30 лет неудач: комбинация `имя пользователя/пароль`

Захотелось откоментировать новость  30 лет неудач: комбинация `имя пользователя/пароль`.

Вот уж видимо действительно не удачное изобретение — пароль.. Почему же, спросите вы?

Ну ответ на этот вопрос очевиден, хороший пароль, это тот пароль, который вы сами фиг запомните :)

Что, ваш пароль соответствует требованиям безопасного пароля виндовс и вы его помните?

А помните ли вы, что пароли к разным ресурсам не должны повторяться?  Сколько  у вас ресурсов, требующих пароль для доступа (комп, программы, почта и тд) и сколько из них безопасны и вы их помните?

Ааааа, у вас программка, которая их генерит и сохраняет… Нет, ну тоже конечно вариант, так я то про что…

Про то что, хороший пароль и удобство пользователя вещи не совместимые, а пользователи мы сами, как тут не схалтурить. А сколько раз мы регились на сайте тока чтоб что то скачать, мол нафик он мне и указывали логины и пароли типа 111111, тьфу занят, тогда 222222, блин тоже занят…

Что далеко ходить, кто чаще всего вынужден вводить пароль в программу? Разработчик! Если система уже работает и надо каждый день что то дописывать, и каждый раз запуская программу для проверки надо вводить пароль?

Никому не скажу, что  пароль нашего главного спеца-разработчика по старой учетной системе — 1, на все его 5-6 логинов (фамилий с цифрами на конце)… Да впрочем, хотя нет, тссс! вдруг  ещё кто — то на фирме этого не знает !

Внедряем новую систему, Навижн фигов, там виндовая авторизация, админы лютуют, заставляют юзеров заводить безопасные пароли и менять их каждые, не помню, скока там в винде месяцев?

А как вы думаете, какой у меня в системе qwerty пароль?  Не скажу, но он проходит контроль безопасного пароля винды, да и галочку — не менять пароль я тоже поставил :)

А есть ещё SQL авторизация, вот где полная ж с безопасностью. Так уж сложилось, что был придуман внедренцами пароль, который с супер правами и юзался изначально всеми (не было ролей, да и сейчас с ними тяжко, стока надо писать в системе, что руки не доходят, а ещё ж и поддерка юзеров), сменить бы его, дык он в стольких местах прописан… под ним работают службы, он прописан в настройках репликации в несколько десятков мест — открытым текстом !!! Наш, конечно, косяк с этим паролем, но и в самой системе стока дыр, это пипец…

Другая система, кассовый сервер… как мне сказал самый крупный спец в нашей фирме по этой системе (она внешняя и довольно известная в своём роде) , она умеет работать с mysql только под юзером root с пустым паролем… я в шоке, не ужели и правда всё так плохо?

В общем к эти 2м проблемам — сложности для пользователя паролей и дыр и небрежности написания в самом ПО, можно до кучи добавить и саму организацию безопасности в фирме.

Маленькая история. Когда меня взяли на эту фирму, я хотел уволиться на 3ий день…
А знаете почему?
Мне, разработчику, закрыли всё в «моем» же компе. Не то чтоб флешку не могу вставить, кстати, она работала, запустить ничего не мог, был список exe которые можно запускать.

Дошло до полного идиотизма, прихожу к главному по тарелочкам (его уже сократили, давно пора было…) и говорю:

— Люди, дайте мне нормальные права, мне для работы надо !
— Какие тебе права?
— Ну мне н-р дельфи поставить надо, IB и тд.
— Щас придет админ, он тебе всё поставит…

Приходит админ… ставит дельфи… запускает — работает, перегружает комп и уходит…запускаю дельфи
— вы не имеете права на запуск delphi.exe.. Пилядь !!!  Иду к админам… приходят, ставят права на запуск дельфи…Чуваки, мне ещё IBExpert нужен !!! А что это ?! А у нас нет…

Я озверевший уже в конец, такого «плевка в душу»  с правами я нигде ещё не встречал (даже в банке, где безопасность была на высоком уровне, у меня были админские права на компе), иду к главному… Высказываю всё, что о нём думаю… и интересуюсь, такие права у меня на испытательный срок или по жизни? получаю ответ — по жизни, не нравится — пиши служебки, что тебе надо, зачем и почему …

В общем, в итоге начальство его, настучало ему же по шапке, а мне сделали более-менее права.

Дык к чему я эту, нифига не короткую, как думал  историю рассказал, а к тому, что через неделю работы в этой фирме, у меня был пароль админа домена. Не, я не хакал никого, и не прикладывал для этого никаких усилий, просто по работе мне нужно было хранимую написать на SQL сервере и мне прогер дал для доступа пароль пароль админа домена (да,да, тот самый разработчик, у которого пароль 1) .

В общем, всё  через ж… нету у нас понимания как грамотно организовать безопасность, а перегибы в отдельных вопросах, только ухудшают ситуацию.
Вот, например, хочу пожаловаться на админа, что у меня нет нормального  инета на компе… Причем, после меня люди на испытательном сроке (прогеры)   имеют полноценный инет, но я из принципа не буду у него просить доступ, да пошел он… что мне серверов, что ли не хватает, где есть инет и нет политики запретов

А то что у нас на фирме на пользовательских компах, да и на серверах, нет антивирусов, дык то не моя головная боль, у меня каспер стоит. Вот так, на пальцах, пересекаются личные интересы и безопасность фирмы. Уж не буду утомлять рассказом, как я узнал страшную тайну фирмы — зарплаты сотрудников, лежавшие в рассшаренной папке на компе бухов…

В общем, возвращаясь к теме : 30 лет неудач: комбинация `имя пользователя/пароль`  — будущее явно за альтернативными способами авторизации, те же пальцы, сетчатка глаза или ещё что придумают :)
Вот тока интересно, сейчас сказал свой пароль кому-то и у него доступ есть, а как с сетчаткой?  на, поюзай мой глаз? Или будет всеобщая идентификационная база, и указал его фио, а комп сам получит его отпечаток с сервера, или даже отправит отпечаток серверу, а тот подтвердит или нет.

ps: Я думаю, что каждый из вас мог бы в камментах написать кучу таких историй, ну если бы конечно, не ваша лень, но я то знаю, что вам просто лень, так что будем считать, что вы так и сделали

15.10.2009 · 13-ый · 2 комментария
Метки: , ,  · Рубрики: 13-ый, безопасность, О работе, Программирование, Философизмы

2 комментария

  1. Мельник - 24.10.2009

    Меня это не беспокоит.

  2. 13-ый - 24.10.2009

    а что же тебя беспокоит

Написать комментарий