О паролях и подписях
На прошлой работе коллега с нескрываемой интонацией сарказма однажды заявил, что пароль "123" очень хорошо характеризует нашу систему. Ну странно. Ведь это пароль от веб-сервисов, доступных только внутри корпоративной сети и поставил я его только потому, что так работало быстрее. Я конечно спросил коллегу, что он думает о пароле "12345678", установленном на всех флешках электронной подписи Рутокен по всей нашей необъятной Родине. Но ответа не последовало...
Как подтвердили недавние события, защита информации - это главная задача в любой организации. Но дело в том, что профанация и имитация деятельности гораздо хуже ее отсутствия.
Несколько мыслей и советов по парольной защите, которые вероятно будут полезнее для простых обывателей, чем для айтишников:
- Пароль, даже сложный, который знают несколько человек (много человек, все сотрудники, все бухгалтеры страны) - это вовсе не пароль, это просто некий параметр для входа.
- Пароль, зачем-то очень сложный или часто принудительно меняющийся, который сотрудник не в состоянии запомнить и поэтому записал на бумажку и приклеил на монитор - это вовсе не пароль. И в подобных казусах виноваты не пользователи, а атишники, работающие в соответствии с принципом: "Заставь дурака богу молиться, он и лоб разобьет".
- Пароль должен быть индивидуальным. Исключение: главный пароль администратора/рута от серверов. Его должны знать как минимум двое (ИТ-директор и главный системный администратор) для защиты от bus-фактора. При увольнении одного из них главный пароль обязательно нужно изменить.
- Нельзя хранить свои пароли в хранителях паролей. Ведь мы не знаем, что на уме у автора, который бесплатно выложил в интернете свою программу.
- Нельзя генерировать пароли в генераторах паролей на том же устройстве (в том же браузере), где собираетесь этот пароль установить. По той же причине, как в предыдущем пункте.
С электронными подписями ситуация похожа. Бывают подписи (ЭЦП) с механизмом подтверждения записанном на компьютере или на подключаемой флешке. Там внутри сложная криптография, все по-взрослому. Но если вдуматься, сразу понятно, что никакой защиты тут нет. Особенно, если дополнительный пароль, как мы договорились в первом абзаце, знает вся страна. В обоих случаях, получив доступ к этим предметам, можно сделать что угодно от простой халатности до вредительства. Используется все это хозяйство просто на отстань, потому что так требует законодательство.
Существует простая электронная подпись (ПЭП) в виде ввода одноразового подтверждающего кода, полученного в одно из приложений на личный телефон (СМС, Телеграм). И неожиданно выходит, что это самый надежный способ. Потому что любой начальник, собравшийся в пятницу на рыбалку, с удовольствием отдаст свою флешку, но никогда и никому не отдаст свой телефон. А если ему позвонят и попросят назвать код, то наш герой хотя бы будет в курсе, что от его имени прямо сейчас что-то собираются подписывать.
Выводы... То что регламентировано законодательством нужно соблюдать, даже если это профанация. Там где пароли избыточны, но требуются, они могут быть простыми. У сотрудников должны быть пароли на доступ к данным, но не надо над людьми издеваться, рискуя получить обратный результат. Будущее за обязательной двухфакторной авторизацией в виде легко запоминаемого пароля и получения одноразового кода подтверждения на личный телефон.