«
»

עצור סיסמה!


כאשר הייתי צעיר ופרנואידי, האמנתי בסיסמאות ארוכות ומורכבות, ושיש להכריח את המשתמשים לשנותם כל שלושה חודשים.

כיום אני זקן ופראנואידי, אבל אולי מעט חכם יותר:

התוצאות ידועות:

אז מה לעשות? כמה כללי אצבע:

אם אתם עדיין סבורים ששינוי הסיסמא מהווה נדבך נוסף של אבטחה, ניחא. ישום כללי האצבע הללו יכול לאפשר לכם להגדיל את מרווח הזמן ולהקטין את הכללים הדראקוניים של שינוי הסיסמא. המתשמשים שלכם רק ישמחו.

אין פרסומים קשורים.

, , ,

This entry was posted on יום שישי, יולי 20th, 2007 and is filed under מערכות מידע, ניהול. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

  1. #1 by HN at 21 ביולי 2007

    רוב מה שכתבת נכון, אבל בגלל שההתייחסות שלך כוללנית מדי – קשה לי מאד אתה.
    ואני אסביר – אם אתה אחראי על אבטחת המידע של ארגון שהמתחרה שלו משקיע מיליונים (ואתה יודע את זה בוודאות כי המתחרה פנה גם אלייך) בניסיון לחדור למערכות שלו. גם אז תמליץ על סיסמאות פשוטות ולא להחליף אותן?
    או אם אתה תומך בחברה בעלת 5 משתמשים ושרת קבצים, גם אז תמליץ להגביל את המשתמשים למקסימום?
    התיאור שלך מתאים לפלח שוק מסויים, אמנם די נרחב אבל לא כול השוק.

    הגב צטט

    • #2 by גיל פרוינד at 21 ביולי 2007

      מאחורי הסיסמה נמצאים אנשים. מאותה שניה שבה אדם נתן (ביודעין או שלא ביודעין) את הסיסמה לאחר, כל מנגנוני בדיקת חוזק הסיסמאות והחלפתן חסרות משמעות.

      כרטיסים הכוללים סיסמאות חד פעמיות או כלים ביומטריים יכולים להוות תחליף, אך אז סוגיית הסיסמה הופכת להיות חסרת משמעות.

      הגב צטט

  2. #3 by ארתיום at 21 ביולי 2007

    הבעיה היא — איפה יושב הגבול הדק בין הרשאות המשתמש לבין יעילות של משתמש.

    דוגמה פשוטה: התקנת תכנה ע"י משתמשים.

    יש משמעות גדולה בנוחות העובדה, כלים זמינים, גמישות שמשפיעה על יעילות העובד.

    נכון שאפשר להגביל הרשאות, לדורש שכל פיפס קטן יעבוד דרך איש אבטחת מידע או טכנאי, אבל… ביזבוז זמן העובדים יהיה הרבה יותר יקר. הראיה של מנהל IT וראיה של עובדים שונה לחלוטין. לכן צריך לחפש דרכים לאבטח סביבה בלי לפגוע ביעילות של העובד.

    דוגמה פשוטה – לא צריך לוותר על סיסמאות, אבל כל הגישות המאובטחות צריכות לעבוד דרך אותה מערכת עם אותה סיסמה. ככה אני אוכל לזכור גם סיסמאות מורכבות ביותר. כי יש רק אחת כזו. (זו הגישה שנוקטים באוניברסיטת ת"א והיא מאוד יעילה ונוחה).

    my $0.02

    הגב צטט

    • #4 by גיל פרוינד at 21 ביולי 2007

      לא היה בכוונתי לומר כי יש לבטל את הסיסמאות בכלל. טענתי היא כי מערכות סיסמאות קשיחות ומסורבלות מדי (ראה אתרי הבנקים) או שימוש מוגזם בקפצ'ות (ראה אתר בזק) אינן משפרות את אבטחת המידע.

      האם על המנמ"ר לאפשר למשתמש מתוחכם להתקין תכנות? שאלה טובה. (גם אני מסתובב עם Putty ו-Vim על זכרון נתיק). אני אישית מאמין כי ניתן ליצור מדיניות המאפשרת למפתחים (או למשתמשים מתוחכמים) לשפר את סביבת העבודה שלהם.

      אם הראיה של מנהל ה-IT והעובדים שונה, הבעיה אינה טכנולוגית אלא ניהולית.

      הגב צטט

      • #5 by HN at 22 ביולי 2007

        לגבי איחוד סיסמאות – זו המגמה בעולם, בארץ משומה עדין לא רואים את זה מספיק. אבל זה ייכנס.

        הגב צטט

        • #6 by גיל פרוינד at 22 ביולי 2007

          לענין הסיסמאות: הסיסמאות באירגון הן רק חלק מכלל הסיסמאות שהמשתמש צובר לו. Single Sign On יחסוך כצת כאבר ראש אירגוני, אבל עדיין לא פותר את בעית המשתמש.

          לעניין ניהול וגודל: כאמור, הסוגיה הראשונית היא לא טכנית אלא ניהולית. מנהל IT אינו שונה ממנהל כספים, תפעול או רכש.

          הגב צטט

  3. #7 by ניצן ברומר at 30 ביולי 2007

    הבעיה היא לא סיסמא, הבעיה היא אנשי IT לא מבריקים במיוחד שבוחרים בפתרונות ה"קלים" מבלי להבין את הנזק שזה גורם לאירגון.

    הגב צטט

  4. #8 by גיל פרוינד at 8 באוגוסט 2007

    הגב צטט
(לא יפורסם)
  1. אין עדיין הפניות.