Омерт@. Учебник по информационной безопасности для больших боссов
Шрифт:
Хранение пароля
«Вы, конечно, будете смеяться», но пароль нельзя записывать на стикере и прилеплять его к монитору. Также пароль нельзя писать на листочке и класть его в ящик стола. Да-да, даже в том случае, если ты этот листочек хитроумно перевернёшь – чтобы враг ни за что и никогда не догадался.
Пароль также крайне не рекомендуется записывать в обычные или электронные записные книжки. Даже если ты хитроумно запишешь его задом наперёд. Даже если этот пароль ты закроешь другим паролем – каким-нибудь попроще.
С грустью приходится констатировать
«Ну, и?
– спросишь ты. – Как хранить-то этот чёртов пароль?» А в голове, друг мой, в голове. К сожалению, больше негде. Надеюсь, в голове в любом случае ты способен хоть что-то сохранить, в противном случае ты не стал бы Большим Парнем. Практика показывает, что намного проще чуть-чуть напрячься и запомнить пароль (вообще говоря, их должно быть несколько, но об этом позже), чем пытаться его куда-то скрытно записывать, а потом долго вспоминать, куда именно.
Один мой знакомый бизнесмен разработал совершенно зубодробительную систему, позволяющую ему записывать пароли так, что злоумышленник при всем желании не смог бы их прочитать, даже если бы по каким-то причинам обнаружил эти записи (что, кстати, само по себе было практически невозможно). Мы потом с этим бизнесменом вместе разобрали по составляющим его творческий метод и выяснили, что для того чтобы записать один пароль ему приходится держать в голове три других. После этого он попробовал просто запоминать основные пароли и никуда их больше не записывать. Ему понравилось.
Сколько должно быть паролей
Это хороший вопрос, друг мой. Правильный. Потому что один-единственный пароль – это такой же нонсенс, как и один-единственный счёт в банке. Паролей должно быть несколько – на разные случаи жизни. Обязательно! Потому что это значительно повышает безопасность. Ведь если ты одним и тем же паролем запираешь ящик стола с журналами «для мужчин», дорожную сумку, сейф с деньгами и секретный раздел диска – это красиво и легко запоминается, но слегка идиотично. Причем термин «слегка» я использовал только из уважения к твоему высокому общественному положению…
«И что, - раздраженно скажешь ты.
– Теперь на каждый чих задавать свой пароль? И весь этот кошмар держать в голове?» Нет, такое даже я не посоветую. Точнее, посоветую, но я хорошо понимаю, что это нереально. Поэтому есть неплохой щадящий способ. Он называется – «Разделение защиты по уровням важности».
Как-нибудь вечерком ты садишься за стол (заметь – без стакана с виски) и аккуратненько делишь все ситуации, требующие ввода и хранения пароля, на различные уровни. Их может быть несколько. Например:
Минимальный уровень
Дорожная
Средний уровень
Компьютерные папки (разделы диска) с офисными документами, специфические чаты и садо-мазо форумы (мало ли, какие у тебя тайные хобби), глубоко личные электронные записные книжки, электронная почта и так далее.
Высокий уровень
Онлайновый доступ к банковским счетам, компьютерные папки (разделы диска) с секретными документами и пикантными отчетами бухгалтерии, доступ к особо секретной электронной почте.
Что-то в этом роде. На самом деле количество этих уровней и виды доступа, к ним относящиеся, каждый для себя определяет сам. Кому-то страшнее потерять доступ на форум геев и лесбиянок, чем пин-код к кредитной карточке. А некоторым – совсем наоборот.
Что тут главное? Главное – чтобы этих уровней было не меньше трёх. Оптимальный вариант – пять уровней важности, к каждому из которых относится целый ряд различных видов доступа.
Идея в том, что каждому из этих уровней соответствует свой пароль. Серьёзный пароль, непростой и сложный для запоминания (сложность для запоминания, разумеется, прямо пропорциональна сложности подбора). Но зато один для одного уровня. И его ты используешь для всех видов доступа, относящихся к данному уровню.
Появляется какой-то новый вид доступа – например, от тебя требуют ввести пароль на доступ к платным разделам онлайнового журнала, - ты должен быстро определить, к какому уровню его отнести, после чего вводишь соответствующий пароль. В дальнейшем нужно будет пару раз вспомнить, к какому уровню этот доступ относится, после чего ты с легкостью вспомнишь пароль.
Конечно же, это уступка в надёжности в пользу легкости запоминания. Потому что по-хорошему для каждого доступа должен быть свой, уникальный пароль. Но в современном мире от нас требуется столько паролей, что все их запомнить – просто нереально. Так что приходится использовать подобные методы. Они хоть как-то облегчают эту непростую жизнь.
Но боже тебя упаси использовать один несложный пароль на все случаи жизни! Это приведёт к тому, что очень скоро вся жизнь станет одним непрекращающимся тяжёлым случаем…
Грамотные щупальца локальной сети в офисе
Правильная организация локальной сети в офисе – залог хорошего уровня безопасности. В общем, все Большие Парни эту немудрёную мысль и так хорошо знают. Также они более или менее знают, что такое локальная сеть: это когда компьютере в офисе соединены проводами, и с компьютера, стоящего в отделе маркетинга, можно выводить страницы на принтер, стоящий в секретарской. А чего боссы не знают – так это того, что именно подразумевается под термином «правильная организация локальной сети в офисе».