Безопасность превыше всего!

[green_fr]

Удивительно, как сложно даётся понятие безопасности. Я регулярно вспоминаю мемуары Фейнмана, где он рассказывает, как, работая над проектом «Манхеттен», он научился подбирать коды к сейфам коллег. Пришёл к местному гебешнику, рассказал, показал — на что тот, вместо того, чтобы каким-то образом улучшить качество замков, выпустил директиву, запрещающую Фейнману подходить к сейфам коллег.

1. Забыл я код доступа к банку одной из наших ассоциаций. А кнопка «восстановить пароль» предлагает немедленно взять кредитку (у нас нет кредитки) и телефон с приложением банка (у нас нет приложения банка). Звоню в поддержку — о, говорят, как всё запущенно! Вам нужно идти в агенство, но только с кучей удостоверяющих личность документов (кто вы такой, кто вы для ассоциации и т.д. и т.п.) Ну и маску не забудьте, здоровья вам и вашим близким.
Прихожу в банк, там даже дверь не открывают, приоткрыли щёлочку: вам чего? Пересказываю им эту же историю (звонил я не им, а в общую службу поддержки) — как, говорите, называется ассоциация? Про меня никаких вопросов, никаких документов. Уходит, возвращается с Post-it, на котором написан новый пароль. Спасибо за работу с нашим банком, берегите себя, до свидания.
У нас там на счету порядка 50K€. Прямо вот подмывает пройтись по банкам с публичным списком ассоциаций нашего города.

2. Пошёл в банк другой нашей ассоциации. Давно с ними не общались, а у них для авторизации используется такая физическая карточка с 4-значными паролями, и время от времени они говорят тебе: а введи ка, что там написано в клеточке C4? Понятно, что карточку я давно посеял, а без неё практически ничего сделать нельзя. Пытаюсь заказать новую карточку — для этого тоже нужно ввести код со старой.
Зато есть кнопка «отозвать старую карточку» (на случай потери).
После чего кнопка «заказать новую карточку» становится доступной безо всякого кода.
Гениально.

Правда, такое ощущение, что люди просто не думают, зачем существуют все эти системы безопасности. Я не о людях, которые применяют процедуру, а о людях, которые эту процедуру разрабатывают (см. пример с Фейнманом). Практически всё делается для галочки — у нас тоже есть 15-уровневая система защиты, сертифицированная ISO-666.

Comments

[tapka.livejournal.com]

Вот у нас та же история была, как с Фейнманом почти. Есть в нашем онлайн магазине такие аккаунты специальные с помощью которого ты можешь имперсонировать пользователя(для поддержки его в трудную минуту).
Понятно что они должны охраняться по всей строгости. Ну и вот коллега обнаружил, что у большинства этих суперпользователей пароль типа Password1 который видимо даётся по умолчанию. Обнаружил он это, поискав по базе где хранятся хэши от паролей.

Ну доложил наверх и оттуда конечно первейшая детектива пришла - найти у кого есть доступ к этой базе с хэшами и запретить!

А пароли так и оставались как были ещё чуть не пол года.

[green-fr.livejournal.com]

Ага, отлично! Легендарные admin-admin. У меня товарищ как-то раз при помощи аналогичного стандартного пароля починил WiFi в аэропорту. Там что-то не коннектилось, он зашёл в консоль, починил конфигурацию и дальше спокойно гулял по интернету вместе с остальными пассажирами :-)

[tapka.livejournal.com]

Ну и с банком тоже. Я перехала, а счет у меня остался в банке в другом городе и адрес там старый. И вот я пыталась поменять этот адрес как-то удаленно и никак это было не возможно.
Нужно мне это было чтобы получить на новый адрес бумажку с кодами нужными для платежей из онлайн банкинга.
Билась я с ними пару недель, переводили меня на каких-то менеджеров , те обещали на следующей неделе порешать и так до бесконечности. В итоге в какой-то момент я уже возопила мол, да как же так, мне срочно надо там какие-то регулярные платежи отменить и другие провести. А это можно оказалось. Вот просто так по телефону. Тыщу туда, три тыщи сюда...

[1000signes.livejournal.com]

На словах " высокий стандарт безопасности" всё время вспоминаю этот пилотовский мультфильм: https://youtu.be/CHkEX73P2Pk

[green-fr.livejournal.com]

Ой, какая прелесть! Не помнил этого мультика :-)

[a_p]

А я в одной частной конторе видел такое: начальник безопасности (или главный айтишник) тупо запретил доступ в Интернет с пользовательских компьютеров, из соображений безопасности. Но ведь людям для работы это может быть нужно, правда? И вот они идут к своему завлабу. А тот, вместо того, чтобы как-то решить проблему через айтишников (что, кстати, показывает его опытность) просто раздаёт им USB ключи 4G. И все довольны: у айтишника-безопасника - безопасность на высоте, а у работников - интернет без ограничений и файерволлов. Гыгы!

[green-fr.livejournal.com]

Да-да-да, именно это!

[virginian.livejournal.com]

Правильный мужик!

[och.livejournal.com]

Ваши 50К€ наверняка покрыты какой-нибудь страховкой. Один мой знакомый сотрудник страховой конторы говаривал, что мол не может же быть, чтобы во Франции вам никто это не возместил! :-P

[green-fr.livejournal.com]

Меня в данном случае интересует не судьба "моих" денег, а сколько таких денег можно "заработать" за несколько дней не слишком сложной работы ;-)

[dmpogo.livejournal.com]

Мне кажется что помимо галочки, есть и другое момент. Практика, когда приходится все время решать одну и ту же проблему. Ведь кнопка 'отозвать старую карточку' небось появилась когда 100-й посетитель пришел с потерянной карточкой.

У меня есть счет во французском банке, за почти 20 лет мне так и не удалось наладить интернет доступ. Проезжаю я во Францию, иду в отделение, говорю, дайте пароль,
они, с удовольствием, высылаем вам письмо на домашний адрес. В Канаду. Пока я доезжаю до Канады, пароль уже протух.

[green-fr.livejournal.com]

Ну да, и это тоже - редкие случаи по определению обрабатываются хуже. Мы с Анютой только на днях разговаривали, как должно быть это интересно, просматривать / строить дерево всех возможных вариантов в сложной схеме. Я просто налоговую декларацию заполнял, и там меня как раз приятно удивил появившийся на каком-то экране popup "есть шанс, что ваш ребёнок (вы указали его дату рождения) уже в коллеже, в таком случае обратите внимание на такую-то клеточку декларации". Ничего сложного, простой if, но сколько их там?
И тут же мы про тот же банк. Очевидно ведь, что в момент разработки процедуры смены пароля через кредитку, люди задумываются, а что будет делать клиент без кредитки? То есть, они то же самое дерево вариантов просто обязаны просчитать. Вот вариант с "письмо в Канаду дойдёт не скоро" - это да, это увидеть и просчитать заранее непросто. Тут нужно, чтобы кто-то наступил на эти грабли, рассказал им, они поняли, и только после этого они начнут думать / править процесс.

[moonofnovember.livejournal.com]

Что значит "ассоциация" в этом контексте? (я далёк от французских реалий).

[green-fr.livejournal.com]

Ой, это гениальная вещь, в основном речь идёт про ассоциации 1901 года (по дате закона). В двух словах: ты можешь в любой момент достаточно просто создать ассоциацию, которая выступает юридическим лицом, и у которой крайне простая финансовая ответственность, в том числе никаких налогов, даже декларации. При этом есть какие-то ограничения, ты не можешь, например, получать прибыль (нельзя зарегистрировать булочную в виде ассоциации). Все клубы по интересам (спортивный, шахматный, настольных игрушек, театральный, собаководов) - это всё ассоциации. Прибыли у них нет, у них есть члены ассоциации, они платят какие-то годовые взносы, на эти деньги можно купить нужный инвентарь, нанять нужный персонал, снять помещение, транспорт и т.п.

И это настолько важная часть французской жизни, что реально чуть ли не каждый француз состоит членом как минимум одной ассоциации, а то и нескольких. Это стандартный вопрос об интеграции в общество при принятии гражданства: в каких ассоциациях вы состоите? Ну и в нашем городе на 30 тысяч населения таких ассоциаций сотни.

У меня в посте одна из ассоциаций - 1901 года, это наша ассоциация для семейных лагерей.
А вторая формально по другому закону проходит (ещё дореволюционному), это более экзотическая форма, ассоциация совладельцев недвижимости. У нас на улице, например, фонари принадлежат не городу, а нам - кто-то должен за ними следить, лампочки менять. Понятно, что лампочки меняет некая коммерческая компания, но кто-то должен оплачивать ей счета, собирать деньги с жильцов на оплату этих счетов, принимать решение о смене компании, ремонтировать неожиданно сломавшийся фонарь и т.п. Точно так же с живой изгородью, часть которой общественная нанимаем садовника), с самой дорогой (весной просмолить), канализацией, системой пожарных гидрантов, телекоммуникаций. Вот этим и занимается эта ассоциация. Плюс ещё слой занятий в силу наличия самой ассоциации - организация ежегодных собраний, оформление страховки гражданской и юридической ответственности и т.д. и т.п.

[janemouse.livejournal.com]

Пароль на листочке - это прямо готовая дырка, прямо потрясающе!