе должна приходить охрана.

Берёшь лампу, переворачиваешь и смотришь на написанное под штрихкодом число,
забиваешь его в калькулятор и умножаешь на число выведенное компьютером.
Первые четыре цифры полученного результата забиваешь обратно в компьютер.

Тут вам обоим, и iu0v1, и kessel надо понять, что эффективный менеджер настолько загружен работой, что у него банально отказывает память.
То есть заставляя его запоминать число, вы просто боретесь с физиологией.
Конечно его можно заставить пить таблетки с нейропептидами, но вы готовы взять ответственность за результат?

По этому лучше прятать пароль в месте, где даже если его увидят, то будет сложно понять что это именно он.

Я тут вот что вспомнил, хотя сейчас у меня банковских карт нету, но ранее было несколько.
Я просто выписал на бумажку пины и если пин менялся, то не зачёркивал её.
Блин, через месяц неиспользования я был не в состояний найти нужный,
хотя пока пользовался пины от часто используемых карт находились легко по месту записи,
а от остальных находились методом комбинирования перебора и исключения.

И конечно карты были в кошельке, а бумажка в записной книжке.
Но если бы даже вор спёр всё, то ему бы пришлось попотеть,отгадывая какой карте какой пин соответствует.

А если за потерю ввести штраф в 10к? И за оставление на рабочем месте? И публично наказывать?

а вот за такое самоуправство можно и телегу в прокуратуру отписать, и тогда штраф аукнется в другую сторону, трудовой кодекс нужно чтить!

надо понять, что эффективный менеджер настолько загружен работой, что у него банально отказывает память.
То есть заставляя его запоминать число, вы просто боретесь с физиологией.

Прошли времена этих отмазок. Сейчас зп на карту перечисляют. Так что встречный аргумент, а пин от карты Вы тоже не можите запомнить еще как работает.

а вот за такое самоуправство можно и телегу в прокуратуру отписать, и тогда штраф аукнется в другую сторону, трудовой кодекс нужно чтить!

Если к зп есть премия то почему бы и нет.

Если штраф не предусмотрен ТК, это преступление, здесь вплоть до уголовки, ТК имеет высшую силу над всеми там самовыдуманными бумажками, а незаконный отъем денежных знаков у граждан карается лишением свободы.

Еще раз, если это из части премии то можно.

нельзя! сам факт штрафа есть преступление! Любые штрафы трудовым кодексом запрещены!

Привлечь работника к материальной ответственности можно, только если он своими действиями причинил работодателю прямой ущерб. И только через суд!

А что ты know в случае с банковскими карточками?

Вообще мы уходим от темы ТС. Но еще раз для тех кто не в теме, премия это дополнительное поощрение сотрудника которая может быть даже ежемесячной и рассчитываться на основе показателей премирования, но работодатель вполне в своем вправе не выплачивать ее, придумать почему ты не дотянул по этим самым показателям очень легко, собственно сама система (зп+премия) для этого и строилась, что бы была возможность наказать сотрудника при этом не вступая в конфликт с законом.

http://lawyers-help.ru/novosti/novosti/mozhno-li-vzyskat-shtrafy-na-rabote-il...

Ещё как можно. Иначе какой смысл в премии? Составь бумажку о положении премирования, после чего в составе комиссии из любых трёх сотрудников (включая тебя или генерального) напишите отказную на юзера, если он не хочет сам подписывать нужный документ. После этого он ничего не сможет сделать никаким раком. Безусловно, в положение о премирование включите требование соблюдение политик ИБ, а в них - запрет на утерю любых электронных устройств компании.

Но если у сотрудника ЗП с премией, а сотрудник не бурцун или юрист, то забейте хрен на бумаги: из-за 5-10к никто в суд не пойдёт в этой стране, а на большие суммы глупо штрафовать.

А что ты know в случае с банковскими карточками?

PIN.

Премия это уловка работодателя и не более, если работник обратится в прокуратуру с бумагами доказывающими факт штрафа повлекшим снижение его дохода, то работодателю грозит уже УК. Факт взыскания незаконного штрафа можно доказать. Например, если вам платят деньги на банковскую карту, то можно будет без проблем отследить, что работодатель без каких-либо оснований вдруг начал платить меньше. Для этого только надо получить выписку с карты. Если же деньги вам платят на руки, проследите, чтобы вам выдали квитанцию об оплате или сделайте ее копию. Также некоторые работодатели вывешивают объявления о том, что работников оштрафовали, это объявление можно также сфотографировать и скопировать. Следует помнить, что любой документ, любая бумага, подтверждающая факт штрафа и безосновательного незаконного снижения зарплаты в определенный момент может стать доказательством, которое вы приложите к заявлению в трудовую инспекцию или прокуратуру.

Вам выше уже ответили. А насчет бумажек, так все честно делается по приказу, так что и у работодателя тоже будет бумажка доказывающая что все честно.