Как окончательно защитить данные пользователей?

Всем привет

Прошу помощи или совета как быть.

Ряд пользователей работают с критичными данными.
Носители зашифрованы, все регламентные процедуры прописаны, все работает..
Но - периодически замечаю пароли на ПК и в других легко доступных местах.
Наказывать регламентно уже бесполезно, хочется найти технический выхд

Как финально оградиться от возможной потери данных ?

Сейчас: Пользователь вводит два пароля (вход в систему и пароль на расшифровку)
Пароль записан на листочке и вложен в ноутбук
Гудбай безопасность...

Хочется: Пользователь вводит два пароля (вход в систему и пароль на расшифровку) + доп действие (втыкает флешку или втыкает флешку и вводит пароль от нее, запускает программу или что еще можно придумать, что точно нельзя будет записать на листочек в явном виде)
Вот какое доп действие можно реализовать ?

p.s. в целом я даже готов пожертвовать данными на ПК (все данные бэкапятся), если будет удаление при отсутствии доп действие _))

Заранее всем спасибо
  • Вопрос задан
  • 800 просмотров
Пригласить эксперта
Ответы на вопрос 11
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
Административные методы вполне работают, если руководство действительно озабочено безопасностью. Штрафы и увольнения никого не оставляют равнодушными. Если к столь радикальным мерам компания не готова, то хорошо зарекомендовал себя админский садизм:
  • При обнаружении пароля на бумажке, пароль изменяется, а ограничение на длину пароля для этого пользователя увеличивается на один символ.
  • Входишь под учёткой пользователя по паролю с бумажки, удаляешь важные файлы и пишешь матерное письмо гендиру.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
https://www.rohos.com/ (2FA:OTP; USB flash drive, SD-memory cards, U2F keys, Yubikey, PKCS#11 security dongles like SafeNet iKey and popular RFID cards)
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Пароль записан на листочке и вложен в ноутбук
Бороться с этим можно двумя методами.
1)Если данные действительно критичные - увольнение.
2)Если данные не настролько критичные - сделать меньше паролей и сами пароли проще.
Ответ написан
Комментировать
@andreyd234
у меня на работе все проше и сложнее. для особо забывчивых заставляю пароли сохранять в сотовом телефоне под вымышленным именем создаешь смс-ку. туда все и записываешь. пока работает, бумажки исчезли. если телефон и потеряется, то кто узнает где и что пароль, а главное куда его воткнуть.
Ответ написан
Комментировать
@stratosmi
Ряд пользователей работают с критичными данными.
Носители зашифрованы, все регламентные процедуры прописаны, все работает..
Но - периодически замечаю пароли на ПК и в других легко доступных местах.
Наказывать регламентно уже бесполезно, хочется найти технический выхд


Такое регламентно обоснованное и технически организованное средство как регулярная смена паролей и заставляет пользователей записывать пароли. Был бы один на 100 лет - запомнили бы.

Найти другой путь, что не напрягает людей, что не мешает им работать.

Та же частая смена паролей - это хорошая отмазка для службы безопасности ("мы свою работу выполнили - это пользователи сами виноваты"). Но это не решение проблем.
Ответ написан
Комментировать
@tiqq
Смотрите в сторону двухфакторной аутентификации, благо есть готовые решения, вот например для php. В итоге получится: пользователь вводит два пароля(вход в систему и пароль на расшифровку) + доп действие(ввод кода, который они будут получать через приложение на своем телефоне, например Google Authenticator).
Ответ написан
Комментировать
vollthegreat
@vollthegreat
Laravel back-end outsource
Google Authenticator Юзер вводит пароль, а второй пароль ему приходят на мобильное приложение, и он должен его переписать и ввести. По сути такой же метод как в Steam Guard.
Ответ написан
@fisher_dept
А вы уверены что наращивание такой безопасности устраивает бизнесс? Вы примерно хотя бы просчитывали риски? Что касается бумажек с паролями... у вас внедрена политика ИБ? Быть может вам проще провести некую очную ставку и сделать внутренний мини пентест, тем самым сымитировать действия злоумышленника? А по результату указать руководству на некомпетентных сотрудников?
Ответ написан
Комментировать
@cssman
технические методы не помогут, при использовании токенов - токены будут лежать в ящике стола (в лучшем случае).
только орг методы: ослабление парольной политики где это можно (1 пароль, меньше требований по стойкости и частоте смены), повышение осведомлённости, там где можно и нужно - показательная порка.
Ответ написан
Комментировать
saintbyte
@saintbyte
Django developer
Биометрию с них собирайте, отпечатками пальцев они точно не поделятся и не забудут. А флешки будут теряться, потом хакеры буду делать флешки с вирусами. А палец можно только отрезать.
Ответ написан
Комментировать
TataI0804
@TataI0804
Интернет - фриланс, IT консультации
В чем работает?
Доменные аккаунты?
Какие?
Браузеры какие-то используете?
Отсюда надо смотреть.
Домены в Гугле позволяют иметь довольно жёсткий контроль, и настройки Хрома для доменных аккаунтов тоже имеют тонкие настройки.

Если что-то другое - то тут не сильна
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы