Кто как борется с паролями на бумажках рядом с ПК?

Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками
Глава 1. О работниках

Однажды Сисадмин пожаловался Учителю:

– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

Инь Фу Во спросил:

– Сначала скажи, почему они это делают.

Сисадмин подумал и ответил:

– Может быть, они не считают пароль ценным?

– А разве пароль сам по себе ценный?

– Не сам по себе. Ценна информация, которая под паролем.

– Для кого она ценна?

– Для нашего предприятия.

– А для пользователей?

– Для пользователей, видимо, нет.

– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

– Что для них ценно? – спросил Сисадмин.

– Догадайся с трёх раз, – рассмеялся Учитель.

Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

forensics.ru/InFuWo.htm

У самого опыта по этому вопросу нет, увы. Однако видел в одном офисе забавную систему.

Любой человек отправивший с чужого компьютера сообщение ( какой то мессенжер ) со своим адресом email получает 10% от зарплаты человека, который забыл разлогиниться.

Коллектив там был крайне стервозный и каждый берег свой пароль как зеницу ока.

У нас есть специально обученный человек, в должности офицера по безопасности (Security Officer), который регулярно проходит по рабочим местам и смотрит на незакрытые сессии, пароли на бумажках и т.д. Если найдет компьютер без надзора с отрытым доступом или бумажки с паролями, то он открывает почту с компьютера сотрудника и пишет что-либо от его имени. На первый раз это может быть рассылка всем сотрудникам сообщения типа: «Я самый крутой, а вы все лохи». Типа шутка такая, но действует на 99%. Если же человек попался во второй раз (у нас было всего один раз), то безопасник пишет с компьютера сотрудника письмо в отдел кадров с просьбой перенести отпуск на конец ноября. Третьего раза у нас не было. :-)

Кто как борется с паролями на бумажках рядом с ПК?
Шредером?

01 апреля, 2004

Определение ответственности за нарушение ТПИБ — несомненно, один из важнейших разделов самой политики. Если не будет предусмотрено действенных наказаний за нарушение политики, то сама политика будет неработоспособна. Это аксиома. В данной статье автор делится опытом «закрытых контор» борьбы с внутренними нарушителями требований Политики информационной безопасности (ТПИБ).

www.securitylab.ru/analytics/216341.php

А самое главное — задачу на защиту данных в организации (пароли, токены, шифрование и т.д.) должен поставить вам руководитель. У нас на работе руководителю предприятия все равно на пароли и защиту данных (у него у самого пароль почти что 12345), все мои увещевания про безопасность и т.д. воспринимаются с улыбкой. Теперь и я на бумажки с паролями сотрудников на мониторах смотрю с улыбкой.

Я думаю, лечится только штрафами по зарплате.
Это, конечно, если у вас пользователи сами себе пароли устанавливают.
Если пароли выдаются сисадмином, то в любом случае хотя бы несколько дней этот пароль будет храниться у юзера где-то на бумажке или в черновиках сообщений в телефоне, пока пользователь не запомнит его.

После работы меняеш пароль на бумажках, старую уничтожаеш.

А утром следующего дня «просыпаеш» работу.

Можно ввести сканеры отпечатков пальцев.

Тут решения 4 как правило:
(1) если есть корпоративные устройства (например телефоны сотрудников и т.д.) — то обновлять пароль после входа по старому, а новый пароль отправляет на персональное устройство сотрудника
(2) привязать личную переписку, уровень з.п. и т.д. к паролю сотрудника
(3) штрафы, штрафы и еще раз штрафы — по прогрессивной шкале — т.е. сначала 5$, 50$, 500$, 5000$ — это поможет сотрудникам понять что пароли не стоит писать на бумажках
(4) использовать токены вместо паролей, а в токен встроить смарт-карты для входа в служебные помещения — это решает проблему, если токен потерян, то человек не войдет-выйдет из помещения (и естественно на самом токене тоже должен быть пароль)

Это означает только неправильную организацию. Если кому-то может быть позарез нужно читать чужую почту, есть разные решения кроме открытия пароля. Например, переадресация писем на время отпуска сотрудника. Или групповой адрес для подобных контактов, чтобы переписку видели все заинтересованные. Чужой пароль может быть нужен только от лени или бездарности админов.

kepassx, до этого exсel файл был, некоторые помню, для некоторых есть маска и тоже помню, например слово или фраза и к ней дописывать имя ресурса к которому нужен пароль, набирать русские слова когда включен инглиш:
ЯЛюблюПеченькиХабрахабр — ZK.,k.Gtxtymrb{f,hf[f,h
ЯЛюблюПеченькиВконтакте — ZK.,k.GtxtymrbDrjynfrnt

У нас проще. Основная рабочая программа логгирует действия пользователя. Если сел другой и накосячил — прилетит основному пользователю. Пользователи об этом предупреждены, и потому пароли не развешивают где попало.