30 лет неудач: комбинация `имя пользователя/пароль`

Захотелось откоментировать новость  30 лет неудач: комбинация `имя пользователя/пароль`.

Вот уж видимо действительно не удачное изобретение — пароль.. Почему же, спросите вы?

Ну ответ на этот вопрос очевиден, хороший пароль, это тот пароль, который вы сами фиг запомните :)

Что, ваш пароль соответствует требованиям безопасного пароля виндовс и вы его помните?

А помните ли вы, что пароли к разным ресурсам не должны повторяться?  Сколько  у вас ресурсов, требующих пароль для доступа (комп, программы, почта и тд) и сколько из них безопасны и вы их помните?

Ааааа, у вас программка, которая их генерит и сохраняет… Нет, ну тоже конечно вариант, так я то про что…

Про то что, хороший пароль и удобство пользователя вещи не совместимые, а пользователи мы сами, как тут не схалтурить. А сколько раз мы регились на сайте тока чтоб что то скачать, мол нафик он мне и указывали логины и пароли типа 111111, тьфу занят, тогда 222222, блин тоже занят…

Что далеко ходить, кто чаще всего вынужден вводить пароль в программу? Разработчик! Если система уже работает и надо каждый день что то дописывать, и каждый раз запуская программу для проверки надо вводить пароль?

Никому не скажу, что  пароль нашего главного спеца-разработчика по старой учетной системе — 1, на все его 5-6 логинов (фамилий с цифрами на конце)… Да впрочем, хотя нет, тссс! вдруг  ещё кто — то на фирме этого не знает !

Внедряем новую систему, Навижн фигов, там виндовая авторизация, админы лютуют, заставляют юзеров заводить безопасные пароли и менять их каждые, не помню, скока там в винде месяцев?

А как вы думаете, какой у меня в системе qwerty пароль?  Не скажу, но он проходит контроль безопасного пароля винды, да и галочку — не менять пароль я тоже поставил :)

А есть ещё SQL авторизация, вот где полная ж с безопасностью. Так уж сложилось, что был придуман внедренцами пароль, который с супер правами и юзался изначально всеми (не было ролей, да и сейчас с ними тяжко, стока надо писать в системе, что руки не доходят, а ещё ж и поддерка юзеров), сменить бы его, дык он в стольких местах прописан… под ним работают службы, он прописан в настройках репликации в несколько десятков мест — открытым текстом !!! Наш, конечно, косяк с этим паролем, но и в самой системе стока дыр, это пипец…

Другая система, кассовый сервер… как мне сказал самый крупный спец в нашей фирме по этой системе (она внешняя и довольно известная в своём роде) , она умеет работать с mysql только под юзером root с пустым паролем… я в шоке, не ужели и правда всё так плохо?

В общем к эти 2м проблемам — сложности для пользователя паролей и дыр и небрежности написания в самом ПО, можно до кучи добавить и саму организацию безопасности в фирме.

Маленькая история. Когда меня взяли на эту фирму, я хотел уволиться на 3ий день…
А знаете почему?
Мне, разработчику, закрыли всё в «моем» же компе. Не то чтоб флешку не могу вставить, кстати, она работала, запустить ничего не мог, был список exe которые можно запускать.

Дошло до полного идиотизма, прихожу к главному по тарелочкам (его уже сократили, давно пора было…) и говорю:

— Люди, дайте мне нормальные права, мне для работы надо !
— Какие тебе права?
— Ну мне н-р дельфи поставить надо, IB и тд.
— Щас придет админ, он тебе всё поставит…

Приходит админ… ставит дельфи… запускает — работает, перегружает комп и уходит…запускаю дельфи
— вы не имеете права на запуск delphi.exe.. Пилядь !!!  Иду к админам… приходят, ставят права на запуск дельфи…Чуваки, мне ещё IBExpert нужен !!! А что это ?! А у нас нет…

Я озверевший уже в конец, такого «плевка в душу»  с правами я нигде ещё не встречал (даже в банке, где безопасность была на высоком уровне, у меня были админские права на компе), иду к главному… Высказываю всё, что о нём думаю… и интересуюсь, такие права у меня на испытательный срок или по жизни? получаю ответ — по жизни, не нравится — пиши служебки, что тебе надо, зачем и почему …

В общем, в итоге начальство его, настучало ему же по шапке, а мне сделали более-менее права.

Дык к чему я эту, нифига не короткую, как думал  историю рассказал, а к тому, что через неделю работы в этой фирме, у меня был пароль админа домена. Не, я не хакал никого, и не прикладывал для этого никаких усилий, просто по работе мне нужно было хранимую написать на SQL сервере и мне прогер дал для доступа пароль пароль админа домена (да,да, тот самый разработчик, у которого пароль 1) .

В общем, всё  через ж… нету у нас понимания как грамотно организовать безопасность, а перегибы в отдельных вопросах, только ухудшают ситуацию.
Вот, например, хочу пожаловаться на админа, что у меня нет нормального  инета на компе… Причем, после меня люди на испытательном сроке (прогеры)   имеют полноценный инет, но я из принципа не буду у него просить доступ, да пошел он… что мне серверов, что ли не хватает, где есть инет и нет политики запретов

А то что у нас на фирме на пользовательских компах, да и на серверах, нет антивирусов, дык то не моя головная боль, у меня каспер стоит. Вот так, на пальцах, пересекаются личные интересы и безопасность фирмы. Уж не буду утомлять рассказом, как я узнал страшную тайну фирмы — зарплаты сотрудников, лежавшие в рассшаренной папке на компе бухов…

В общем, возвращаясь к теме : 30 лет неудач: комбинация `имя пользователя/пароль`  — будущее явно за альтернативными способами авторизации, те же пальцы, сетчатка глаза или ещё что придумают :)
Вот тока интересно, сейчас сказал свой пароль кому-то и у него доступ есть, а как с сетчаткой?  на, поюзай мой глаз? Или будет всеобщая идентификационная база, и указал его фио, а комп сам получит его отпечаток с сервера, или даже отправит отпечаток серверу, а тот подтвердит или нет.

ps: Я думаю, что каждый из вас мог бы в камментах написать кучу таких историй, ну если бы конечно, не ваша лень, но я то знаю, что вам просто лень, так что будем считать, что вы так и сделали

15.10.2009 · 13-ый · 8 комментариев
Метки: , ,  · Рубрики: 13-ый, безопасность, О работе, Программирование, Философизмы

8 комментариев

  1. Мельник - 24.10.2009

    Меня это не беспокоит.

  2. 13-ый - 24.10.2009

    а что же тебя беспокоит

  3. oakley sunglasses - 22.07.2018

    Thank you for every one of your efforts on this web site. Ellie really loves carrying out research and it is easy to understand why. I know all about the powerful manner you offer insightful strategies on this web blog and as well as encourage participation from other ones on that matter so my daughter is always being taught so much. Take pleasure in the rest of the year. You’re the one conducting a dazzling job.

  4. russell westbrook shoes - 23.07.2018

    Thanks for your whole hard work on this website. My mom loves doing investigations and it is simple to grasp why. Most people know all regarding the lively form you create very important techniques by means of the web blog and as well as inspire participation from the others on this article and our own girl is now discovering so much. Enjoy the remaining portion of the year. You are doing a useful job.

  5. christian louboutin - 24.07.2018

    My husband and i have been so happy Edward could do his preliminary research using the ideas he acquired through your blog. It’s not at all simplistic to just possibly be giving for free solutions which usually the rest could have been selling. We do understand we now have the website owner to thank for this. These explanations you’ve made, the simple web site navigation, the friendships your site assist to promote — it is everything overwhelming, and it’s aiding our son in addition to the family understand this issue is entertaining, which is certainly unbelievably fundamental. Thanks for all the pieces!

  6. michael kors sale - 24.07.2018

    I and my pals happened to be digesting the good guidelines from the website and immediately got an awful feeling I never thanked the site owner for them. All the young boys are actually as a consequence happy to read through them and have in effect in actuality been enjoying these things. I appreciate you for being really kind and also for finding certain smart guides most people are really wanting to discover. Our own honest regret for not saying thanks to you sooner.

  7. yeezy 500 - 24.07.2018

    I want to show my gratitude for your kind-heartedness giving support to people that require help on the subject. Your special commitment to getting the message up and down turned out to be extraordinarily interesting and has regularly permitted women just like me to achieve their dreams. The helpful useful information signifies a great deal to me and substantially more to my colleagues. Warm regards; from everyone of us.

  8. ferragamo sale - 25.07.2018

    Thanks so much for providing individuals with remarkably superb chance to read in detail from here. It’s usually so nice and also packed with fun for me and my office colleagues to search your web site more than 3 times weekly to study the new guides you have got. And definitely, I’m usually astounded considering the incredible opinions you serve. Selected 1 points in this post are without a doubt the most beneficial we have all had.