Читаю внутренний приказ в одной фирме (касательно 1С):
"2. Каждому сотруднику для  входе в систему присвоить пароль, который в письменном виде передается Генеральному директору. В случае изменения пароля  в письменном виде предоставляется заявка на имя Генерального диектора об изменении или вводе нового  пароля  для сотрудника."

---
Теперь вопрос - как отговорить не делать это?
ЗЫ: самому смешно.

(0) а ты кто такой, чтобы отговаривать генерального директора?)))

(0) Зачем отговаривать? Пусть гена работает! Так, спросить, а вы уверены, что оно вам надо?

(1) ахахаха

(2) да мне по барабану. Я там - редко приходящий. Просит отговорить "по-научному" тамошний проект менеджер.

(0) приказы надо выполнять молча, смеяться можно дома в подушку.
или хочешь похвастаться директору, что своими административными правами можешь сам поменять все пароли ?

(5) не хочу похвастаться. Причем тут это.

(4) если ты не можешь объяснить что такое компрометация пароля, то как ты сможешь доказать ген.диру, что этого делать не надо?

(4) Его там в наручниках держат?

Дурдом, конечно. Можно попробовать апелировать, что пароль это как личная подпись сотрудника. Если про него будет знать лишний хоть один челоовек, то в случае выявления противоправных действий под учеткой сотрудника, официально врят ли получиться его прижать. Директор сам себе яму строит.

(0) А криминал то в чём или твои трудозатраты ох...? Гена сказал, сделай

(7) вот.. то слово, которое мне нужно было - компрометация.
Спасибо.

Что интересно, отвечая на свой вопрос, я бы ваш коммент слегка переделал на такой вариант: "Расскажи гендиру, что такое компрометация пароля". И автору поста будет приятно (его не обвинили в незнании), и совет дали) :-).

(9) я тут не причем. Их проблемы, я не админю 1с, пусть меняют пароли как хотят. Вопрос не стоит в трудозатратах. Вопрос звучал мой - как отговорить.

(0) А нас дубликаты ключей хранятся в опечатанном пенале в сейфе у дежурного. А по окончании рабочего дня кабинеты закрываются, опечатываются и оригиналы ключей ему же сдаются. Смешно ведь.

PS: Ничего смешного, нормальная практика система безопасности. Только фразу "в письменном виде передается Генеральному директору" нужно заменить на "в письменном виде передается в запечатанном конверте Генеральному директору" и будет порядок.

(11) "как отговорить. " = дай свою формулировку, а то непонятно, от чего "отговаривать"

(12) админские пароли - да. В запечатанном виде должна храниться в сейфе. Но не пользовательские же.

"Инструкция по организации парольной защиты"
http://hr-portal.ru/pages/kb/instruk23.php

"При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (ПОБИ)."

(15) прочитал. Жестоко. Работал в двух банках - таким не заморачивались. Потому что админ всегда может изменить пароль, не имеет смысла хранить пользовательские пароли   в сейфе.

(14) Может на доменную авторизацию в 1С Вам стоит перейти. Тогда и проблема исчезнет

(16) Мочь то он может, но в некоторых фирмах это было бы последнее что он сделал на этом месте работы.

(18) хм,вы не поняли.

Админ может. Это означает, что если применяются правильно политики безопасности и все регламенты, и есть аудиторский след в ИС, то админ будет менять пароль только в одном случае:
- по заявке от пользователя на смену пароля (с проведением заявки по СДО).

А так же он может менять пароль себе и другому админу, поэтому админские пароли должны быть у компании в сейфе, чтобы при его увольнении не пришлось хакать систему или сидеть без доступа (мы здесь уже не только про 1С говорим).

Так как он может менять пользовательские, то если пользователь забыл пароль:
- то будем иметь ввиду, что никто не должен знать вообще его текущий и прежние пароли (нигде не должно храниться в открытом виде);
- админ может ему сбросить пароль на дефолтный.

(16) А у нас админ не имеет доступа к работе в 1С, а я не имею доступа к серверу SQL. Потому что разделение ответственности. Я могу изменять пароли, но не имею никакого желания их знать или изменять. И вообще не желаю нести хоть какую ответственность за пароли пользователей - это не моя ответственность, а их.

(20) правильно!

PS: может быть это и "жестоко"(цы). Но однажды мы словили вирус-криптолокер... ущерб незначительный - потеря информации с одного жесткого диска (который имел копию данных), но расследование показало, что пароль был взломан методом подбора. Пользователь "Света" с паролем "Света" была уволена, а админ остался без премий до конца года. Мне такого счастья не надо.

(22) "но расследование показало, что пароль был взломан методом подбора. Пользователь "Света" с паролем "Света" " = если не секрет как это обнаружили?

(4) вот пусть проект менеджер и отговаривает, этоиего прямая обязанность - делатььпроектв

Работал в одной конторе по срочным задачам ибо исходный одинэсник совсем ушёл. Ну что вам сказать.... То что у себя в конторе я делал за 10 минут - здесь занимало часа полтора... В основном это тупо было ожидание... Из-за политик безопасности...

(23) Да по журналу ОС и установили - системная информация не была зашифрована. И там несколько страниц однотипных записей о многократных неудачных попытках входа. Чистая вина админа - ни временной блокировки между входами, ни ограничения количества попыток, ни блокировки по IP - ничего не было настроено для защиты от подбора.

(26) угу
Ты руководятелов спроси что имеет приоритет в конторе - безопасность или зарабатывание бабла и что стоит делать когда менеджер попал в 15минутный тайм-аут из-за неверной серии ввода паролей, а вероятность срыва баблоемкой сделки близка к 100% если Манагер в течении 10 минут не подгонит клиенту данные из базы.. ?

(0) а подумать? зачем ветку открывать? Секретутка печатала Приказ, ей было лень отрываться от чая с шанюшками... Скопировала  первое что видела, и малец  подредактировала. А вообще этот текст есть в приказах на электронные ключи (карты) для доступа в офис.

(28) "подумать" решил переложить на ленивых одинэсников)))

(0) Зачем отговаривать? Дорастут - сами поймут...

может директор сам под чужими паролями любит в базу заходить - чем не вариант?

(0) Вот Гене то заняться нечем...

(10) это было бы слишком просто...

Когда-то работал в сбербанке, там было нечто похожее - сотрудник писал свой пароль, запечатывал в конверт и передавал его в отдел по защите информации. В большинстве случаев конверты вскрывались по причине того, что владелец (бух) просто тупо забывал свой пароль - дня три не выйдет на работу, все память, видно, сбросилась и свой пароль не помнит.

(0) А в чем проблема сделать, как просит ген дир?

(0) Скажи гене, что пароли это уже вчерашний день - пора переходить на биометрические системы аутентификации.

(36) и ген диру надо в задницу инсталировать чип, длиной так см 20 для начала. Главное забить его что бы не торчал.

(36) Тогда он потребует образцы пальцев сдавать ему :)

(38) пальцев 10. А вот если он скажет что нужно по сетчатке проходить?

Самое интересное, что все эти танцы с конвертами и опечатанными пеналами никак не решают проблему, когда пользователи друг другу передают пароли от своих учёток в 1С, в AD, в банк-клиентах и прочих ИТ-системах.

И МарьИванна садиться за комп ОльПетровны, вводит её логины и пароли и лопатит всё что угодно, включая получение доступа к конфиденциальной информации, к которой, по наивному убеждению гендира, имеет доступ исключительно ОльПетровна (например, какие-нибудь банковские выписки, зарплатные ведомости и т.п.).

(40) а за это безопасники должны гонять.
один показательный процесс с публичным бичеванием виновника выговорами и депремированием и все - прекратятся все передачи.

Самое забавное, что на sql базе скорее всего стандартный пароль, бгг.

(0) Наличие пароля у директора снимает с сотрудников ответственность за все действия в базе. В случае чего сотрудник просто говорит: "это не я. Я не единственный, у кого есть доступ к моей учетной записи".
И всё.

Дебилы, б*ь

(41) чип надо виновнику вставить виновнику, как и генеральному

тут продуктивнее не отговаривать, а узнать, зачем гене это надо и дать ему решение этого зачем без вот этой вот проктотозилоктомии

(38) Да делов-то, дактилоскопировать всех поголовно и отдать гене все дактокарты :)

(0) - Только перед выполнением "приказа", не забудь написать служебную "запиську, за сиську" с изложением своего виденья вопроса и полного перечня всех возможных последствий данного действия. Иначе чудь чего, будешь крайним. ;)

Не люблю мелкие конторы, у них самый высокие запросы, за мелкую ЗП и/или желательно вообще на халяву.

(45) Потому что ему "это надо". Потому что он решает. Завтра еще что захочет- выполнять.

(40) поэтому есть такая тема как смарт-карта. вешаются магнитные замки и турникеты на вообще все двери и проходы в здании, даже в туалет и подсобку. по ней же доступ к OS. нет карты - нет доступа.
в случае чп, есть суперюзеры в лице гены, его зама и глав.админа. могут дать временный доступ без карты до записи нового.

(0) паходу мало кто в системах МВД МО работал ))) не в поле ...
ЗЫ вышел из кабинетика, в туалет - дверь на ключь - задвижку с воскопластилином закрыл - оттиск печати сделал ...

(49) И эти смарт-карты замечательно передаются друг-другу и Мариванна заходит куда ей надо по карте Ольпетровны...

(51) ну это если они рядом сидят. а ей в туалет сходить? чаю налить? там должен быть барьер с ридером. шоб не пущать без карты.

я бы дошел до радикального и повесил ридер на вход и на выход из рабочего кабинета.
пока они в помещении вдвоем - ну что ж юзер сам попросил и доверил, значит так надо.

бред какой-то, передавать юзерские пароли третьим лицам...

нужны нормальный админ и AD

(43) +1

(52) Ну у нас например дамы целой группой покурить ходят. Одна дверь открывает - вся толпа проходит, обратно также.
В след.раз уже другая открывает. Это они так делают чтоб их не палили за частые перекуры.

(0) Если ГД просит передать пароль в письменном виде, для обеспечения безопасности передай пароль, записанный даэдрическим алфавитом)))

(56) турникеты решают. только вы посмотрите на более вменяемые, куда вдвоем уже не пролезть.

>В случае изменения пароля  в письменном виде предоставляется заявка на имя Генерального диектора об изменении или вводе нового  пароля  для сотрудника.

в нормально настоенном AD юзерские пароли протухают раз в 1 месяц (или у кого как настроено) + блокируются после нескольких неудачных попыток (защита от подбора) - "гена" не устанет заявки подписывать и листы с паролями в сейф складывать?

(59) Видимо у них гене заняться больше нечем, вот и придумывает себе занятие.

(60) он просто дремуч... а тактично просветить человека или забрать у него эту задачу в которой он не компетентен - некому

ЗЫ хреновый у них местный ПМ... а может наоборот - сильно умный - не лезет нарожон

(58) У нас просто дверь в офисе, турникет некуда ставить, да и не нужен он. Магнитный замок на двери чтобы чужие без спросу не заходили, ну и для контроля, кто во сколько пришел/ушел.

(61) У меня, помнится, в одной конторе один из зам.диров потребовал ежедневно передавать ему логи прокси-сервера, открывал оттуда каждый сайт на предмет наличия порнухи, и пересылал нам список сайтов для закрытия. Чем бы дитя не тешилось, как говорится :)

смешные люди - бороться надо с причиной, смотрение порева на работе это уже "следствие"

(64) и как ты предлагаешь бороться с причиной :))))

(65) занять человека работой. или уволить раз ему делай нех

(60) он точно этим преследует какую-то свою цель. Но мозгов, чтобы выяснить у него эту саму цель и достичь цивилизованными способами в конторе нет

(66) А если он в обед смотрит?

(66) "или уволить раз ему делай нех" - Тогда ему пришлось бы с себя начать. А так все при деле :)

(0) он их на сложность будет проверять? или что?
присваивай такие, отдавай на подпись
"*ТоЛьКО)МуД%акИ*СоглаСовыВают&ПАРоли!

(69) неа. тут (67) прав, гена преследуют какую-то цель, но корявыми методами

(72) подставить хочет менеджера, глав буха, программиста?

(71) Да цель тут имхо понятна: желание контролировать всё и вся.

в их компании никто ни за что не будет отвечать, пароли скомпромитированы...
- что за олень эту декларацию сдал/скидку поставил?
- хз, мой пароль у каждой собаки есть

(73) люди с синдромом вахтера до гены в нормальных конторах не дорастают

лучше пусть гендир не только утверждает пароли, а еще и сам придумывает)

(75) В нормальных - согласен, но их к сожалению не так много. А в большинстве случаев до гены не дорастают, а сразу им становятся. Отсюда и синдром.

(77) >>А в большинстве случаев до гены не дорастают, а сразу им становятся
То есть был вахтером и вдруг стал геной?

(73) мимо. Даже идиоту понятно, что имея на руках бумажку с паролем, проконтролировать, что человек делает, ты не сможешь.
Скорее всего гена хочет обеспечить непрерывность процессов, чтобы, если человек, например, болеет или в топуске или просто хер забил и на работу не вышел, то процессы, зависящие от него, не останавливались с формулировкой "а у нас нет пароля от Васи, а доступ только у него". Это моя такая теория.

(16) Мягко сказать, в странных ты банках работал. Еще где-то с, если не изменяет память, 2012-го года были какие-то приказы от ЦБ, ФСБ или кого-то похожего насчет этого. Помню как закупали кучу конвертов, и как каждый пользователь писал свой пароль, который потом вкладывался в конверт, и конверт опечатывался, то же самое и с паролями от всех сервисов и прочего. Все эти конверты хранились в сейфе.

(79) Про то, что пароль сбрасывается на раз, имхо тоже известно даже идиоту. А вот директоров, которые несмотря на наличие в компании СКУД, вставали на входе и записывали опаздывающих, я наблюдал лично. Так что твоя теория не лучше моей.

уууу
у нас вот вся аутентификация ключами закрытый открытый все дела. только все по одному ключу ходят.) доверие понимаешли.

(70) нет, хочет заходить смотреть странички в инете на который у юзера сохранены пароли. Если сменить - то заметно и могут слететь сохраненные на сайтах. А так без палева.

(80) в самых крупных в стране, вообще-то.
Как бы 5000 человек по стране, каждый будет бумажку с паролем писать ? )))

(79) вряд ли для "непрерывности процессов" )). Там по каждой должности по паре человек, замена есть.

Просто глупость.
Контора не совсем маленькая, нефть перерабатывают ).

(50) не работал )) и не хочу.
В данном случае такие меры безопасности ни к чему.

(38) Представил папочку с отпечатками пальцев каждого сотрудника.

(33) зато вежливо )). А то слухи ходят, что одинэсниги ленивые, злые и жадные )

(84) А когда это было?
Это что, крупные банки не исполняют требования ЦБ?
Именно каждый и пишет свой пароль, кладет в конверт, опечатывает его и отдает руководителю, а тот в сейф кладет. Когда пароль меняется, новый конверт, а старый удаляется и т.д.

(90) я не в РФ живу.

(91) А...ну тогда понятно)

(0) Зачем отговаривать? У меня у одного клиента так же. Никаких проблем

(90) это получается, что сейф -  это домен в бумажном варианте. А ваш банк -  это колхоз из прошлого.

(94) наверное - сбербанк ))

Сделай директору команду "Запустить сеанс 1С под любым пользователем", ведь ему знать пароли всех только для этого и нужно

(26) Тогда почему уволена Света, а не админ?

(78) Ага, когда пахнет жареным именно так и происходит :)

(80) А если пользователь напишет неправильный пароль?

100

Да этот гена - гений!