Перейти к контенту

Компрометация Паролей

Mastodont
 Поделиться

Рекомендуемые сообщения

Mastodont

Mastodont

Опубликовано
Опубликовано

Маленькая бюджетная контора. Но с персональными данными К2.

Т.е. СЗИ от НСД (секретнет), випнет клиент со своим паролем, доменная аутентификация.

Но, за одним рабочим местом могут работать 2-n работников. Каждый заходит под своим доменным именем. И получается, что все они знают випнет пароль.

Судя по докам, рисовать на каждого свой випнет пароль уже поздно. Тем более, что работают они с одними и теми же программами, с одинаковым уровнем доступа к ним, но естественно под своими отдельными именами и паролями для прог. (в теории может оказаться, что кому-то надо будет больше доступных программ, кому-то меньше, но это покамест только теория).

Работник увольняется. Что мы должны сделать? Правильно: вырубить его учетную доменную запись. Вырубили. Но в памяти уже бывшего работника випнет пароль то останется.

Запрашивать каждый раз новый дистрибутив при текучке кадров мягко говоря неудобно.

И так вопрос: чем нам теоретически грозит такая компрометация випнетовского пароля? Т.е. можно ее проигнорировать, или кто как выкручивается?

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Во-первых, вы можете просто сменить пароль на пользователя и отправить обновление. Следующий заход - только с новым паролем. Во-вторых, на каждный АП можно делать несколько пользователей и каждому вручать свой пароль. В-третьих, нужно использовать не VipNet-пароль, а ключи на съёмном носителе (смотрите документацию к СКЗИ). Это - обязательное требование.

Ссылка на комментарий
Поделиться на других сайтах
Mastodont

Mastodont

Опубликовано
  • Автор
Опубликовано

1) Пароли сгенерированы на основе кодовых фраз, структурой, внедрявшей випнет. Передан ли этот функционал нам - еще неизвестно, т.к. доков никаких мне еще не передали. И кстати, кого вы подразумеваете под пользователем в данном случае? Само рабочее место на котором АП, или пользователей рабочего места?

2) В мануале по випнет монитор 3.2 написано, что можно делать несколько пользователей. Но лучше этот список определить на этапе установки, а не после, когда випнет уже работает, ибо могут быть проблемы.

3) С какой стати ключи на сьемном носителе? Те кому надо обеспечить подпись сообщений, тем возможно. Но не всем остальным, которым нужно просто шифрованный канал. Интегратор, проводивший аттестацию, тот же, что продавал и устанавливал випнет. Если ограничились одним паролем - думаю, это вполне законно.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Насчёт хранения ключей - незаконно. Смотрим регламент информационной безопасности VipNet Custom. Привожу выдержку:

"При использовании 1 или 2 типа аутентификации для хранения личных ключей должны использоваться только отчуждаемые носители". 1 и 2 тип - это доступ по паролю или устройству (когда ключи хранятся на жёстком диске). Это продиктовано требованиями ФСБ. Нам интегратор тоже говорил, что так допустимо. После изучения документации убедились, что он не прав. Поэтому рекомендую исправить данный недостаток. Либо ключи на флешке, либо токен использовать. Всё-таки ключи шифрования (для чего бы они не использовались) нужно учитывать, выдавать лично пользователю.

Даже после создания АП можно добавлять пользователей - никаких проблем. Очень часто практикуем.Единственная замеченная проблема - это виртуальные адреса узлов для разных пользователей. Но это далеко не всегда критично.

Пароли можно как менять в ЦУСе или прямо на компьютере с VipNet. Лучше всего делать это через ЦУС. Под пользователями я имею ввиду пользователя VIpNet (каждый пользователь должен входить со своим паролем). В зависимости от введённого пароля он загружает те или иные ключи/настройки. Кстати, замечу, что пользователи должны хранить носители со своими индивидуальными ключами в сейфе. Это всё - требования официальных документов.

Ссылка на комментарий
Поделиться на других сайтах
Mastodont

Mastodont

Опубликовано
  • Автор
Опубликовано

Я так думаю, что высшее руководство пошлет меня с такими предложениями далеко и надолго...

И я правильно понимаю, что пользовательские пароли на випнет вы также меняете не реже чем раз в 90 дней?

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

В случае, если ключевая дискета хранится на устройстве (3 тип авторизации), то в этом случае пользователь пароль не указывает. Он указывает только пин-код доступа к устройству.

Вы можете, как минимум, предъявить претензии к данной организации. Если читать нормативные документы, то можно добрую половину интеграторов (если не больше) лицензий лишать.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.

  Я согласен