mrdamian (mrdamian) wrote,
mrdamian
mrdamian

Чаще меняйте свои пароли

Вот сколько говорилось, писалось и т.п. "РЕГУЛЯРНО МЕНЯЙТЕ СВОИ ПАРОЛИ!", но никто не прислушивается к таким рекомендациям. А тем более это относится к компаниям где любой приходящий айтишник, оказывающий услуги без договора хочет получить административные права ко всей Информационной системе. Ну ладно, есть редкие случаи когда нужно внести изменения в стабильно работающую систему с правами "Администратора", но как только он ушел за порог - срочно меняйте пароли, которые ему давали. Этот "авось" рано или поздно оборачивается неприятностями. А если вам лень менять пароли настройте административный доступ к Информационной системе через e-Token и держите этот девайс в сейфе. Понадобился - достали, сделали, отключили и убрали в сейф.


Теперь маленькая, но очень неприятная для меня история: зимой я оказывал консультационные услуги в одной компании, 4-ре месяца назад передал все логины и пароли. Причем предупреждал, чтобы они пароли сменили. У себя я их удалил, т.к. условия договора были с моей стороны соблюдены и мне нет нужды хранить у себя чужой хлам. На днях раздается звонок из этой компании с наездом, что я сменил им все пароли! И как всегда получается, что люди в начале наезжают. Начали меня обвинять в том, что это я занимаюсь вредительством. Разве это нормальные люди? Потом только начинают включать свой мозг и просить о помощи. Первое желание, само собой, было их послать куда подальше, раз мозгов нет, но потом заинтересовался ситуацией.

Оказывается они этот файл с доступами "раздавали" приходящим айтишникам, подрядчикам и т.д. После того как я им передал этот файл с доступами, они его хранили на компьютере доступ к которому мог получить любой желающий и не сменили ни одного пароля! Про себя я поржал, но моя сердобольность взяла верх, решил потратить минут 30 на попытку получить доступ. Если бы не получилось, то гугл подсказывает где лежат инструкции "как сбросить пароль администратора системы". Самый поразительный момент во всей этой истории, что мною лично заблокированный аккаунт локального администратора, под которым я разворачивал систему, был активирован и хорошо, что к нему не сменили пароль. Возможно на сервере запускали какой-то скрипт и этот скрипт активировал этот аккаунт. Но вопрос "кто сменил пароли?" остался без ответа. В итоге, я вошел в систему, восстановил пароли, которые передал, еще раз объяснил ответственному лицу всю фигню этой ситуации. Надеюсь на этот раз до них дойдет, что пароли надо регулярно менять и не раздавать мало знакомым людям. А если возникла необходимость дать пароль, так после не ленись, смени его, чтобы никто кроме тебя его не знал и спи спокойно.

Тему, по хорошему, моих отношений с этой компанией можно закрывать. Меняйте пароли хотя бы раз в месяц!
Tags: #технологии, технологии
Subscribe
Buy for 20 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 7 comments