|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexandr Goncharov 2:5020/400 06 Mar 2002 08:59:14
To : Alexander Kulak
Subject : Re: Пароли юзеров
--------------------------------------------------------------------------------
Alexander Kulak <Alexander.Kulak@f208.n450.z2.fidonet.org> wrote:
AK> Hello, Alexandr Goncharov.
EG>>>> Я не утверждаю, что пароли надо хранить у админа на бумажке в ящике
EG>>>> стола, но порой в реальности какие-то чужие пароли приходится знать.
MM>>> покушал в полной мере подобную ситуацию в последней конторе.
MM>>> Hизам не надо (у них дось без паролей), верхи не понимают зачем.
MM>>> в результате, наиболее выгодным с точки зрения гемор\секурность оказался
MM>>> вариант хранения журнала паролей в сейфе с регистрацией открывания
AG>> Приведенный ранее пример с одинаковыми паролями входа в систему
AG>> и на zip-архив -
AG>> от лукавого.
AG>> Системный пароль в случае забывания его юзером - меняется.
AK> [...]
AK> Hу говорят же, когда возникает реальная проблема -
AK> когда надо перенести пароли из одной базы в другую, а формат хешей
AK> не совпадает.
А тут стоит десять раз подумать - а надо ли?
Чтобы избежать лишнего флейма, попробую обрисовать.
Исходная постановка задачи - надо преретащить пароли из одной базы в другую.
Вопрос первый - почему выбрана именно эта другая база?
Можно ли вместо нее использовать другую, совпадающую по формату хэша
с ранее использованой, но обладающую той же функциональностью?
Можно ли сконфигурировать/обучить/пропатчить эту другую базу на
использование старого формата хэша?
Вопрос второй (при отрицательном ответе на все "Можно ли?" в первом
вопросе) - насколько велики будут потери времени, денег,
имиджа и пр. при переходе не новую базу и смене паролей
юзерам?
Какие юзеры? Есть у них возможность самостоятельно менять
пароль? Если есть - генерация паролей, раздача пользователям и
установка срока для смены.
При оценке ответа на второй вопрос и получении больших затрат - задаем себе
следующие вопросы
- покрывают ли выгоды от перехода на новую базу затраты, связаные с
этим переходом?
- Если не покрывают - возвращаемся к началу и еще раз задаем себе
вопрос - а надо ли?
Поверьте, это не теоретические рассуждения, а практический опыт
администрирования как достаточно крупной сети предприятия, так и нынешний, в
ISP.
И за пятилетний срок существования нынешней конторы у нас был опыт
_массовой_ _принудительной_ смены паролей клиентам. (на тот момент - ~2000)
И ничего. Продумана была система, издан письменый приказ, назначены
исполнители.
Сгенерились новые пароли, напечатались в двух экземплярах, выданы под
роспись сотрудникам абонотдела. И сели они бедные на телефон ....
Плюс инструктаж остальных сотрудников на предмет, как сменить пароль юзеру,
не сообщая генеренный.
После завершения операции - бумажки с паролями прилюдно и официально были
преданы огню. Заняло все это мероприятие меньше недели.
Зато чисты перед своей совестью и перед клиентами. И уверенно можем
ответить, что утечек паролей клиентов от персонала ISP нет и быть не может.
Ладно, предлагаю завязать с этой темой, как абсолютно бесперспективной.
Я свое мнение высказал и как мог - обосновал.
Принимать или нет эту позицию - каждый решает сам.
Больше убеждать никого не намерен.
Если осталось желание знать пароли пользователей - есть масса способов это
желание удовлетворить.
AK> b.w., Alexander Kulak [ http://www.geocities.com/quickbrainz ]
--
Alexandr V. Goncharov, | Digital Networks, Tomsktelecom
AGV-RIPE, | agv@tomsknet.ru
AGV3-RIPN | phonе: +7(382-2)662510
--- ifmail v.2.15dev5
* Origin: Tomsktelecom - Digital Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Пароли юзеров |
Alexandr Goncharov |
06 Mar 2002 08:59:14 |
|
|
