Сколько паролей нужно и где их хранить?
Не будучи спецом в области безопасности, прошу совета у гуру.
У меня имеется около двадцати клиентов, которым я регулярно рассылаю мылом однотипную информацию (таблички excel) с паролями. При этом есть шанс ошибиться и перепутать адресатов. Поэтому каждой табличке присваивается свой пароль. В случае путаницы не сможет прочесть неправильный получатель.
Сейчас ценность информации возросла и я хочу использовать TrueCrypt, а там пароли длинные – от 12 знаков.
Посоветуйте, где их хранить? Можно сделать отдельный контейнер для них. Но тогда "враг" вскрыв его получает доступ ко всей информации. Как поступают в таких случаях? Есть ли какие-то рекомендации по оптимальному числу паролей в системе?
Или эти сведующие люди не верят в существование человеконенавистнических корпораций? С чего бы их тогда их считать сведующими?
Мне кажется, кашу маслом не испортишь. Вот пара практических примеров:
1. Вы периодически запускаете парольный менеджер на чужом компьютере и там может быть не установлен (или неправильно настроен) антивирус / антикейлоггер.
2. Пока Вас не было на рабочем месте, к компьютеру подошел некто, установил кейлоггер, добавил его в список исключений антивируса/антикейлоггера. Если антикейлоггер встроен в парольный менеджер и запускается вместе с ним – Вас этот случай не касается.
Парольный менеджер хранит пароли. Антикейлоггер защищает от кейлоггеров. Смешивать их – путаться, повышать сложность, и, как следствие, понижать безопасность.
Никто никогда не запускает парольный менеджер на чужом компьютере. Потому что на всех чужих компьютерах установлены зловредные программы, которые украдут все пароли. Они работают с привелегиями ядра (или реализованы аппаратно) и защититься от них невозможно.
Никто никогда не оставляет компьютер без присмотра. Все носят свои компьютеры вместе с собой. Ночью кладут под подушку.
Ну или в крайнем случае выключают, когда отходят. Так как жёсткий диск зашифрован, очевидно, изменить какие-то настройки не удастся.
Для тех, кто заботится о безопасности, но живёт в странном мире, где описанные выше ситуации возможны, отмечу, что если на другом компьютере можно запустить менеджер паролей, то можно и запустить антикейлоггер с теми же привелегиями. И если можно добавить исключение для антивируса, то можно сделать это и для модуля защиты, встроенного в хранитель паролей.
Согласен. Только ради удобства использую обычный текстовый файл :)
Не согласен. Модуль защиты менеджера действует целенаправленно – в отношении своих собственных окон, у него просто нет списка исключений.
комментариев: 1060 документов: 16 редакций: 32
Это не отменяет отсутствия эффективности такой "защиты" против кейлоггеров, работающих на уровне ядра или аппаратных.
Полностью согласен.
А как он при этом уживается с, например, Punto Switcher'ом, который работает для всех окон? Впрочем, ладно, пусть как-то уживается. Отключить-то его, вероятно, всё равно можно? Ну а если нельзя, то удалить и установить свою протрояненую версию – ведь у нас по условию задачи есть доступ с правами пользователя :)
Вот я как раз в этом странном мире и живу. У нас в фирме порядка
15 компьютеров, за которыми сидят не программисты или системные администраторы, а самые обычные пользователи. Никто из них не пользуется антикейлоггером. Админ периодически удаляет вирусы, несмотря на наличие антивируса. Что то я не припомню, чтобы кто-нибудь выключал свой компьютер, уходя в курилку или на обед. И уж точно никто не спит на них. Если такой объявится – санитары будут рядом:)
Надеюсь, это была шутка.
Да, Вы правы, не стоит вводить пароли на чужом компьютере. Но жизнь есть жизнь и ситуации могут быть разные. Например, Ваш компьютер вышел из строя, а у Вас важный заказ и шеф предложил поработать пока "вот на этом компьютере". Можно, конечно, послать шефа, но обычно так не делают.
Абсолютных защит вообще не существует. Антивирусные программы то же не гарантируют защиту от вирусов, но это не означает, что их не надо применять, руководствуясь принципом "все или ничего".
комментариев: 1060 документов: 16 редакций: 32
Если для этого требуюутся личные(не служебные!) пароли, то в организации что-то сильно не так с бизнес-процессами.
Всё. Вы проиграли. Злоумышленник приходит с улицы во время перекура (Вы сами обозначили такую ситуацию выше, значит физической защиты тоже нет), садится за компьютер и устанавливает кейлоггер – новый, не находящийся никем. Или вместо парольного менеджера ставит почти такой же, но сохраняющий пароли и отправляющий их злоумышленнику. С этим ничего не поделать.
Ок, Вы меня раскусили. "Под подушку" – разумеется, шутка. Это не безопасно. Требуется как минимум сейф.
Ладно.
Мы говорим про личные компьютеры? Хотите какой-то минимальной безопасности – считайте, что к Вам в квартиру никто не вломится и предполагайте, что компьютер в безопасности.
Мы говорим про служебные? Предположите, что никто не будет использовать жучки, чтобы украсть пароли и отключайте компьютеры, когда уходите – вот опять какая-то минимальная безопасность.
Как угодно. Только не надо при этом говорить о безопасности. Все пароли, введённые на чужом компьютеры, известны противнику. Точка.
А то похоже на "Поднял SSH-сервер, доступный из Интернета, пароль root'а – 123, мне так удобно, что можно сделать для обеспечения безопасности?". Уже ничего сделать нельзя. Так и в ситуациях выше. Если нет какого-то минимума защиты, сделать ничего нельзя. Остаётся только не париться об этом.
Конечно, их не надо применять. Но пусть про принятые в Linux способы защиты Вам расскажет кто-нибудь другой (и на форуме, кажется, тоже было).
Сразу вспоминается время, когда я был студентом. Поставив на лабах самопальный кейлоггер на подвернувшийся под руку комп, я долго пользовался халявным инетом по преподским учеткам. А знакомый лаборант поставил кейлоггер со скриншотами на комп в своей лаборатории, и мы потом долго угарали над порно, которое смотрел завкафедрой в рабочее время.
+1, антивирусы в универе стояли везде, но местную сеть ломали все, кому не лень, антивирус ни разу никого не побеспокоил.
Из всего этого я вынес на будущее твердое правило – никогда не обрабатывать личные данные на служебных компах.
Выше была заявлена как возможная ситуация
В таком случае ничего не поделать.