Как окончательно защитить данные пользователей?

Question

Иван @deam11

Как окончательно защитить данные пользователей?

Всем привет

Прошу помощи или совета как быть.

Ряд пользователей работают с критичными данными.
Носители зашифрованы, все регламентные процедуры прописаны, все работает..
Но - периодически замечаю пароли на ПК и в других легко доступных местах.
Наказывать регламентно уже бесполезно, хочется найти технический выхд

Как финально оградиться от возможной потери данных ?

Сейчас: Пользователь вводит два пароля (вход в систему и пароль на расшифровку)
Пароль записан на листочке и вложен в ноутбук
Гудбай безопасность...

Хочется: Пользователь вводит два пароля (вход в систему и пароль на расшифровку) + доп действие (втыкает флешку или втыкает флешку и вводит пароль от нее, запускает программу или что еще можно придумать, что точно нельзя будет записать на листочек в явном виде)
Вот какое доп действие можно реализовать ?

p.s. в целом я даже готов пожертвовать данными на ПК (все данные бэкапятся), если будет удаление при отсутствии доп действие _))

Заранее всем спасибо

Вопрос задан более трёх лет назад
800 просмотров

4 комментария

Подписаться 6 Простой 4 комментария

riot26 @riot26

Первопричина в неудобстве куч паролей. Можно посмотреть в сторону аппаратных ключей и чего-то придумать.

Написано более трёх лет назад
Moskus @Moskus

Сценарий описан не полностью. Например, должны ли сотрудники иметь возможность работать с данными только на рабочем месте или откуда угодно?

Написано более трёх лет назад
Иван @deam11 Автор вопроса

Moskus, работа откуда угодно

Написано более трёх лет назад
Moskus @Moskus

Иван, тогда - временные пароли в той или иной форме (не обязательно именно в виде паролей).

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 11

2 комментария

xmoonlight @xmoonlight

Входишь под учёткой пользователя по паролю с бумажки, удаляешь важные файлы и пишешь матерное письмо гендиру.
Это уже минимум статья за умышленную порчу данных компании и злоупотребление своим административным положением! (и это - не самое худшее!)

Написано более трёх лет назад
Сергей Горностаев @sergey-gornostaev

xmoonlight, прежде всего уточню, что я тоже считаю такие действия плохими и непрофессиональными.

статья за умышленную порчу данных компании

Бэкапы есть всегда.

злоупотребление своим административным положением

Это работает только в двух случаях. Если кто-нибудь может доказать, что это сделал именно ты. И если получивший матерное письмо директор не в сговоре с тобой. В свою админскую бытность я очень быстро получал от руководства картбланш вообще на любые действия по наведению порядка.

Написано более трёх лет назад

6 комментариев

Комментировать

1 комментарий

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
Хранение данных

Простой
Синхронизация отдельных файлов из разных папок с облаком без симлинков?
- 1 подписчик
- вчера
- 38 просмотров
1

ответ
Шифрование

Средний
Возможно ли взломать шифр Вернама на псевдослучайных числах?
- 2 подписчика
- 17 апр.
- 154 просмотра
4

ответа
Хранение данных

+4 ещё

Средний
Есть ли файловое хранилище аналогичное NextCloud с другой структуризацией?
- 2 подписчика
- 17 апр.
- 124 просмотра
2

ответа
Шифрование

Средний
Насколько отличается шифр Вернама через суммирование и xor??
- 2 подписчика
- 16 апр.
- 68 просмотров
1

ответ
Debian

+1 ещё

Простой
Как автоматически расшифровывать root раздел через usb ключ?
- 1 подписчик
- 15 апр.
- 48 просмотров
0

ответов
Информационная безопасность

+4 ещё

Простой
Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?
- 1 подписчик
- 07 апр.
- 82 просмотра
0

ответов
Windows

+4 ещё

Средний
Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?
- 2 подписчика
- 07 апр.
- 212 просмотров
1

ответ
Python

+1 ещё

Простой
Как хранить большие объёмы текста?
- 1 подписчик
- 07 апр.
- 188 просмотров
1

ответ
Linux

+1 ещё

Средний
Как обезопасить клиентские ПК? шифрование?
- 2 подписчика
- 05 апр.
- 807 просмотров
1

ответ
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Специалист по информационной безопасности

Данафлекс • Казань

от 90 000 ₽

Архитектор ИБ

АШАН ТЕХ • Москва

от 175 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Первопричина в неудобстве куч паролей. Можно посмотреть в сторону аппаратных ключей и чего-то придумать.
Сценарий описан не полностью. Например, должны ли сотрудники иметь возможность работать с данными только на рабочем месте или откуда угодно?
Иван, тогда - временные пароли в той или иной форме (не обязательно именно в виде паролей).

Answer 1 · 2018-10-25 06:33:40

Административные методы вполне работают, если руководство действительно озабочено безопасностью. Штрафы и увольнения никого не оставляют равнодушными. Если к столь радикальным мерам компания не готова, то хорошо зарекомендовал себя админский садизм:

При обнаружении пароля на бумажке, пароль изменяется, а ограничение на длину пароля для этого пользователя увеличивается на один символ.
Входишь под учёткой пользователя по паролю с бумажки, удаляешь важные файлы и пишешь матерное письмо гендиру.

Answer 2 · 2018-10-25 01:11:08

xmoonlight @xmoonlight

https://sitecoder.blogspot.com

https://www.rohos.com/ (2FA:OTP; USB flash drive, SD-memory cards, U2F keys, Yubikey, PKCS#11 security dongles like SafeNet iKey and popular RFID cards)

Ответ написан более трёх лет назад

6 комментариев

Answer 3 · 2018-10-25 06:19:20

Пароль записан на листочке и вложен в ноутбук

Бороться с этим можно двумя методами.
1)Если данные действительно критичные - увольнение.
2)Если данные не настролько критичные - сделать меньше паролей и сами пароли проще.

Answer 4 · 2018-10-29 22:58:57

у меня на работе все проше и сложнее. для особо забывчивых заставляю пароли сохранять в сотовом телефоне под вымышленным именем создаешь смс-ку. туда все и записываешь. пока работает, бумажки исчезли. если телефон и потеряется, то кто узнает где и что пароль, а главное куда его воткнуть.

Answer 5 · 2018-11-28 13:35:42

Ряд пользователей работают с критичными данными.
Носители зашифрованы, все регламентные процедуры прописаны, все работает..
Но - периодически замечаю пароли на ПК и в других легко доступных местах.
Наказывать регламентно уже бесполезно, хочется найти технический выхд

Такое регламентно обоснованное и технически организованное средство как регулярная смена паролей и заставляет пользователей записывать пароли. Был бы один на 100 лет - запомнили бы.

Найти другой путь, что не напрягает людей, что не мешает им работать.

Та же частая смена паролей - это хорошая отмазка для службы безопасности ("мы свою работу выполнили - это пользователи сами виноваты"). Но это не решение проблем.

Answer 6 · 2018-10-25 01:23:43

Смотрите в сторону двухфакторной аутентификации, благо есть готовые решения, вот например для php. В итоге получится: пользователь вводит два пароля(вход в систему и пароль на расшифровку) + доп действие(ввод кода, который они будут получать через приложение на своем телефоне, например Google Authenticator).

Answer 7 · 2018-10-25 02:30:16

Google Authenticator Юзер вводит пароль, а второй пароль ему приходят на мобильное приложение, и он должен его переписать и ввести. По сути такой же метод как в Steam Guard.

Answer 8 · 2018-10-25 05:16:29

А вы уверены что наращивание такой безопасности устраивает бизнесс? Вы примерно хотя бы просчитывали риски? Что касается бумажек с паролями... у вас внедрена политика ИБ? Быть может вам проще провести некую очную ставку и сделать внутренний мини пентест, тем самым сымитировать действия злоумышленника? А по результату указать руководству на некомпетентных сотрудников?

Answer 9 · 2018-10-25 09:07:17

технические методы не помогут, при использовании токенов - токены будут лежать в ящике стола (в лучшем случае).
только орг методы: ослабление парольной политики где это можно (1 пароль, меньше требований по стойкости и частоте смены), повышение осведомлённости, там где можно и нужно - показательная порка.

Answer 10 · 2018-10-25 11:30:01

Биометрию с них собирайте, отпечатками пальцев они точно не поделятся и не забудут. А флешки будут теряться, потом хакеры буду делать флешки с вирусами. А палец можно только отрезать.

Answer 11 · 2018-11-01 07:19:10

В чем работает?
Доменные аккаунты?
Какие?
Браузеры какие-то используете?
Отсюда надо смотреть.
Домены в Гугле позволяют иметь довольно жёсткий контроль, и настройки Хрома для доменных аккаунтов тоже имеют тонкие настройки.

Если что-то другое - то тут не сильна

Как окончательно защитить данные пользователей?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт