AS
passwdqc имеет смысл, аудит паролей имеет смысл, а микрософт только зря мозги сношает
Size: a a a
2020 May 29
AP
год или больше
За год как раз большинство эксплуатаций появляется в паблике
S
микрософт сношает мозги ровно так как настроено)
AS
там невозможно осмысленно настроить
AS
без внешнего модуля
AS
например такого
VS
мда такой простой вопрос и столько неопределенностей... Я думал для таких вещей есть какие то типовые решения )))
VS
мда такой простой вопрос и столько неопределенностей... Я думал для таких вещей есть какие то типовые решения )))
везде где я работал - это было как минимальное требование к безопасности и даже никогда не возникало вопроса а для чего и чем
AS
тут, к сожалению, нам подгадило косное мышление безопасников старой школы, у которых в голове засел злохакер брутфорсящий уже украденные хэшики тупым перебором
AS
некоторые засели даже в NIST или PCI Council!
AS
везде где я работал - это было как минимальное требование к безопасности и даже никогда не возникало вопроса а для чего и чем
Именно, слишком многие вещи в нашей профессии делаются без вопроса к самому себе "для чего и чем".
AS
"потому что лучшие практики", мать их за ногу
VS
"потому что лучшие практики", мать их за ногу
я так и ответил руководителю... он Сказал в офисе буду поговорим ))). Вот думал подготовлюсь перед разговором
A
везде где я работал - это было как минимальное требование к безопасности и даже никогда не возникало вопроса а для чего и чем
Нужно понимать что любой перекос в сложности паролей или частоте смены, приведёт к так называемому - теневому ИТ, когда юзеры начнут либо записывать пароли в тетрадку или добавлять каждый раз по одной цифре. Это тонкая грань , которая сходу не сделаешь и надо проанализировать. Кроме того возможно потребуется провести обучение среди юзеров
AP
Alexandr
Нужно понимать что любой перекос в сложности паролей или частоте смены, приведёт к так называемому - теневому ИТ, когда юзеры начнут либо записывать пароли в тетрадку или добавлять каждый раз по одной цифре. Это тонкая грань , которая сходу не сделаешь и надо проанализировать. Кроме того возможно потребуется провести обучение среди юзеров
Выше уже писали, что мешает прикрутить проверку на похожесть пароля и тп?
A
Выше уже писали, что мешает прикрутить проверку на похожесть пароля и тп?
Ну следующий шаг сразу будут стикеры на мониторе и прочие говнолистики
VS
я просто хотел сформировать понимание и алгоритмы
AP
Alexandr
Ну следующий шаг сразу будут стикеры на мониторе и прочие говнолистики
Вот на премиях и сэкономим)
A
Вот на премиях и сэкономим)
Не всегда руководство примет во внимание аргументы админа на этот счёт. И на выходе мы получим что они все молодцы, а админ так себе. Проходили уже