Кириллица
Товарищи 1с-ники. Делайте, пожалуйста, логин пользователя электронную почту пользователя, а не ИвановИИ. Ваша кириллица рушит все дальнейшие интеграции с нормальными сервисами.
разработчики интеграций - перестаньте быть ебланами, как и разработчики 1С и не пытайтесь использовать уязвимые данные для логинов и соблюдайте хотя бы основы ИБ.
Ну и если "нормальный сервис" не может воспринимать иные символы, кроме латиницы - говорит о "нормальности" этого сервиса.
ещё комментарии
раскрыть ветку (8)
а с каких пор закрытый периметр стал непреодолим? мало случаев когда в закрытые контуры проникали и клали целиком системы?
И использовать в качестве учетки почту - это повышать вероятность использования в целях взлома.
раскрыть ветку (7)
Я ITшник мимокрокодил, по поводу закрытого периметра - это понятно, что не панацея и дает права на расслабление. Но в чем проблема мыла в качестве логина? Как это упростит взлом?
раскрыть ветку (6)
через человеческую тупость. Как правило, в таком случае есть у сотрудника соблазн поставить такой же пароль как и на рабочую почту. Соответственно утечка 1 пароля = уязвимость в двух местах. Это первый момент.
Второй - утечка одной из баз (или почтовой или 1с) - дает полный список юзверей в двух системах. Тут куда логичнее почту делать фамилия_ИО@... а логины ИО_фамилия. И пока ты не получишь логин и из одной и из другой системы - эту логику ты не отследишь.
раскрыть ветку (5)
Так это ошибка именно в том, что в критически важную инфраструктуру юзер сам себе пароль создаёт. У нас в одном из наших приложений логины - это корпоративная почта. А вот пароль ты сам себе задать не можешь, он тебе генерируется. Чтобы поменять нужен доступ к номеру телефона (поменять на новый сгенерированный).Так что в самой по себе почте в качестве логина проблемы нет :)
P.S. с 1С никак не связан
раскрыть ветку (4)
А вот это бааааашой вопрос. Потому что работая в том числе с этими вопросами с гос. сектором - этот контингент собственно придуманные пароли не может запомнить и как отпуск - так начинается феерия. А если им еще и сгенерированные выдавать - это будет 100% записано в файле на самом компе. Ну а это совсем ахтунг.
раскрыть ветку (3)
Для этого у нас есть внутреннее хранилище паролей. Туда можешь зайти и посмотреть все свои пароли к разным внутренним сервисам. Без своего телефона и из внешней сети туда не зайти.
Ну и человеческую тупость сложно обойти, хоть что логином там задай. Если человек захочет, он и свой логопасс на комп сохранит.
раскрыть ветку (2)
Для этого у нас внутреннее хранилище паролей. Туда можешь зайти и посмотреть все свои пароли к разным внутренним сервисам. Без своего номера телефона туда не зайти.
бгггг. у меня по тем приказам в рамках которых я работаю есть такое хранилище. Называется "личная тумбочка, запирающаяся на ключ". Любое электронное хранение паролей в принципе запрещено.
Ну и человеческую тупость сложно обойти, хоть что логином там задай. Если человек захочет, он и свой логопасс на комп сохранит.
ну тут ответственные иногда выборочно тыкаются и стучат по рукам и головам
раскрыть ветку (1)
Любое электронное хранение паролей в принципе запрещено
Это точно из-за уровня секретности, а не из-за чего-то другого более банального? Есть же даже аккредитованный софт под разные уровни секретности для хранения паролей, секретов итп.
ещё комментарии