Vlákno názorů k článku Směrnice NIS2 přinese změny IT procesů, přijde přibližně za rok od acute - Beru to z pohledu IT ve firmě. My...
-
Beru to z pohledu IT ve firmě. My sami chceme mít rychlost, stabilitu a bezpečnost na co nejvyšší úrovni. Asi každý začíná u Firewallu, následně řeší dostatečnou propustnost a segmentaci sítě. A jistě každý sleduje různé bezpečnostní reporty a hlášení a reaguje třeba i na zprávu, že staré Cisco switche, které už jsou "End of life / Out of support", mají bezpečnostní díry a radši je preventivně vymění za novější kousky už jen kvůli tomu, že má klidnější spaní a ony jsou už stejně tak staré, že si výměnu zaslouží. Výměnou zastaralých VPN na Microsoftím protokolu za něco novějšího to pokračuje. Je toho hodně, co se dá změnit k lepšímu, akorát to vždy narazí na nutnost investic. Rozumný majitel firmy to chápe a investuje do rozvoje IT, nicméně pouze za předpokladu, že se firmě daří a má z čeho brát... Jsem velmi zvědav na situace, kdy některé podniky spadnou do uváděných kategorií a chtěl bych například vidět, jak kupují 100 a více Yubico klíčenek na 2F autentifikaci jen proto, že to nová směrnice požaduje. Kdo to firmám zaplatí? Jistě, penetrační testy si můžu do určité míry udělat i sám, ale nepochybně bude požadován výstupní protokol, který někdo podepíše a dá na něj náležité náležité razítko. Super... Bude zajímavé sledovat, jek se celá situace vyvine.
-
Tak třeba s tou autentizací je to tam škálovatelné - 2FA, a když ne, tak certifikáty. A když ne, tak heslo, ale musí mít délku 17 a musí po 180 dnech expirovat apod. Takže nikdo firmu nenutí kupovat drahý autentizační HW, ale kecá mu do hesla (např.)
Tahle logika je tam na více místech a pozor jinak se zákon vypořádává s malou firmou a jinak s velkou. Prostě ten zákon není špatný a pojďme se bavit o jednotlivostech....
-
Omlouvám se, ale zrovna co se týká hesel je to opravdu složitější. Jakmile máte počítačů hodně, jsou různě na pobočkách v celé zemi nebo u sousedů v SK, je jinak marginální problém se změnou hesla noční můrou pro všechny. Certifikát? Skvělé, má také omezenou platnost. A kde jej bude mít uživatel uložen? Přímo v počítači to asi nebude... Délka hesla? Berte řadového zaměstnance, který si má zapamatovat každých 180 dní nové heslo o délce 15 či více znaků. To nemluvím o pravidlech, která někteří regulátoři vymysleli ohledně hesel. Zapamatujte si heslo AFx154+HAAcb@QT... pak se všude povalují papírky s hesly a IT aby pomalu chodili kanálama, lidé je nenávidí. Proto mluvím o hardwarové 2F autentifikaci, třeba přes Yubico. Počítače by měly lidem sloužit, za rozumných bezpečnostních podmínek, o tom žádná. Ale nemáme být otroky nesmyslné bezpečnostní politiky (logikou, nebo finančně).
2. 6. 2023, 08:56 editováno autorem komentáře
-
On snad existuje zakon, ktery by nebyl plny podobnych pitomosti?
Pro predstavu, otevrel sem si keepass a vylosoval jednoho zakaznika. Cca 300 hesel. Cast z toho jsou hesla ke vsemoznym externim systemum, kde jaksi nijak neovlivnim, jak funguji. Dale hromada hesel od vsemoznych kusu HW a SW, kde opet nijak neovlivnim, jak funguji - prevazne to hesla umoznuje jen maximalne kratka, velice casto maximalne alfanumericke znaky. Zadny jiny zpusob autentizace to neumi.
Vytahnu jeden takovy krasny priklad, sklad, kde skladnici pouzivaji skladove terminaly. Uz vidim navrhovatele jak do takoveho terminalu patla kazdych par minut (protoze to usne a odpoji se to) 20ti znakove heslo.
Kdyz to zhodnotim, tak lepsi prihlasovani nez kratkym heslem ve skutecnosti muze (teoreticky) pouzivat tak 10% uctu, a i to s velkym ALE.
Edit: K popukani v tomto smeru je to, ze nasle slavne DS v tom jednorazovem prihlasovacim hesle v obalce se zlutym pruhem obsahovaly znaky, ktere ale do hesla prihlasovaciho nastavit nelze - osobne jsem to overoval.
5. 6. 2023, 12:52 editováno autorem komentáře
