Про пароли Никита Михеенков в фейсбуке поднял тему хранения п | Диванный менеджер

Про пароли

Никита Михеенков в фейсбуке поднял тему хранения паролей в компании.
Никита вообще один из главных экспериментаторов в деле оптимизации работы агентства, он с командой внедряет десятки самых разных инструментов по всем направлениям и часто рассказывает про этот опыт там же, в фейсбуке. По случаю рекомендую на него подписаться.

Вы щас можете сказать типа «Ой да любой дурак знает какие и где надо устанавливать пароли». Это супер, вы красавчики если все делаете по науке. Но если вдруг у вас доступ к рабочему компу вообще не запаролен, а в почте пароль qwerty123, то у меня к вам серьезный разговор.
Но сначала байки.

История от подписчика:
— В поезде Питер-Москва я залез в админку модема который вайфай на поезд раздавал. Подключился к точке, посмотрел какой адрес у корневого хоста (обычно 192.168.1.1 или 192.168.10.1), пошел туда. Там заботливо торчит морда админки с инфой про модем. Я загуглил «default password XXXYYY» (XXXYYY — модель модема), по похожей ссылке автор любезно написал дефолтный логин и пароль.

А я была свидетелем вот такой ситуации.
Разрабочик приложения для доступа к админке установил логин и пароль admin / admin. Менеджер посылает ссылку на приложение клиенту (причем не на админку), через пару часов в почту менеджеру падают скриншоты изнутри админки с комментарием «кажется, у вас проблемы с безопасностью». Сын заказчика залез в код страницы, нашел ссылку на админку, ввел самую популярную пару и зашел; заняло это две минуты.

Как видите, чтобы ввзломать что угодно не надо быть хакером.
Если вы не хотите оказаться на месте менеджера из второй истории, давайте повторим основы.

1. Пароли всегда и везде должны быть такими, чтобы никто кроме вас не мог догадаться или путем ручного перебора его узнать. Понятно, что он может не спасти от целенаправленного взлома с помощью специализированного софта, но давайте хотя бы не будем выставлять себя дураками и заставим этих хакеров немного попотеть.

Поэтому никаких девичьих фамилий матери, дат рождения или кличек домашних животных. Всегда только латиница с заглавными и строчными буквами + цифры + спец.символы.
Обычно человеку достаточно одного-двух сложных паролей на все случаи жизни. Так что вы уж поднапрягитесь один раз, придумайте такой и выучите его наизусть. Никаких «запишу на бумажке» — эта бумажка может попасть в руки врагов или потеряться. Тем более не сохраняйте доступы в облачных сервисах типа Эверноута, ГуглДоков, Ноушена и т.п. А то одним прекрасным днем Яндекс опять проиндексирует все гуглдоки и будет вам счастье.
Да, будет сложно, потерпите.

2. Меняйте пароли минимум раз в полгода. Всегда придумывайте новые при смене работы, особенно если у вас остаются какие-то сквозные доступы (например, к тому же ГуглДиску — если он ваш персональный, но пользуетесь вы им и по работе). Всегда меняйте пароли, если один из сервисов пытались взломать или есть подозрение, что доступы скомпрометированы. Поставьте напоминалки, чтобы не забыть. Это тот самый случай, когда надо перебороть лень, просто взять и сделать.

3. Если вам по работе нужно постоянно придумывать много новых доступов — допустим, вы регистрируете личные кабинеты для клиентов — придумайте принцип, по которому вы их будете генерировать. На одном из предыдущих мест работы мне нужно было менять доступы к системе раз в три месяца. Можно конечно было делать так:
- пароль I квартала Username1
- пароль II квартала Username12
- пароль III квартала Username123
Формально пароль сменила, но и новый не надо учить.
Но мы не ищем легких путей, поэтому я придумала так: берешь имя первого попавшегося человека, пишешь его латиницей, часть букв меняешь на символы как раньше писали транслитом и еще пихаешь каких-нибудь цифр.
Получается если имя первой встречной коллеги Арина, то пароль будет Ar3EN1@H