‫תגובות לפוסט: "עצור סיסמה!"‬ http://smb.sysnet.co.il/archives/152 ‫הבלוג של גיל פרוינד - סיסנט‬ Thu, 20 Oct 2011 18:39:14 +0000 hourly 1 http://wordpress.org/?v=3.3.1
profile
 ‫מאת: גיל פרוינד‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-456 ‫גיל פרוינד‬ Wed, 08 Aug 2007 16:39:32 +0000 http://smb.sysnet.co.il/archives/152#comment-456 ‫עוד דעה: <a href="http://www.oreillynet.com/onlamp/blog/2007/08/passwords_just_another_beauroc.html" rel="nofollow">Passwords: just another bureaucratic annoyance</a>‬ עוד דעה: Passwords: just another bureaucratic annoyance

]]> ‫מאת: ניצן ברומר‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-447 ‫ניצן ברומר‬ Mon, 30 Jul 2007 07:38:09 +0000 http://smb.sysnet.co.il/archives/152#comment-447 ‫הבעיה היא לא באירגונים קטנים אלא דווקא באירגונים גדולים. מפתח למשל, אינו שקול לאיש שיווק או איש תוכן - אבל, ברוב המקומות בוחרים להגדיר את כולם בתור user בסיסי ולהגדיר מדיניות קשיחה - כמו למשל - איסור על חיבור USB. ואז מגיע איש המכירות, עובד על מצגת ומנסה להעלות אותה על הזיכרון הנייד שלו - ויוק, הוא לא מסוגל. המפתח, מגלה שהוא לא יכול להתקין (או לעדכן) כלי פיתוח חיוני, או יתרה מכך - אפילו לא יכול להריץ את התוכנה עליה הוא עובד בגלל בעיות הרשאות. הבעיה היא לא סיסמא, הבעיה היא אנשי IT לא מבריקים במיוחד שבוחרים בפתרונות ה"קלים" מבלי להבין את הנזק שזה גורם לאירגון.‬ הבעיה היא לא באירגונים קטנים אלא דווקא באירגונים גדולים. מפתח למשל, אינו שקול לאיש שיווק או איש תוכן – אבל, ברוב המקומות בוחרים להגדיר את כולם בתור user בסיסי ולהגדיר מדיניות קשיחה – כמו למשל – איסור על חיבור USB.
ואז מגיע איש המכירות, עובד על מצגת ומנסה להעלות אותה על הזיכרון הנייד שלו – ויוק, הוא לא מסוגל. המפתח, מגלה שהוא לא יכול להתקין (או לעדכן) כלי פיתוח חיוני, או יתרה מכך – אפילו לא יכול להריץ את התוכנה עליה הוא עובד בגלל בעיות הרשאות.

הבעיה היא לא סיסמא, הבעיה היא אנשי IT לא מבריקים במיוחד שבוחרים בפתרונות ה"קלים" מבלי להבין את הנזק שזה גורם לאירגון.

]]> ‫מאת: גיל פרוינד‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-427 ‫גיל פרוינד‬ Sun, 22 Jul 2007 15:10:48 +0000 http://smb.sysnet.co.il/archives/152#comment-427 ‫לענין הסיסמאות: הסיסמאות באירגון הן רק חלק מכלל הסיסמאות שהמשתמש צובר לו. Single Sign On יחסוך כצת כאבר ראש אירגוני, אבל עדיין לא פותר את בעית המשתמש. לעניין ניהול וגודל: כאמור, הסוגיה הראשונית היא לא טכנית אלא ניהולית. מנהל IT אינו שונה ממנהל כספים, תפעול או רכש.‬ לענין הסיסמאות: הסיסמאות באירגון הן רק חלק מכלל הסיסמאות שהמשתמש צובר לו. Single Sign On יחסוך כצת כאבר ראש אירגוני, אבל עדיין לא פותר את בעית המשתמש.

לעניין ניהול וגודל: כאמור, הסוגיה הראשונית היא לא טכנית אלא ניהולית. מנהל IT אינו שונה ממנהל כספים, תפעול או רכש.

]]> ‫מאת: HN‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-421 ‫HN‬ Sun, 22 Jul 2007 05:38:12 +0000 http://smb.sysnet.co.il/archives/152#comment-421 ‫הראיה של מנהל ה IT והמשתמשים היא שונה בהגדרתה. מה יעשה מנהל IT בחברה שיש בה 10K משתמשים ומתוכם 500 מפתחים? יעבור שם שם לראות מי "משתמש מתוחכם"? מה הקריטריונים? פה דווקא יצירת סביבות עבודה מנותקות יכולות לעזור. לגבי סיסמה - יש תמיד את הדילמה הזו - סיסמה חזקה מדי תגרום למנהל/ת החשבונות לרשום אותה בתחתית המקלדת ו/או בפתק על לוח המודעות (המתוחכמים/ות ישמרו את הפתק במגירה). מצד שני סיסמה חלשה (ואני הכרתי לא מעט שהשתמשו , באופן מפתיע, בתאריך הלידה שלהם) לא תצריך brute force ואפילו לא force בכלל... רק ניחוש בסיסי... בין שתי הגישות - אני בעד הגישה של סיסמה חזקה אבל בצורה הגיונית (נגיד 8 תווים ו3 קומפלקס) יחד עם חינוך והסברה תמידיים. לגבי איחוד סיסמאות - זו המגמה בעולם, בארץ משומה עדין לא רואים את זה מספיק. אבל זה ייכנס.‬ הראיה של מנהל ה IT והמשתמשים היא שונה בהגדרתה.
מה יעשה מנהל IT בחברה שיש בה 10K משתמשים ומתוכם 500 מפתחים? יעבור שם שם לראות מי "משתמש מתוחכם"? מה הקריטריונים? פה דווקא יצירת סביבות עבודה מנותקות יכולות לעזור.
לגבי סיסמה – יש תמיד את הדילמה הזו – סיסמה חזקה מדי תגרום למנהל/ת החשבונות לרשום אותה בתחתית המקלדת ו/או בפתק על לוח המודעות (המתוחכמים/ות ישמרו את הפתק במגירה). מצד שני סיסמה חלשה (ואני הכרתי לא מעט שהשתמשו , באופן מפתיע, בתאריך הלידה שלהם) לא תצריך brute force ואפילו לא force בכלל… רק ניחוש בסיסי…
בין שתי הגישות – אני בעד הגישה של סיסמה חזקה אבל בצורה הגיונית (נגיד 8 תווים ו3 קומפלקס) יחד עם חינוך והסברה תמידיים.

לגבי איחוד סיסמאות – זו המגמה בעולם, בארץ משומה עדין לא רואים את זה מספיק. אבל זה ייכנס.

]]> ‫מאת: גיל פרוינד‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-419 ‫גיל פרוינד‬ Sat, 21 Jul 2007 18:59:38 +0000 http://smb.sysnet.co.il/archives/152#comment-419 ‫לא היה בכוונתי לומר כי יש לבטל את הסיסמאות בכלל. טענתי היא כי מערכות סיסמאות קשיחות ומסורבלות מדי (ראה אתרי הבנקים) או שימוש מוגזם בקפצ'ות (ראה אתר בזק) אינן משפרות את אבטחת המידע. האם על המנמ"ר לאפשר למשתמש מתוחכם להתקין תכנות? שאלה טובה. (גם אני מסתובב עם Putty ו-Vim על זכרון נתיק). אני אישית מאמין כי ניתן ליצור מדיניות המאפשרת למפתחים (או למשתמשים מתוחכמים) לשפר את סביבת העבודה שלהם. אם הראיה של מנהל ה-IT והעובדים שונה, הבעיה אינה טכנולוגית אלא ניהולית.‬ לא היה בכוונתי לומר כי יש לבטל את הסיסמאות בכלל. טענתי היא כי מערכות סיסמאות קשיחות ומסורבלות מדי (ראה אתרי הבנקים) או שימוש מוגזם בקפצ'ות (ראה אתר בזק) אינן משפרות את אבטחת המידע.

האם על המנמ"ר לאפשר למשתמש מתוחכם להתקין תכנות? שאלה טובה. (גם אני מסתובב עם Putty ו-Vim על זכרון נתיק). אני אישית מאמין כי ניתן ליצור מדיניות המאפשרת למפתחים (או למשתמשים מתוחכמים) לשפר את סביבת העבודה שלהם.

אם הראיה של מנהל ה-IT והעובדים שונה, הבעיה אינה טכנולוגית אלא ניהולית.

]]> ‫מאת: גיל פרוינד‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-418 ‫גיל פרוינד‬ Sat, 21 Jul 2007 18:49:58 +0000 http://smb.sysnet.co.il/archives/152#comment-418 ‫האמת, כן. סיסמה משולה לשומר בכניסה למרכול השואל "יש לך נשק?" סיסמה חזקה משולה לשומר, שלאחר שענית "לא", שואל: "אתה בטוח?" (סיפור אמיתי) מאחורי הסיסמה נמצאים אנשים. מאותה שניה שבה אדם נתן (ביודעין או שלא ביודעין) את הסיסמה לאחר, כל מנגנוני בדיקת חוזק הסיסמאות והחלפתן חסרות משמעות. כרטיסים הכוללים סיסמאות חד פעמיות או כלים ביומטריים יכולים להוות תחליף, אך אז סוגיית הסיסמה הופכת להיות חסרת משמעות.‬ האמת, כן. סיסמה משולה לשומר בכניסה למרכול השואל "יש לך נשק?"
סיסמה חזקה משולה לשומר, שלאחר שענית "לא", שואל: "אתה בטוח?" (סיפור אמיתי)

מאחורי הסיסמה נמצאים אנשים. מאותה שניה שבה אדם נתן (ביודעין או שלא ביודעין) את הסיסמה לאחר, כל מנגנוני בדיקת חוזק הסיסמאות והחלפתן חסרות משמעות.

כרטיסים הכוללים סיסמאות חד פעמיות או כלים ביומטריים יכולים להוות תחליף, אך אז סוגיית הסיסמה הופכת להיות חסרת משמעות.

]]> ‫מאת: ארתיום‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-417 ‫ארתיום‬ Sat, 21 Jul 2007 13:16:40 +0000 http://smb.sysnet.co.il/archives/152#comment-417 ‫הבעיה היא -- איפה יושב הגבול הדק בין הרשאות המשתמש לבין יעילות של משתמש. דוגמה פשוטה: התקנת תכנה ע"י משתמשים. - אני עובד בסביבה שבה כווולם עובדים עם מסוף telnet של חברה מסויימת. לספר שהוא גרוע זה לא לספר כלום. התקנתי PuTTy שעובד הרבה יותר מהר, הרבה יותר נוח לתפעול, ובעל יותר אפשרויות. בנוסף להכל הוא גם אמור להיות מספיק בטח מכיוון שזו תכנה חופשית וידועה. אז האם להגביל אותי? - במקום שאני עובד בו, מעט מכירים מה זה cygwin כי הם רגילים לסביבת MS נקיה עם VS ושאר הדברים. האם אפשר להגביל אותי בהתקנה של cygwin שיכולה לשפר את יעילות העובד פלאים? - במקום עבודה שלי אני עובד הרבה עם VMS. אין שם כלים להשוואה ומיזוג קבצים (נורא ואיום). באתי, התאמצתי התקנתי vim עם אפשרות vimdiff והעבודה שהייתה אמורה לקחת לי 2-3 שבועות (מיזוג שינויים מאוד גדולים ממערכת אחת לשניה) לקחה לי שבוע בזכות כלים שאף אחד לא עובד איתם אבל הם מייעלים את התהליך. יש משמעות גדולה בנוחות העובדה, כלים זמינים, גמישות שמשפיעה על יעילות העובד. נכון שאפשר להגביל הרשאות, לדורש שכל פיפס קטן יעבוד דרך איש אבטחת מידע או טכנאי, אבל... ביזבוז זמן העובדים יהיה הרבה יותר יקר. הראיה של מנהל IT וראיה של עובדים שונה לחלוטין. לכן צריך לחפש דרכים לאבטח סביבה בלי לפגוע ביעילות של העובד. דוגמה פשוטה - לא צריך לוותר על סיסמאות, אבל כל הגישות המאובטחות צריכות לעבוד דרך אותה מערכת עם אותה סיסמה. ככה אני אוכל לזכור גם סיסמאות מורכבות ביותר. כי יש רק אחת כזו. (זו הגישה שנוקטים באוניברסיטת ת"א והיא מאוד יעילה ונוחה). my $0.02‬ הבעיה היא — איפה יושב הגבול הדק בין הרשאות המשתמש לבין יעילות של משתמש.

דוגמה פשוטה: התקנת תכנה ע"י משתמשים.

- אני עובד בסביבה שבה כווולם עובדים עם מסוף telnet של חברה מסויימת. לספר שהוא גרוע זה לא לספר כלום. התקנתי PuTTy שעובד הרבה יותר מהר, הרבה יותר נוח לתפעול, ובעל יותר אפשרויות. בנוסף להכל הוא גם אמור להיות מספיק בטח מכיוון שזו תכנה חופשית וידועה. אז האם להגביל אותי?
- במקום שאני עובד בו, מעט מכירים מה זה cygwin כי הם רגילים לסביבת MS נקיה עם VS ושאר הדברים. האם אפשר להגביל אותי בהתקנה של cygwin שיכולה לשפר את יעילות העובד פלאים?
- במקום עבודה שלי אני עובד הרבה עם VMS. אין שם כלים להשוואה ומיזוג קבצים (נורא ואיום). באתי, התאמצתי התקנתי vim עם אפשרות vimdiff והעבודה שהייתה אמורה לקחת לי 2-3 שבועות (מיזוג שינויים מאוד גדולים ממערכת אחת לשניה) לקחה לי שבוע בזכות כלים שאף אחד לא עובד איתם אבל הם מייעלים את התהליך.

יש משמעות גדולה בנוחות העובדה, כלים זמינים, גמישות שמשפיעה על יעילות העובד.

נכון שאפשר להגביל הרשאות, לדורש שכל פיפס קטן יעבוד דרך איש אבטחת מידע או טכנאי, אבל… ביזבוז זמן העובדים יהיה הרבה יותר יקר. הראיה של מנהל IT וראיה של עובדים שונה לחלוטין. לכן צריך לחפש דרכים לאבטח סביבה בלי לפגוע ביעילות של העובד.

דוגמה פשוטה – לא צריך לוותר על סיסמאות, אבל כל הגישות המאובטחות צריכות לעבוד דרך אותה מערכת עם אותה סיסמה. ככה אני אוכל לזכור גם סיסמאות מורכבות ביותר. כי יש רק אחת כזו. (זו הגישה שנוקטים באוניברסיטת ת"א והיא מאוד יעילה ונוחה).

my $0.02

]]> ‫מאת: HN‬ http://smb.sysnet.co.il/archives/152/comment-page-1#comment-416 ‫HN‬ Sat, 21 Jul 2007 05:22:04 +0000 http://smb.sysnet.co.il/archives/152#comment-416 ‫רוב מה שכתבת נכון, אבל בגלל שההתייחסות שלך כוללנית מדי - קשה לי מאד אתה. ואני אסביר - אם אתה אחראי על אבטחת המידע של ארגון שהמתחרה שלו משקיע מיליונים (ואתה יודע את זה בוודאות כי המתחרה פנה גם אלייך) בניסיון לחדור למערכות שלו. גם אז תמליץ על סיסמאות פשוטות ולא להחליף אותן? או אם אתה תומך בחברה בעלת 5 משתמשים ושרת קבצים, גם אז תמליץ להגביל את המשתמשים למקסימום? התיאור שלך מתאים לפלח שוק מסויים, אמנם די נרחב אבל לא כול השוק.‬ רוב מה שכתבת נכון, אבל בגלל שההתייחסות שלך כוללנית מדי – קשה לי מאד אתה.
ואני אסביר – אם אתה אחראי על אבטחת המידע של ארגון שהמתחרה שלו משקיע מיליונים (ואתה יודע את זה בוודאות כי המתחרה פנה גם אלייך) בניסיון לחדור למערכות שלו. גם אז תמליץ על סיסמאות פשוטות ולא להחליף אותן?
או אם אתה תומך בחברה בעלת 5 משתמשים ושרת קבצים, גם אז תמליץ להגביל את המשתמשים למקסימום?
התיאור שלך מתאים לפלח שוק מסויים, אמנם די נרחב אבל לא כול השוק.

]]>