74

Парольная политика

Небольшая история про то, с чем можно столкнутся при усилении безопасности информационной системы (ИС).


На  работе я  работаю программистом,  работаю над информационной системой, которой пользуется несколько регионов по России.

В Москве год назад наняли безопасника, который начал приводить в порядок ИБ по филиалам и время от времени присылали приказы которые надо исполнять.

И вот пару месяцев назад прислали приказ о политике паролей в ИС, то есть напрямую связана со мной. В ней требовалось:

- Обязательно большие, маленькие символы и цифры.

- Срок действия пароля - 3 месяца.

- Пароль не должен повторятся в течение года.

- Минимальная длина паролей для юзеров - 12 символов, а для админов — 16.

- Время закрытия сессии по неактивности — 15 минут.

- Защита от подбора: При восьми ошибок подряд блокируется аккаунт на 10 минут, потом давая еще 1 попытку.


Большая часть была реализована еще старым древним приказом, где минимальная длина паролей была всего 8 символов. И я начал реализовывать эту новую политику в своей программе. Сроки были небольшие, поскольку был уже конец месяца и надо отчитываться перед Москвой о проделанной работе.

За одним я реализовал хеширование пароля, удаляя хранение пароля в открытом виде (из совместимости с другими системами), сделал единую процедуру авторизации в SQL.

И вот, реализовав все требования, выпустил обновление как для своего региона, так и других.

Всё было рабочее, кроме одного нюанса: в программе не успел сделать сброс счетчика ошибок ввода пароля на пользователя. Его можно было обнулить только в базе.

После обновления, если программа видела простой пароль после авторизации просила его сменить в соответствии с новой парольной политикой.


Наверно после этого обновления все пользователи и администраторы были согласны купить мне билет прямо в Ад и на отдельный котел с усиленным подогревом. Особенно администраторы ведь для них длина пароля от 16 символов. Да и я сам в первое время забывал свой пароль и пару раз менял его, поскольку все мои старые пароли попали в историю как тестовые и повторно использовать их уже нельзя. Кроме того, пароль ведь больше не хранился больше в открытом виде и пользователю нельзя было подсказать какой у него был пароль, если он его никуда не записал, только сброс на новый.


В первый день в большинстве регионов, пользователи, которые обновились не могли обслуживать клиентов, потому что придумывали пароль, а потом не могли зайти, потому что не запомнили его.
Почти целую неделю я был на звонках с админами регионов или звонили пользователи моего региона и им приходилось либо сбрасывать счетчик паролей в базе или менять его на новый.

Пришлось экстренно делать возможность сброса счетчика паролей с правами администратора через программу, а не в базе напрямую.

Сейчас в принципе всё спокойно. Ждем Новый Год, когда пароли юзеров и админов как раз истекут или забудут после праздников и будут вспоминать меня или московского безопасника добрым словом с его требованиями к паролям.

Лига программистов

406 постов6.7K подписчика

Добавить пост

Правила сообщества

Правило 0. begin


Правило 1. Пост не относящийся к программированию или, хотя бы, к IT-индустрии - исключается из сообщества.


Правило 2. При публиковании поста ставим корректные теги, передающие смысл публикации.


Правило 3. end.

Подробнее
Лучшие посты за сегодня
8891

Российский автопром, помоги себе сам (

8199

Спасибо...

Спасибо... Стирка, Комментарии на Пикабу, Комментарии, Скриншот, Лайфхак
6886

Мелочь, а приятно

Мелочь, а приятно
5522

Депутат спросила у директора департамента культуры и туризма , откуда у той колье за 1млн и сумка Louis Vuitton при зарплате 28к

4592

Там ещё и дети смотрят!

Там ещё и дети смотрят! Картинка с текстом, Крещенское купание, Храм, Церковь, Религия
Показать полностью 1
4537

Звонок из будущего

3863

Зачем же я так

Показать полностью
3853

Мечты

Мечты
3830

Подарок для уважения

Подарок для уважения
3695

Пока босс спит

3655

Актёры в старых советских фильмах с каждым годом играют всё лучше и лучше"

Актёры в старых советских фильмах с каждым годом играют всё лучше и лучше"
3642

«Он ответил за свой подлый поступок»: дагестанского бойца ММА избили в уличной драке

«Он ответил за свой подлый поступок»: дагестанского бойца ММА избили в уличной драке Боец, Драка, Видео, Длиннопост, Негатив, Кавказцы
«Он ответил за свой подлый поступок»: дагестанского бойца ММА избили в уличной драке Боец, Драка, Видео, Длиннопост, Негатив, Кавказцы
Показать полностью 2 1
3493

Прошу совета! Травля ребенка

Прошу совета! Травля ребенка Травля, Без рейтинга, Юридическая помощь, Сила Пикабу, Консультация, Лига юристов, Негатив
Прошу совета! Травля ребенка Травля, Без рейтинга, Юридическая помощь, Сила Пикабу, Консультация, Лига юристов, Негатив
Прошу совета! Травля ребенка Травля, Без рейтинга, Юридическая помощь, Сила Пикабу, Консультация, Лига юристов, Негатив
Показать полностью 2
3481

Как же нам всем иногда просто нужно в САНАТОРИЙ

Как же нам всем иногда просто нужно в САНАТОРИЙ
3281

Свинья во дворце не становится королём

Свинья во дворце не становится королём Турция, Реджеп Эрдоган, Журналисты, Новости, Картинка с текстом, Пословицы и поговорки, Дворец, Царь, Политика, Седеф Кабаш
Показать полностью 1
3253

А где тут рыбку половить?

3072

Соседи низкой социальной ответственности

Соседи низкой социальной ответственности Комментарии, Комментарии на Пикабу, Соседи, Проблемные соседи, Проститутки, Длиннопост, Скриншот, Мат
Показать полностью 1
2993

Когда тебе исполнилось 30, но ты себе ещё не нашла парня

Когда тебе исполнилось 30, но ты себе ещё не нашла парня Видеокарта, Поиск, Юмор
Показать полностью 1
2845

Так и лежишь

Так и лежишь
2781

Игровое

Игровое
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: