• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Безопасность Id и паролей

  • Автор темы mindwalker
  • Дата начала
Статус
Закрыто для дальнейших ответов.
M

mindwalker

Какие аргументы можно привести против открытого хранения ID и паролей? В смысле все ID хранятся тупо в папке на компе админа а пасы рядом в excel листе О_О Ну и все это в запароленом винраре. В общем вся "система безопасности" идет в обход лотоса.
Админ говорит что так тоже безопасно и все пасы и ID у него всегда под рукой.
Как грамотно ему объяснить что это "не путь настоящего джедая" и надо юзать ID и Pasword Recovery?
 
M

morpheus

mindwalker
тогде обьясняйте неграмотно.
пасы с ID и паролями на флешку/диск и в сейф если надо безопасноть. Ключ пад роспись
 

Cleric-Lviv

Well-known member
03.01.2008
603
0
BIT
0
ПОЗДРОВЛЯЮ!!!!! ваш админ умничка!!!!!!!!1таких надо еще поискать..................
В смысле все ID хранятся тупо в папке на компе админа а пасы рядом в excel
ето id пользователей и их пароли?????????????
 
M

morpheus

sax_ol
ID - это файлы. идентифицируют пользователей на клиентских машинах.

стоп, а зачем пароли в хэшах хранить? как патом?
 
C

collection

Создается такое впечатления что люди перестают понимать друг друга :D ,Pasword Recovery нужно юзать по любому, а зачем ему вообще пароли других пользователей ему что своего уровня доступа нехватает кстати id пользователя можно при большом желании взломать достаточно легко, так что все удалить, id только у пользователей на машинах, политикой настроить смену паролей
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
При использовании ID и Password Recovery ID пользователей хранить необязательно. Это действительно очень удобно. Но, если система не была сконфигурирована для этого, то требуются некоторые телодвижения (физические и ментальные) для перехода на эту конфигурацию, что может быть тяжко для некоторых пользователей (независимо от положения) и организаций.
Кстати, хранение админом ID дает ему возможность работы под этим пользователем, что является нарушением безопасности. (Хотя грамотный админ всегда найдет возможность обхода ... :D )
 

Cleric-Lviv

Well-known member
03.01.2008
603
0
BIT
0
полностю согласен с collection . если настроен Pasword Recovery то взломать ід как два пальца об асвальт
 
C

collection

Cleric-Lviv
если настроен Pasword Recovery то это называется не взлом а получение пароля для восстановления, а взлом делается при помощи специальных программ при помощи перебора, не нужно путать божий дар с яичницей
 
30.05.2006
1 345
12
BIT
0
Хотя грамотный админ всегда найдет возможность обхода ... :D
Всегда??
Так в том и прелесть Домины (за что её *NIX-админы ненавидят), что не всегда.
При грамотном проектировании инфраструктуры/регламентов/приложений - нет. А вот если в конторе единственный грамотей - админ, то что-ж Вы хотите...
 
M

mindwalker

так что все удалить, id только у пользователей на машинах, политикой настроить смену паролей
Я о том же. Как я везде читал надо именно так.

Но на это админ и другие отвечают:
Это действительно очень удобно
дает ему возможность работы под этим пользователем
пасы с ID и паролями на флешку/диск и в сейф

Дело не в том, кто за кто против. Обсуждаем + и - каждого подхода.
 
C

collection

вопрос в другом:
а зачем админу работать под пользователем?! Для решения административных задач достаточно учетки админа, для тестов пользоваться тестовой записью, что нельзя сделать админу если у него не будет этих учеток, ответ удобно/неудобно некоректен, плохому танцору всегда тапки жмут?! Я так думаю что и в сейфе должна храниться база recovery переодически обновляемая и все. Если рассуждать с позиции удобства, так давайте вообще уберм эти пароли, зачем они нужны вообще, потому как при вашем варианте это защита от дурака не более
 
N

NikolaiJunior

А зачем разъяснять ? Сказать/приказать и все тут.
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!