Re: Peri asfaleias [was: Re: SOLVED: grep -i και ελληνικά κεφαλαία /πεζά]

Fri Dec 16 20:05:39 EET 2005

Nick Demou (enLogic) wrote:
> Πρώτα λοιπόν μια αποσαφήνιση του τι κάνω η οποία θα λύσει κατευθείαν
> πολλές παρεξηγήσεις:
> Η εταιρεία μου παρέχει τεχνική υποστήριξη σε ιδιώτες και εταιρείες
> οι οποίοι έχουν από ελάχιστη έως αρκετή μηχανογραφική υποδομή. Επίσης
> πουλάει συχνά και συνδέσεις internet. Το 99% των πελατών μας *απαιτούν*
> να ξέρουμε τα passwords (συνήθως τύπου aek ή 123) που χρησιμοποιούν[1].
> Φυσικά αν ο πελάτης είναι σοβαρός ή συντρέχουν άλλοι λόγοι[2] ή
> έχει την διάθεση να μας ακούσει όταν του εξηγούμε τους κινδύνους, τότε
> θα αποφασίσει ο ίδιος πιο password είναι σημαντικό και θα το φυλάξει ενώ
> εγώ θα χαρώ πολύ που δεν θα έχω  το χασομέρι και την ευθύνη της
> διαχείρισης του.
> 
> Με τα χρόνια όπως καταλαβαίνετε έχουμε μαζέψει αρκετά τέτοια passwords
> (τα οποία το 90% των πελατών φυσικά και δεν έχουν αλλάξει). Όλα
> αυτά τα passwords πρέπει αφενός να τα αποθηκεύσουμε κάπου και αφετέρου
> να είναι διαθέσιμα στους τεχνικούς που έρχονται σε επαφή με τον πελάτη
> για να κάνουν τη δουλειά τους.
> 
> Μέχρι πρότινος όλα τα passwords είτε τα είχα συγκεντρωμένα εγώ (και
> έσπαγα κάθε φορά το κεφάλι που πως να τα αποθηκεύσω) είτε ήταν
> αποθυκευμένα σε κάποιο text ή spreadsheet αρχείο με άλλες λεπτομέρειες
> για την τεχνική υποδομή του πελάτη.
> 
> Το πρώτο (να τα ξέρω μόνο εγώ) δημιουργούσε πρόβληματα όταν έλειπα από
> το γραφείο (όχι σπάνιο). Το δεύτερο (χύμα σε κάποιο αρχείο) στερείτε
> σχεδόν παντελώς ασφάλειας ακόμα και όταν πρόκειται για το ευτελέστερο
> password. Δυστηχώς μάλλιστα είχε αρχίσει να γίνεται όλο και περισσότερο
> (είμαστε επιρρεπείς στην αμαρτία εμείς οι άνθρωποι).
> 
> Αυτή την κατάσταση θέλησα να λύσω και η πρώτη μου προσπάθεια είναι αυτή
> για την οποία συζητάμε.

Και γιατί, θα ρωτήσει ένας φιλομαθής νέος, δεν υλοποιήσατε ένα
συστηματάκι με κάποιου είδους security μέσω smart cards που θα κάνει
authentication για τους χρήστες ή οτιδήποτε άλλο;

Και μιλάω να έχετε κάνει τις απαραίτητες κινήσεις-development συστημάτων
authentication κλπ κλπ που θα επιτρέπει στον πελάτη που ΔΕΝ θέλει να
ασχολείται με το θέμα της ασφάλειας (βέβαια ΜΕΓΙΣΤΗ βλακεία του - το
κτίριο ενδιαφέρεται να το κλειδώσει, το υπολογιστικό του σύστημα γιατί
το αφήνει να μπάζει από παντού; - αλλά είναι δικιά του η βλακεία) να
έχει κάτι καλύτερο από αυτό το ρημαδί password που μπορεί να το
φανταστεί και 3χρονο παιδάκι;

> Δεν ασχολούμε με το τι ψάχνουν οι περίεργοι (δεν έχω καν το χρόνο να το
> κάνω ακόμα και αν είχα την αρρωστημένη περιέργεια). Αυτό με το οποίο
> ασχολούμε είναι το *ποια* passwords πελάτων ζητήσαν να μάθουν οι
> τεχνικοί μας (με λίγα κάθε φορά που ο τεχνικός Χ ζητά να του προβάλει το
> πρόγραμμα το password του πελάτη Υ με περιγραφή σκοπιμότητας Ζ πέρνω ένα
> email με τα Χ,Υ,Ζ). Παρόλο που εμπιστεύομαι τους τεχνικούς στους οποίους
> έχω δώσει δικαίωμα πρόσβασης δεν μπορώ να να μην κάνω μια τόσο απλή
> ενέργεια που αφενός δεν θίγει τους τεχνικούς ενώ αφετέρου προστατεύει
> τους πελάτες μου (όπως είπαμε εμείς οι άνθρωποι είμαστε επιρρεπείς στην
> αμαρτία ειδηκά όταν είναι έυκολη γρήγορη και δεν φαντάζει σοβαρή ως
> παράπτωμα).

Αυτά τα e-mails έρχονται και φεύγουν χωρίς ψηφιακές υπογραφές και
encryption;

Αν και δεν είμαι ειδικός της ασφάλειας, διακρίνω πολλές τρύπες - εκτός
και αν όντως υπάρχει πρόβλεψη για όλα τα παραπάνω και δεν γίνονται
γνωστά για λόγους ασφαλείας ή ανταγωνισμού.