Как окончательно защитить данные пользователей?

Question

[Иван]

Всем привет

Прошу помощи или совета как быть.

Ряд пользователей работают с критичными данными.
Носители зашифрованы, все регламентные процедуры прописаны, все работает..
Но - периодически замечаю пароли на ПК и в других легко доступных местах.
Наказывать регламентно уже бесполезно, хочется найти технический выхд

Как финально оградиться от возможной потери данных ?

Сейчас: Пользователь вводит два пароля (вход в систему и пароль на расшифровку)
Пароль записан на листочке и вложен в ноутбук
Гудбай безопасность...

Хочется: Пользователь вводит два пароля (вход в систему и пароль на расшифровку) + доп действие (втыкает флешку или втыкает флешку и вводит пароль от нее, запускает программу или что еще можно придумать, что точно нельзя будет записать на листочек в явном виде)
Вот какое доп действие можно реализовать ?

p.s. в целом я даже готов пожертвовать данными на ПК (все данные бэкапятся), если будет удаление при отсутствии доп действие _))

Заранее всем спасибо

Comments

[riot26]

Первопричина в неудобстве куч паролей. Можно посмотреть в сторону аппаратных ключей и чего-то придумать.

[Moskus]

Сценарий описан не полностью. Например, должны ли сотрудники иметь возможность работать с данными только на рабочем месте или откуда угодно?

[Иван]

Moskus, работа откуда угодно

[Moskus]

Иван, тогда - временные пароли в той или иной форме (не обязательно именно в виде паролей).

Answer 1

[Сергей Горностаев]

Административные методы вполне работают, если руководство действительно озабочено безопасностью. Штрафы и увольнения никого не оставляют равнодушными. Если к столь радикальным мерам компания не готова, то хорошо зарекомендовал себя админский садизм:

• При обнаружении пароля на бумажке, пароль изменяется, а ограничение на длину пароля для этого пользователя увеличивается на один символ.
  
• Входишь под учёткой пользователя по паролю с бумажки, удаляешь важные файлы и пишешь матерное письмо гендиру.
  

Comments

[xmoonlight]

Входишь под учёткой пользователя по паролю с бумажки, удаляешь важные файлы и пишешь матерное письмо гендиру.

Это уже минимум статья за умышленную порчу данных компании и злоупотребление своим административным положением! (и это - не самое худшее!)

[Сергей Горностаев]

xmoonlight, прежде всего уточню, что я тоже считаю такие действия плохими и непрофессиональными.

статья за умышленную порчу данных компании

Бэкапы есть всегда.

злоупотребление своим административным положением

Это работает только в двух случаях. Если кто-нибудь может доказать, что это сделал именно ты. И если получивший матерное письмо директор не в сговоре с тобой. В свою админскую бытность я очень быстро получал от руководства картбланш вообще на любые действия по наведению порядка.

Answer 2

[xmoonlight]

https://www.rohos.com/ (2FA:OTP; USB flash drive, SD-memory cards, U2F keys, Yubikey, PKCS#11 security dongles like SafeNet iKey and popular RFID cards)

Comments

[alex-1917]

а говорил, что больше не бушь никому на тостере помогать))))

[xmoonlight]

alex-1917, да? где говорил?) Не помню такого))

[alex-1917]

xmoonlight, на сайте

[xmoonlight]

alex-1917, не помню. линк есть?

[alex-1917]

xmoonlight, https://sitecoder.blogspot.com/2018/03/toster-ru-b...

[xmoonlight]

alex-1917, О! Я уже и забыл про это...))) Я быстро отхожу от негатива!

Answer 3

[АртемЪ]

Пароль записан на листочке и вложен в ноутбук

Бороться с этим можно двумя методами.
1)Если данные действительно критичные - увольнение.
2)Если данные не настролько критичные - сделать меньше паролей и сами пароли проще.

Answer 4

[andreyd234]

у меня на работе все проше и сложнее. для особо забывчивых заставляю пароли сохранять в сотовом телефоне под вымышленным именем создаешь смс-ку. туда все и записываешь. пока работает, бумажки исчезли. если телефон и потеряется, то кто узнает где и что пароль, а главное куда его воткнуть.

Answer 5

[stratosmi]

Ряд пользователей работают с критичными данными.
Носители зашифрованы, все регламентные процедуры прописаны, все работает..
Но - периодически замечаю пароли на ПК и в других легко доступных местах.
Наказывать регламентно уже бесполезно, хочется найти технический выхд

Такое регламентно обоснованное и технически организованное средство как регулярная смена паролей и заставляет пользователей записывать пароли. Был бы один на 100 лет - запомнили бы.

Найти другой путь, что не напрягает людей, что не мешает им работать.

Та же частая смена паролей - это хорошая отмазка для службы безопасности ("мы свою работу выполнили - это пользователи сами виноваты"). Но это не решение проблем.

Answer 6

[tiqq]

Смотрите в сторону двухфакторной аутентификации, благо есть готовые решения, вот например для php. В итоге получится: пользователь вводит два пароля(вход в систему и пароль на расшифровку) + доп действие(ввод кода, который они будут получать через приложение на своем телефоне, например Google Authenticator).

Answer 7

[Voll .]

Google Authenticator Юзер вводит пароль, а второй пароль ему приходят на мобильное приложение, и он должен его переписать и ввести. По сути такой же метод как в Steam Guard.

Comments

[xmoonlight]

никуда не приходит пароль)))

Answer 8

[fisher_dept]

А вы уверены что наращивание такой безопасности устраивает бизнесс? Вы примерно хотя бы просчитывали риски? Что касается бумажек с паролями... у вас внедрена политика ИБ? Быть может вам проще провести некую очную ставку и сделать внутренний мини пентест, тем самым сымитировать действия злоумышленника? А по результату указать руководству на некомпетентных сотрудников?

Answer 9

[cssman]

технические методы не помогут, при использовании токенов - токены будут лежать в ящике стола (в лучшем случае).
только орг методы: ослабление парольной политики где это можно (1 пароль, меньше требований по стойкости и частоте смены), повышение осведомлённости, там где можно и нужно - показательная порка.

Answer 10

[Егор Казанцев]

Биометрию с них собирайте, отпечатками пальцев они точно не поделятся и не забудут. А флешки будут теряться, потом хакеры буду делать флешки с вирусами. А палец можно только отрезать.

Answer 11

[Tatyana Inarsh]

В чем работает?
Доменные аккаунты?
Какие?
Браузеры какие-то используете?
Отсюда надо смотреть.
Домены в Гугле позволяют иметь довольно жёсткий контроль, и настройки Хрома для доменных аккаунтов тоже имеют тонкие настройки.

Если что-то другое - то тут не сильна