On 02/19/2011 03:16 PM, to wrote:

> W uniksach już od lat używa się kluczy, które są lepsze z bardzo wielu
> powodów. Do tego jakieś ograniczenie dostępu per source. To uznałbym za
> minimum. System do którego można się zalogować skądkolwiek znając tylko
> jakieś hasło (jak to zostało opisane przez niektórych w tym wątku) to
> chyba jakiś żart...

Jeśli chodzi o użytkowników administracyjnych to zgadzam się w 100%.
Kryptografia asymetryczna jest znana od wielu lat i jej zastosowanie
przy uwierzytelnianiu użytkowników w systemach też nie jest odkryciem
sprzed tygodnia.

Natomiast podkreślam, że wdrożenie tego typu rozwiązania w skali
"masowej", tj. dla wszystkich użytkowników, powoduje wzrost kosztów
utrzymania takiego systemu (edukacja, ochrona kluczy itp).

Poza tym uważam że mylisz się, pisząc:
"Nie ma takich zasad. Te wszystkie mity na temat haseł itp. istnieją
głównie w umysłach laików."
Oczywiście periodyczna zmiana haseł nie jest panaceum na wszelkie
zagrożenia w sieci, jednak pozwala podnieść poziom bezpieczeństwa
systemów w których nie stosuje się TFA.
Pamiętaj że najsłabszym ogniwem jest człowiek, który może ujawnić hasło,
zapisać, zalogować się z niezaufanych systemów itp.
Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
typu zagrożeniami.

> A co do routerów i zmiany haseł, to hasło najłatwiej przechwycić m.in.
> gdy jest używane (także zmieniane) więc jeśli dany router rekonfiguruje
> się np. raz w roku, to po co zmieniać w nim hasło co miesiąc?

W bezpieczeństwie rzadko kiedy jest tak, że jeden czynnik rozwiązuje
problem. Najczęściej kombinacja pewnych metod
technologiczno-organizacyjnych zapewnia wymagany poziom bezpieczeństwa.

Ross Anderson przeprowadził kiedyś badania na temat procedur
password-management (siła haseł, okresowa zmiana itp) i udowodnił że
najskuteczniejszy poziom ochrony zasobów był uzyskiwany przy hasłach, które:

1. użytkownik wymyślał sam
2. musiał stosować się do zasady typu "wymyśl jakąś frazę, weź pierwsze
litery wyrazu i ułóż z nich hasło, następnie dodaj cyfry".
3. zmieniał hasło co 3-6 miesięcy, powtarzając punkty 1 i 2.

Jeśli chodzi o zmianę haseł, uzasadniał to w ten sposób, że zbyt częsta
zmiana haseł irytuje użytkowników (nic dziwnego), natomiast zbyt rzadka
powoduje, że użytkownicy przestają je właściwie chronić i wykorzystują
je w innych systemach.
Sam fakt okresowej zmiany haseł jest elementem tzw. security awareness,
bo poniekąd "przy okazji" przypomina się o obowiązku ochrony haseł.
No i znaczenie mają także te rzeczy o których pisałem, tj. ograniczenie
ryzyka związanego z nieumyślnym ujawnieniem hasła.


--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3 | pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

do góry

W dniu 19.02.2011 17:26, Robert Jaroszuk pisze:
> Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
> typu zagrożeniami.

Raczej zwiększyć. Gdy masz jedno hasło, to je masz i już. A wszędzie
tam, gdzie wymuszane jest ustawowe zmienianie hasła co 30 dni,
użytkownicy zaczynają sobie je zapisywać na korkowych tablicach koło
stanowisk albo w zeszytach. Albo nadają po prostu hasła typu Hasło01,
Hasło02, Hasło03.

--
Przemysław Adam Śmiejek

Niech żadne nieprzyzwoite słowo nie wychodzi z ust waszych,
ale tylko dobre, które może budować, gdy zajdzie potrzeba,
aby przyniosło błogosławieństwo tym, którzy go słuchają. (Ef 4,29)

do góry

On Sat, 19 Feb 2011, Papo5merfo wrote:

>>> obowiązkami pracy zawartymi w umowie czy regulaminie
[...]
>> W ten umowie na jakieś skromne 99,98% jest coś
>> w stylu "inne polecenia przełożonych".
>
> w umowie czy w prawie pracy?:O)

Niewyraźnie zacytowałem czy jak?

> "inne" czyli jakie?

"zawierające się w zakresie danego stanowiska w sposób zgodny
z zasadami współżycia społecznego".
O tym czy konkretne "przejdzie" na końcu zadecyduje sąd.

> nie wiadomo czyli nie sprecyzowane:O)

Żadne zadanie pracownicze nie jest do końca sprecyzowane.
Kierowca np. może stwierdzić że "jazdy do Zamościa nie mam
w umowie o pracę więc nie jadę" :>

> pisze i znajac życie to sie domyślam że nowy szef albo nałożył od tak sobie
> nowe obowiązki na pracownika, albo chce żeby wykonał jakąś dodatkową pracę
> za friko

Jest to możliwe.
Ale wniosek jest prosty - skoro jest polecenie, to trzeba zrobić.
Jakaś inna praca nie zostanie wykonana i tyle.
Zwróć uwagę: umowa o pracę to NIE JEST umowa o dzieło.
Pracownik stawia do dyspozycji pracownika swój czas i swoje kompetencje.

> to że sekretarka w innej firmie parzy kawę, sprząta i daje dupy szefowi to
> widocxznie tak się umówili

Ależ nie mogli się umówić o czyn sprzeczny z prawem - czyli za pieniądze
wliczane do wynagrodzenia :P

pzdr, Gotfryd

do góry

begin Robert Jaroszuk

> Natomiast podkreślam, że wdrożenie tego typu rozwiązania w skali
> "masowej", tj. dla wszystkich użytkowników, powoduje wzrost kosztów
> utrzymania takiego systemu (edukacja, ochrona kluczy itp).

Całkowita zgoda, uważam wręcz że nie miałoby to sensu. Używanie takich
kluczy jest nierozłącznie związane z używaniem mózgu, a taką umiejętność
niestety nie każdy posiadł. Dlatego napisałem, że dla użytkowników hasła
są ok, póki nie upowszechnią się jakieś sensowne metody
bioautentyfikacji, czy jak to nazwać.

> Poza tym uważam że mylisz się, pisząc: "Nie ma takich zasad. Te
> wszystkie mity na temat haseł itp. istnieją głównie w umysłach laików."
> Oczywiście periodyczna zmiana haseł nie jest panaceum na wszelkie
> zagrożenia w sieci, jednak pozwala podnieść poziom bezpieczeństwa
> systemów w których nie stosuje się TFA. Pamiętaj że najsłabszym ogniwem
> jest człowiek, który może ujawnić hasło, zapisać, zalogować się z
> niezaufanych systemów itp. Zmieniając hasła co jakiś czas możesz
> ograniczyć ryzyko związane z tego typu zagrożeniami.

Ale JAKIE hasło? Hasło do czego? Wiadomo, że warto wymusić zmianę haseł
na userach (ale też nie za często, bo zaczną je zapisywać gdzie bądź),
ale po co zmieniać np. co miesiąc hasło używane raz w roku (do jakiegoś
zapomnianego routera)?

Ogólnie pisząc o "micie" chodziło mi głównie o to, że kwestia haseł to
drobny ułamek całości tematów związanych z bezpieczeństwem systemów czy
sieci i wcale nie trzeba mieć hasła, żeby się dostać do systemu i na
odwrót -- mając hasło, nie zawsze da się tam dostać.

> W bezpieczeństwie rzadko kiedy jest tak, że jeden czynnik rozwiązuje
> problem. Najczęściej kombinacja pewnych metod
> technologiczno-organizacyjnych zapewnia wymagany poziom bezpieczeństwa.
>
> 1. użytkownik wymyślał sam
> 2. musiał stosować się do zasady typu "wymyśl jakąś frazę, weź pierwsze
> litery wyrazu i ułóż z nich hasło, następnie dodaj cyfry". 3. zmieniał
> hasło co 3-6 miesięcy, powtarzając punkty 1 i 2.
>
> Jeśli chodzi o zmianę haseł, uzasadniał to w ten sposób, że zbyt częsta
> zmiana haseł irytuje użytkowników (nic dziwnego), natomiast zbyt rzadka
> powoduje, że użytkownicy przestają je właściwie chronić i wykorzystują
> je w innych systemach.

Tu oczywiście pełna zgoda, ale kontekstem mojego stwierdzenia o "mitach"
były rozważania o hasłach do kont administracyjnych, nie było mowy o
kontach zwykłych użytkowników.

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway

do góry

begin Papo5merfo

> nie udawaj jasnowidza bo to ci na dobre nie wychodzi:O) własnością firmy
> jest tylko to co kupiła, lub to za co zapłaciła, więc jeśli na serwerach
> jest coś co nie wchodziło do obowiazków admina w ramach jego umowy o
> pracę czy dzieło to napewno to do firmy nie należy:O)

Nie chce mi się pisać ciągle tego samego, ale napiszę jeszcze raz.
Wszystko co ten administrator zrobił na swoim stanowisku pracy jest
własnością firmy, w tym np. skrypty które sobie napisał, projekt sieci
którą w tej firmie wykonał itp. Administrator ma obowiązek wykonywać
polecenia przełożonych które korespondują z jego stanowiskiem pracy, a
polecenie dotyczące przekazania haseł czy stworzenia dokumentacji tego,
co zrobił z pewnością do takich należą.

Tym się właśnie różni umowa o pracę od umowy o dzieło czy umowy zlecenie,
że firma płaci za czas, kompetencje pracownika i za to co w tym czasie
zrobi, a nie za wykonanie konkretnych, ściśle zdefiniowanych w umowie
czynności.

> skoro to co jest na serwerach jest własnością firmy to niech sobie to
> weżmie, czego chcą od admina, żeby im dał to co jest jusz mają?:O)

Nie osłabiaj.

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway

do góry

On 02/19/2011 07:02 PM, Przemysław Adam Śmiejek wrote:
> W dniu 19.02.2011 17:26, Robert Jaroszuk pisze:
>> Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
>> typu zagrożeniami.
>
> Raczej zwiększyć. Gdy masz jedno hasło, to je masz i już. A wszędzie
> tam, gdzie wymuszane jest ustawowe zmienianie hasła co 30 dni,
> użytkownicy zaczynają sobie je zapisywać na korkowych tablicach koło
> stanowisk albo w zeszytach. Albo nadają po prostu hasła typu Hasło01,
> Hasło02, Hasło03.

Bądź tak uprzejmy i doczytaj mój post do końca.
Wyraźnie napisałem, że najskuteczniejsze jest zmienianie hasła co 3-6 m-cy.
W krótszym okresie ludzie nie zdążą się przyzwyczaić i już muszą
zmieniać (dlatego je zapisują, tak jak napisałeś), a w dłuższym wzrasta
ryzyko ujawnienia hasła i stosowania go w wielu miejscach.

--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3 | pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

do góry

On 02/19/2011 11:56 PM, to wrote:

> Tu oczywiście pełna zgoda, ale kontekstem mojego stwierdzenia o "mitach"
> były rozważania o hasłach do kont administracyjnych, nie było mowy o
> kontach zwykłych użytkowników.

Ok, zatem zgadzamy się ze sobą ;-)

EOT, bo i tak NTG ;-)


--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3 | pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

do góry

> W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.

> W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja

> je po prostu znam (zmiana 1x/30 dni)

Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana haseł
co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a powinna
być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o ten
fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych.


> A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o

> odpowiedzialności jakie wysmarowałem, zmienił zdanie:)

Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym oświadczeniem ?


> PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie

> mailowym jako danie osobowej

Możesz to rozwinąć ?

Pozdrawiam, Marek

PS. Zakładam, że te posty może czytać autor pisma od dyrektora. Szef sam tego
nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi cichy
audyt, ale (zakładając, że autor tego pisma nie jest już nowym adminem ;)) )
przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do wszystkiego, i
to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z
naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa. Zastanawiam
się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych odpowiedzialny.




--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik <m...@o...pl> napisał w wiadomości
news:2679.000008f0.4d60e7b2@newsgate.onet.pl...
>> W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.
>
>> W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a
>> ja
>
>> je po prostu znam (zmiana 1x/30 dni)
>
> Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana
> haseł
> co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a
> powinna
> być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o
> ten
> fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych.
>
>
>> A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o
>
>> odpowiedzialności jakie wysmarowałem, zmienił zdanie:)
>
> Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym
> oświadczeniem ?

Po prostu zrzuciłem na niego całą odpowiedzialność za problemy zw
funkcjonowaniu firmy (bez określenia czasu, bo skrypty przecież są) wraz z
dekalracją o odpowiedzialności majątkowej i odpowiedzialnością za ew.
straty. Reedytował mi to później prawnik, tak że bez jego zgody nie mogę.
Ale ujęcie mu się podobało :)

>> PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie
>
>> mailowym jako danie osobowej
>
> Możesz to rozwinąć ?

Wejdź na GIODO i poczytaj. Jak to każda instytucja dokonująca "pozornych"
czynności ochronnych dla obywatela strasznie to rozmydlone.

> Pozdrawiam, Marek
>
> PS. Zakładam, że te posty może czytać autor pisma od dyrektora. Szef sam
> tego
> nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi
> cichy
> audyt, ale (zakładając, że autor tego pisma nie jest już nowym adminem
> ;)) )
> przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do
> wszystkiego, i
> to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z
> naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa.
> Zastanawiam
> się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych
> odpowiedzialny.
Masz rację. Niech czyta.
I powtórzę to raz jeszce. Hasła administracyjne są dla administratora. Dla
firmy są hasła ratunkowe (nieraz musi być to samo- np.root w unixach)
I napisz czy masz politykę bezpieczeństwa firmy, jak nie to ja bardzo
chętnie napiszę (1-2 tygodni na rozpoznanie firmy + cena zaporowa za brak
takowej do tej pory)
I jeszcze jedno do takich szefów, wszem i wobec. Powtarzam to zawsze.
Administrator MUSI ODEJŚĆ Z FIRMY ZADOWOLONY.
1 raz miełem zlecenie na czyszczenie systemu po niezadowolonym adminie.
Katorga. A i kosztowało to sporo. Dodatkowa kasa w ilości 20-40% tych
kosztów usatysfakcjonowałaby każdego admina.
Pozdrawiam
CEzarys

do góry

W dniu 2011-02-17 19:42, Maruda pisze:
> Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
> poddać procedurze dokumentów niejawnych.
> Z resztą - są do tego procedury w ISO9000.
Raczej bym sądził że firma zmierza w kierunku ISO27001 (System
Zarządzania Bezpieczeństwem Informacji). Widać to po inwentaryzacji
aktywów informacyjnych. Albo ktoś przynajmniej usiłuje "zrobić po
swojemu" coś w tym kierunku, to też dobrze wróży, jakiś porządek zawsze
lepszy od chaosu...

--
| Bartlomiej Kuzniewski
| s...@d...org GG:23319 tel +48 696455098 http://drut.org/
| http://www.allegro.pl/show_user_auctions.php?uid=338
173

do góry