סיסמאות
- פותח הנושא H N 1
- פורסם בתאריך
matam haifa 2003
New member
התשובה
לפתח לעצמך שפה בעלת לוגיקה שרק אתה יודע, הנה למשל סיסמת הרות שלי בלינוקס, וממש אין לך סיכוי לדעת את הצירוף הנכון: gyte4#xf&tgf!xde#uhg^ ולשמור את זה בכל קובץ טקסט רגיל.
לפתח לעצמך שפה בעלת לוגיקה שרק אתה יודע, הנה למשל סיסמת הרות שלי בלינוקס, וממש אין לך סיכוי לדעת את הצירוף הנכון: gyte4#xf&tgf!xde#uhg^ ולשמור את זה בכל קובץ טקסט רגיל.
matam haifa 2003
New member
אהה ... אוקיי, בעייה באמת.
אני אחדד את השאלה
אני לא שואל איך אתם קובעים סיסמאות. ולא שואל לגבי המחשב שלכם בבית. אני שואל על אלו מכם שמחזיקים רשת ומנסים לחשוב מה יקרה אם הם "יילכו"... כמו שנתתי בדוגמה שייפול עליי פסנתר. איך יפעילו את הרשת בלי הסיסמאות? יפרצו כל אחד מהשרתים? כל נתב ונתב? לשמור קובץ סיסמאות על שרת קבצים נראה לי מלחיץ, מה יקרה אם אחת מקלטות הגיבוי תיפול לידי מישהו? תחשבו על זה, זה לא נושא שבד"כ מדברים עליו (לפחות בסביבה שלי הוא לא עלה אף פעם לפני היום)
אני לא שואל איך אתם קובעים סיסמאות. ולא שואל לגבי המחשב שלכם בבית. אני שואל על אלו מכם שמחזיקים רשת ומנסים לחשוב מה יקרה אם הם "יילכו"... כמו שנתתי בדוגמה שייפול עליי פסנתר. איך יפעילו את הרשת בלי הסיסמאות? יפרצו כל אחד מהשרתים? כל נתב ונתב? לשמור קובץ סיסמאות על שרת קבצים נראה לי מלחיץ, מה יקרה אם אחת מקלטות הגיבוי תיפול לידי מישהו? תחשבו על זה, זה לא נושא שבד"כ מדברים עליו (לפחות בסביבה שלי הוא לא עלה אף פעם לפני היום)
זו בעיה.
בתור אחד שגם יש לו אין ספור ציודים עם סיסמאות אני מבין על מה אתה מדבר. אבל אצלי נותר מצב שאני יודע את כל הסיסמאות ובנוסף אלי יש אנשים אחרים שיודעים את הסיסמאות הרלווטיות אליהם המפתחים יודעים את הROOT על השרתים. מי שעובד איתי על הנתבים וכו' יודע את הסיסמאות אליהם. וכו' וכו' אז בעצם אם אני נעלם מהשטח החברה לא תתתקע בלי המפתחות. חוץ מהסיסמא של הFW, זה רק אני יודע
בכל זאת צריך להשאיר משהו אצלי.
בתור אחד שגם יש לו אין ספור ציודים עם סיסמאות אני מבין על מה אתה מדבר. אבל אצלי נותר מצב שאני יודע את כל הסיסמאות ובנוסף אלי יש אנשים אחרים שיודעים את הסיסמאות הרלווטיות אליהם המפתחים יודעים את הROOT על השרתים. מי שעובד איתי על הנתבים וכו' יודע את הסיסמאות אליהם. וכו' וכו' אז בעצם אם אני נעלם מהשטח החברה לא תתתקע בלי המפתחות. חוץ מהסיסמא של הFW, זה רק אני יודע
זאת קצת הגזמה
כלומר, אם נופל הבניין, ואתה שורד, אתה+ה- DRP תוכלו להמשיך. אם נופל הבניין ואתה נהרג, ה- DRP ידרוש פריצה, או חילוץ הכספת מהריסות הבניין. יש נקודה שבה אתה עוצר, כי זה כבר מתחיל להיות מוגזם. אתה יכול להשאיר עותק של הסיסמאות בלוקר מסתורי בנמל התעופה, את המפתח ללוקר בתוך מזוודה קטנה, ואותה לשים אצל חבר, כאשר הרמזים למספר הלוקר ומיקומו נמצאים אצל שני אנשים אחרים לחלוטין, אחד מקודד בתוך תמונה, והשני חרות על לוח מתכתי. חלאס. קצת הגזמה. בכל אופן, אני זוכר את הסיסמאות (שהן דיי אחידות, בכל אופן) לאירגון, ושותפי לעבודה זוכר גם כן (אין רישום). כמו כן, סיסמאות לשרתים של גופים אחרים שאני מתחזק רשומים לי בפאלם, מוצפנים, ואם איבדתי את הפאלם, אני תמיד יכול לשחזר את ה pdb ולהוציא אותן. אנשים מאותם גופים מכירים גם את הסיסמאות, כך שגם פה יש כמעין "גיבוי" אנושי. אם נופל לי פסנתר על הראש, לא באמת יעניין אותי הסיסמאות, כשחושבים על זה לעומק.
כלומר, אם נופל הבניין, ואתה שורד, אתה+ה- DRP תוכלו להמשיך. אם נופל הבניין ואתה נהרג, ה- DRP ידרוש פריצה, או חילוץ הכספת מהריסות הבניין. יש נקודה שבה אתה עוצר, כי זה כבר מתחיל להיות מוגזם. אתה יכול להשאיר עותק של הסיסמאות בלוקר מסתורי בנמל התעופה, את המפתח ללוקר בתוך מזוודה קטנה, ואותה לשים אצל חבר, כאשר הרמזים למספר הלוקר ומיקומו נמצאים אצל שני אנשים אחרים לחלוטין, אחד מקודד בתוך תמונה, והשני חרות על לוח מתכתי. חלאס. קצת הגזמה. בכל אופן, אני זוכר את הסיסמאות (שהן דיי אחידות, בכל אופן) לאירגון, ושותפי לעבודה זוכר גם כן (אין רישום). כמו כן, סיסמאות לשרתים של גופים אחרים שאני מתחזק רשומים לי בפאלם, מוצפנים, ואם איבדתי את הפאלם, אני תמיד יכול לשחזר את ה pdb ולהוציא אותן. אנשים מאותם גופים מכירים גם את הסיסמאות, כך שגם פה יש כמעין "גיבוי" אנושי. אם נופל לי פסנתר על הראש, לא באמת יעניין אותי הסיסמאות, כשחושבים על זה לעומק.
איפה הגבול ?
בין מה שתיארת ובין להחזיק דף עם כל סיסמאות הארגון על השולחן של פקידת הקבלה יש מגוון רב מאד של אפשרויות.... אם מקימים אתר DRP ההנחה שצריך לקחת בחשבון היא שאנשי ה IT של הארגון לא יהיו זמינים להפעלת האתר (שים לב לניסוח הזהיר
). ואז לוקחים בחשבון שהארגון יביא מישהו מבחוץ להקים את העסק. אז לא עוזר אם בראש של אנשי ה SYSTEM היו הסיסמאות... תזכור דבר נוסף - אתה מתעסק בארגון יחיסת קטן, בוא ניקח בחשבון 10 סיסמאות ?. בארגון שלי יש לי להחזיק כ 100 סיסמאות ואני ארגון בינוני.... אין שום סיכוי שאפילו אנטי יצליח לזכור את כולן
(מה עוד שמדיניות הסיסמאות היא קשוחה למדי והן מתחלפות כל 90 ימים)... אז בכל זאת - חייבת להיות איזו דרך לשמור את הסיסמאות, שהן תהינה מעודכנות ושלא תהינה נגישות לזרים.... ו
- כבר התקנת YELLOWDOG ?
בין מה שתיארת ובין להחזיק דף עם כל סיסמאות הארגון על השולחן של פקידת הקבלה יש מגוון רב מאד של אפשרויות.... אם מקימים אתר DRP ההנחה שצריך לקחת בחשבון היא שאנשי ה IT של הארגון לא יהיו זמינים להפעלת האתר (שים לב לניסוח הזהיר
שני מפתחות ללוקר
וברצינות, אנשי סיסטם מיומנים מסוגלים לבצע password recovery, והם יוכלו לעשות זאת באתר ה- DRP. אם תדאג להחזיק עותק באתר ה DRP, פעם ב- 90 ימים תצטרך לרוץ לשם לשנות אותן. אם תחזיק עותק אצל פקידת הקבלה, מה ימנע ממישהו (כל מישהו זר) לגנוב אותו? מה יעזור לך במקרה שבו ה DRP הופך נחוץ (שים לב לניסוח העדין גם כן)? לשים עותק בכספת, אם יש, אירגונית, ולבנות על זה שבמקרה DRP, יוכלו להוציא אותה מההריסות.
וברצינות, אנשי סיסטם מיומנים מסוגלים לבצע password recovery, והם יוכלו לעשות זאת באתר ה- DRP. אם תדאג להחזיק עותק באתר ה DRP, פעם ב- 90 ימים תצטרך לרוץ לשם לשנות אותן. אם תחזיק עותק אצל פקידת הקבלה, מה ימנע ממישהו (כל מישהו זר) לגנוב אותו? מה יעזור לך במקרה שבו ה DRP הופך נחוץ (שים לב לניסוח העדין גם כן)? לשים עותק בכספת, אם יש, אירגונית, ולבנות על זה שבמקרה DRP, יוכלו להוציא אותה מההריסות.
אני יודע...
ש"אנשי סיסטם מיומנים מסוגלים לבצע password recovery" אבל הם יעברו בכל הנתבים ויעשו את זה? הם יעברו בכל הסוויצים ויעשו את זה? ברור לך שזה לא מעשי, נכון? כרגע מה שנראה לי זה מדיה כלשהי עם הקובץ שנשמרת בכספת מרוחקת (אתר ה DRP למשל) ומעדכנים אותה ידנית כל כמה זמן... ולא ענית לי על YELLOW DOG
ש"אנשי סיסטם מיומנים מסוגלים לבצע password recovery" אבל הם יעברו בכל הנתבים ויעשו את זה? הם יעברו בכל הסוויצים ויעשו את זה? ברור לך שזה לא מעשי, נכון? כרגע מה שנראה לי זה מדיה כלשהי עם הקובץ שנשמרת בכספת מרוחקת (אתר ה DRP למשל) ומעדכנים אותה ידנית כל כמה זמן... ולא ענית לי על YELLOW DOG
הםםם
ישבתי קצת, הקשבתי לכם וחשבתי לעצמי: בואו נגדיר מטרות ונגזור את כל השאר משם... [לדעתי]: המטרה: לאפשר המשך פעילות סדיר של החברה במקרה של אסון. משימה: לבצע תהליך DRP מוגדר מראש המאפשר לחברה להמשיך לבצע את פעילותה. מה שאני רואה כאן כקריטי: - המשך פעילות במינימום זמן מרגע תחילת תהליך DRP - גזירה של דברים לפי סדר עדיפויות הרעיון המבצעי: איתור הסיסמאות הקריטיות לתפעול בסיסי. דפ"א (דרך פעולה אפשרית): 1) דימוי תשתית החברה 1:1 תוך שימוש בכל הסיסמאות הקיימות 2) צימצום כמות הסיסמאות באתר DRP למינימום ההיגיון: הנחת היסוד היא שאתר DRP יופעל תחת אילוצים כאלה או אחרים (אנשי SYSTEM לא זמינים ?). תשתית: אישית, כל עוד לא מדובר באירגון שמחזיק סודות צבאיים, אפשר להסתדר עם תשתית ללא סיסמאות במתגים או סיסמאות גנריות מוגדרות מראש ושמורות באתר DRP בכספת חסינת אש בלה בלה בלה... צריך לזכור מה המטרה של אתר DRP: לאפשר לחברה להשמיך את פעילותה ולא ליצור תחרות של "מי זוכר יותר סיסמאות וכמה זמן לוקח לך להרים אתר 1:1". הדברים היותר חשובים באתר DRP, לדעתי, הם התעוד: יש מתגים ? תעד את הקונפיגורציה שלהם וציין שיש להגן על המתג בסיסמא שאפליקציה Z אח"כ משתמשת בה. יבוא איש SYSTEM מבחוץ להרים את האתר (אנשי SYSTEM מקוריים קצת עייפים) יקרא את התעוד, יבין מה רוצים ממנו, ישים סיסמא כשיתאפשר לו מבחינת לוח הזמנים ו/או סדר עדיפויות, יתעד אותה וימשיך הלאה. 100 סיסמאות ? למה ? אני לא רואה צורך ביותר מכמה סיסמאות על מנת לגרום לאתר DRP לעשות את מה שהוא אמור לעשות...
ישבתי קצת, הקשבתי לכם וחשבתי לעצמי: בואו נגדיר מטרות ונגזור את כל השאר משם... [לדעתי]: המטרה: לאפשר המשך פעילות סדיר של החברה במקרה של אסון. משימה: לבצע תהליך DRP מוגדר מראש המאפשר לחברה להמשיך לבצע את פעילותה. מה שאני רואה כאן כקריטי: - המשך פעילות במינימום זמן מרגע תחילת תהליך DRP - גזירה של דברים לפי סדר עדיפויות הרעיון המבצעי: איתור הסיסמאות הקריטיות לתפעול בסיסי. דפ"א (דרך פעולה אפשרית): 1) דימוי תשתית החברה 1:1 תוך שימוש בכל הסיסמאות הקיימות 2) צימצום כמות הסיסמאות באתר DRP למינימום ההיגיון: הנחת היסוד היא שאתר DRP יופעל תחת אילוצים כאלה או אחרים (אנשי SYSTEM לא זמינים ?). תשתית: אישית, כל עוד לא מדובר באירגון שמחזיק סודות צבאיים, אפשר להסתדר עם תשתית ללא סיסמאות במתגים או סיסמאות גנריות מוגדרות מראש ושמורות באתר DRP בכספת חסינת אש בלה בלה בלה... צריך לזכור מה המטרה של אתר DRP: לאפשר לחברה להשמיך את פעילותה ולא ליצור תחרות של "מי זוכר יותר סיסמאות וכמה זמן לוקח לך להרים אתר 1:1". הדברים היותר חשובים באתר DRP, לדעתי, הם התעוד: יש מתגים ? תעד את הקונפיגורציה שלהם וציין שיש להגן על המתג בסיסמא שאפליקציה Z אח"כ משתמשת בה. יבוא איש SYSTEM מבחוץ להרים את האתר (אנשי SYSTEM מקוריים קצת עייפים) יקרא את התעוד, יבין מה רוצים ממנו, ישים סיסמא כשיתאפשר לו מבחינת לוח הזמנים ו/או סדר עדיפויות, יתעד אותה וימשיך הלאה. 100 סיסמאות ? למה ? אני לא רואה צורך ביותר מכמה סיסמאות על מנת לגרום לאתר DRP לעשות את מה שהוא אמור לעשות...
הםםם 16
אני אענה לא לפי הסעיפים שלך: - תשתית ללא סיסמאות ?? אתה מוכן לקחת את הצ'אנס שהמשתמשים שלך ינסו לראות איך עובד סוויץ' סיסקו 4000 ? או שיבדקו אם ניתן לשנות לו הגדרות ולחבר את המחשב של הדודה לרשת? - לא מדובר בתחרות, מדובר בזה שהמחליף שלך (כי אתה, כזכור, נמצא מתחת לפסנתר) יוכל לתפקד ברשת בלי שיצטרך לפרוץ סיסמאות - איך אתה מצמצם את כמות הסיסמאות בזמן אסון? אני מזכיר לך שמדובר ברשת מבוזרת וכל האתרים האחרים ממשיכים לתפקד (או לפחות צריכים)... - למה צריך 100 סיסמאות? כי אתה מעוניין לתת סיסמה שונה לנתב, לסוויץ, לשרת, לאדמיניסטרטור מקומי בתחנות, ל ROOT ועוד ועוד... שלא לדבר על שרתים שנמצאים אצל ספק האינטרנט...
אני אענה לא לפי הסעיפים שלך: - תשתית ללא סיסמאות ?? אתה מוכן לקחת את הצ'אנס שהמשתמשים שלך ינסו לראות איך עובד סוויץ' סיסקו 4000 ? או שיבדקו אם ניתן לשנות לו הגדרות ולחבר את המחשב של הדודה לרשת? - לא מדובר בתחרות, מדובר בזה שהמחליף שלך (כי אתה, כזכור, נמצא מתחת לפסנתר) יוכל לתפקד ברשת בלי שיצטרך לפרוץ סיסמאות - איך אתה מצמצם את כמות הסיסמאות בזמן אסון? אני מזכיר לך שמדובר ברשת מבוזרת וכל האתרים האחרים ממשיכים לתפקד (או לפחות צריכים)... - למה צריך 100 סיסמאות? כי אתה מעוניין לתת סיסמה שונה לנתב, לסוויץ, לשרת, לאדמיניסטרטור מקומי בתחנות, ל ROOT ועוד ועוד... שלא לדבר על שרתים שנמצאים אצל ספק האינטרנט...
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.