Prisposobil som sa security poziadavkam, zabijem kopec casu prihlasovanim sa, hesla, tokeny atd. Obcas sa ani riadne robit neda, mf
Koukam ze nase firma je osvicena, centralni evidence uctu, do vseho se prihlasuji jednim loginem + 2FA. Zadne nucene zmeny hesel apod. Pri prichodu se zridi ucet pri odchodu lockne a pak uklidi. Delame pro dost zakazniku takze musim mit passwordovnik a hraju hru 5 prostredi x 3 ucty + tohle + tohle + tohle na konci mesice 0.5MD menim hesla protoze na SEC sedi vemeno co si precetlo poucku o sile hesla. https://neal.fun/password-game/...
“ Je s podivem, že HR oddělení u končících zaměstnanců důsledně dbá na odevzdání všech klíčů a čipů pro přístup do fyzických kanceláří, ale na mnohem důležitější přístup k datům a kritickým systémům se zapomíná,”Odevzdat klíče je jako odevzdat papírek s heslem. Kdo chce bezpečí musí vyměnit zámek a zablokovat účet.
Je to tak, nejhorší "hack" firmy je odchod zkušeného zaměstnance. Pracoval jsem 3 roky u jednoho z největších hotelích řetězců, který má momentálně více než 15 hotelů a dělal tam IT více než 25 let, takže bych u všech rekonstrukcí a nasazovaní všech systému, za posledních 25 let. Když chtěl přidat, tak ho vyhodili, to že za 3 měsíce se dělala rekonstrukce IP telefonů na hotelu, který má více než 300 pokojů a vždy to dělal kolega a nikdo jiný to neuměl, tak se musela najmou na to firma, která stála jako 2 roční platy kolegy a navíc se každý měsíc platí nemalá částka za držení pohotovosti.
Delka kapitol je prilis dlouha. Vzdal jsem to jiz u te druhe :(
Nejhorší je, když se kazde tri mesice meni hesla do nekolika systémů. Vetsina lidi v kancelari si ta hesla ukladaji do notýsků. Pak si stačí v době oběda ofotit stránku v notýsků telefonem a muzete se prihlasit kam chcete.Na skole jsme se učili, ze je to dobre i špatně a je jen na správci jak se rozhodne. Ja rikam, ze je to určitě špatně.Hlavne musite brát v potaz, ze ve většině firem máte omezená práva a nic jako správce hesel si nenainstalujete.
Prusvih dost casto zacina i tehdy, kdyz vsechnu moc drzi v rukou ti, ktere zajima jenom a pouze "bezpecnost" (ne ta opravdova, jen ta v uvozovkach), nikoli pouzitelnost IT systemu.Extremni problemy tedy nemusi probihat jen po ose nacrtnute v tomto clanku.
"Ono se to samo"
Věta v redakci Computeru: "Nakupte Čížkovi ESP32, sensory a další elektrické kraviny".
V minulých pracích jsem viděl slabé místo v heslech. Hlavně, že se musely měnit každých čtvrt roku a byly požadavky na složitost (malá + velká písmena + číslice + speciální znak). A každý zaměstnanec měl těch přístupů do různých systémů několik. Ve výsledku papírky na monitorech nebo v lepším případě v šuplíku ve stole. Hlavně, že při různých ISO certifikacích se sundavaly instrukce z nástěnek, to bylo úplně to nejdůležitější. Když firma certifikát obdržela, zase se to na ty nástěnky vracelo.Brigádníci většinou pracovali pod účty někoho jiného (protože zřídit nový účet trvalo i několik dní), o nová oprávnění do SAPu vedoucí žádali stylem "stejná oprávnění jako paní Nováková" (která jich za dobu svého působení nasbírala desítky a většinu z toho už nepotřebovala), aby je nemuseli vypisovat (a často ani nevěděli, jaké oprávnění jejich podřízený potřebuje), atd.
"Především IT zaměstnanci mají znalosti a možnosti, díky kterým mohou svou bývalou firmu doslova srazit na kolena, pokud by chtěli."Jednu firmu jsem "srazil na kolena" nebo spíš nechal zkrachovat tím, že jsem z ní odešel po hádce s majitelem před zbytkem týmu. Následně odešli další seniorní vývojáři a když si rozkřiklo co to je za s*ačku, tak už tam nikdo s nějakými zkušenostmi nastoupit nechtěl a firma nakonec lehla, protože neměla vývojáře.S dnešním stavem v IT není potřeba schovávat nějaké Raspberry Pi pod podlahu, ale pokud chtějí lidé z IT firmě "pořádně zatopit", pak to nejhorší, co mohou udělat, je naprosto legálně z firmy normálně odejít, nic nemazat, nic nepoškozovat, vše korektně ukončit, odevzdat. A následně napsat někam na LinkedIn, Atmoskop, Reddit nebo podobné sítě svoji zkušenost.Případně, pokud by chtěli firmu opravdu "dorazit", tak stačí poskytnout kontakty na správné bývalé kolegy, kteří tam třeba ještě zůstali, těm správným recruiterům - oni už se o to postarají sami.Pokud se firma skutečně chová špatně, pak je "legální zatopení" mnohem větší hrůza než kdyby tam někdo hackoval nějaký server - to si mohou opravit a zákon mají na své straně. Když se jim všichni rozhodnou odejít, tak držet je nemohou a přikazovat jiným lidem "nucené práce" taky ne. LOL
Skvělý přístup.. a obvzlastě pokud se stává něco podobného jako následující zážitek. Haló? Je tam technická podpora? Prosím přijďte mi opravit počítač, ulomil se mi ten stojánek na kafe.. ( Cdromka 😁 dotyčná paní tam pracovala i pár let k "důchodu" a byla tak nějak "nevyhoditelná" bo se znala s velmi důležitou osobou.. Takovéto bezpečnostní riziko uvnitř sítě fakt stojí za to .. odejít byla jasná volba.
Známý to udělal ještě lépe. Pracoval jako programová podpora, měl na starosti konkrétního zákazníka z Británie. Po zkušební době mu nejen nechtěli dát slíbené navýšení platu, dokonce mu řekli, že "doba je zlá", buď přistoupí na horší podmínky, nebo může jít. Napsal do té britské firmy, že za stejnou cenu, jakou jeho zaměstnavateli platí, jim bude podporu dělat na místě v Británii. Plácli si a svému bývalému zaměstnavateli tohoto zákazníka sebral a na pár let odjel pracovat do Británie.
Akorát tohle není úplně "košér". Já na takové věci mám ve smlouvě většinou konkurenční doložky, ale i pokud ji člověk nemá, tak v případě, kdy by ho bývalý zaměstnavatel či odběratel (pokud pro něj dělal na IČO) zažaloval, tak to nejspíš vyhraje.Četl jsem nějaký judikát o automechanikovi, který si dělal melouchy a nabídl zákazníkovi nějaký "extra servis" levnější než autoservis, kde byl zaměstnán a zákazník to s potěšením přijal. Autoservis se o tom později dozvěděl, automechanika vyhodil, zažaloval a soud vyhrál. Soud konstatoval, že automechanik by nezískal kontakt na daného zákazníka a nezískal by jeho důvěru, pokud by nemohl využívat k navázání kontaktů zázemí, marketing a renomé svého zaměstnavatele. Dokonce tehdy dostal nařízeno vydat autoservisu zisk, který od zákazníka takto "neoprávněně" utržil.Takže já osobně bych tohle nikdy neudělal, protože práce je všude dost a není potřeba dělat přesně to samé jako doposud, když tím riskuji soudní tahanice.Případně po poradě s právníkem, bych pro stejnou společnost, které jsem něco dělal jako spolupracovník jiné firmy, dělal práci s nějakou legislativně přijatelnou mezerou, kdy by byla jistota, že mi už žaloba nehrozí - počítám tak minimálně po roce.
Pokud si dobře pamatuji (už dlouho s ním nejsem v kontaktu), tak byl na klasický pracovní poměr a ještě ve zkušební době. To něco málo, co vím z pracovního práva, tak to není tak jednoduché. Za konkurenční doložku se platí (zaměstnavatel je povinen po dobu platnosti konkurenční doložky poskytovat bývalému zaměstnanci minimálně polovinu průměrné mzdy) a tak se často neuzavírá. Nebo snad s každým zaměstnancem uzavíráš konkurenční doložku a pokud se rozloučíte ještě ve zkušební lhůtě, tak mu po dobu jednoho roku platíš půlku platu?Jinak by to samozřejmě bylo v případě obchodního vztahu, tj. "zaměstnání na IČ", ale to nebyl tento případ.Případ autoservisu je něco trochu jiného, protože PO DOBU PRACOVNÍHO POMĚRU smí zaměstnanec vykonávat konkurenční činnost pouze se souhlasem svého zaměstnavatele. A z příspěvku to tak chápu, že mu nabídl melouch během svého pracovního poměru. Pokud by ale v současném servise skončil a druhý den by nastoupil v jiném (nebo u toho zákazníka), byl by na něj ten autoservis krátký.https://www.mesec.cz/clanky/kdy-vam-muze-zames... ... Samozřejmě souhlasím, že to nebylo správné chování, nicméně zdá se, že není v rozporu se zákonem. Stejně jako nebylo v rozporu se zákonem, když mu zaměstnavatel před koncem zkušení doby sdělil, že nejen, že mu nepřidá dle předchozí dohody, ale jestli odmítne přistoupit na horší podmínky, tak, že může jít. Vidím to takové oko za oko. Na druhou stranu jedna známá osobnost prohlásila "Oko za oko a svět bude slepý".
To s tou konkurenční doložkou, to měla (jestli je pořád aktuální nevím) moc ráda firma Gigacomputer 😀 Ve smlouvě jsem to měl, ale žádný peníze navíc za to rozhodně nebyly.
není žalobce, není soudce... Zrovna tohle člověk nemůže u soudu prohrát.
Ano, máte ve všem pravdu.Ono, samozřejmě, co se týče IT, kde je normální poskytovat služby na IČO, že práce se dělá na dálku, nejsou žádné "provozovny" nebo veřejně přístupná místa, tak se i "konkurenční doložky" a "fakturace" dají velmi snadno "zařídit".Zažil jsem známého, který z podobného důvodu pracoval "na IČO kamaráda", další pracoval "na IČO babičky", dalšího, který si nechal zřídit celé s.r.o. napsané na příbuzného...Jasně, je takové trochu divné, že by se babička naučila programovat a psala složitá integrační a migrační řešení LOL, ale nikdo nemůže věrohodně prokázat, že to opravdu nenapsala nebo že si to nějak jinak nezajistila.
Jo jo u nás se stalo přesně toto 😀 A skončilo to tím,že se z 80 It profiku (od Win serváku,přes EXch,Vmware až network) tam zbylo 20 :) a celá společnost se nakonec musela etablovat pod jiným jménem 😀 enjoy https://www.jobinsider.cz/spolecnost/ceskomoravsky-... ...
"Na ničem jsme nešetřili."O pár minut později."O penězích se s vámi bavit nehodlám, ani teď ani jindy. Je to jen Váš problém.""Není o čem debatovat."Začátek kybernetického problému v jednom známém filmu. Schválně jestli uhádnete jakého.
https://www.youtube.com/watch...
😀 Aneb, když se vás Ajťák zeptá, zda nechcete něco z automatu, že právě spustil nějaké updaty a zatím si jde skočit pro plechovku coly - za žádnou cenu mu nedovolte opustit místnost! 😀 B-]
A proč jako?
Vy jste ten film neviděl, co? 🙂 Jinak byste věděl.
nejsmutnější je, když jsou plechovky koly v automatu za peníze. Dokonce jsem zažil, že jsme měli i kafe z automatu za pětikorunu... vzhledem ke mzdám jsem nechápal, proč firma nemá měsíčně 10k na občerstvení zaměstnanců. Hlavně, že bylo každý měsíc na kreativní výzdobu
Ešte s tými plechovkami to pochopím, lebo aj keď to ubúda, stále sa nájdu premiestňovači, ktorí by si nosili plné tašky plechoviek domov.Ale káva z nejakého automatu zdarma, to by v slušnej firme malo byť samozrejmosťou. Aj u nás to tak máme; dokonca automat na instantné nápoje časom vymenili za stroj so slušnou kávou, ale mňa to moc nepotešilo, lebo už tam nie je moja obľúbená imitácia horúcej čokolády.
hjustne mame problem.musim ist na wece.musim ist na cígo.ten enter som este nemal stlacit.to kvoli zene, volala mi, vraj to este nedostala.nepovysili ma, takze tak.
Podle všeho je chybou, že uživatelé mají znát příliš mnoho hesel do různých systémů a tak si nastavují stejné heslo. Na všechno. Pak stačí, když někdo prolomí jeden systém (třeba na evidenci stravenek) a pak pod stejným heslem se dostane do systému na evidenci mezd nebo faktur. Je to problém, že nikdo uživatelům nevysvětlil, jak pracovat s hesly, správci jen nastavují vyšší přísnost v zadávání hesel a dál je to nezajímá. To, že existují aplikace na správu hesel, to ví málokdo. A je v tom nulová osvěta, pořád jen slyším, že uživatelé si mají měnit hesla a že v hesle mají být speciální znaky. No jo, ale když takových hesel máte víc než deset, jak to udržíte v hlavě? Jednoduše dáte si stejné heslo všude. Nebo.... Typická jsou hesla uložená v prohlížeči internetu, dost lidí si myslí, že to je zabezpečené. Bohužel není, jsou aplikace, která ta hesla ze souborů prohlížeče dokáží zjistit. Tato hesla se pak synchronizují i v rámci cloudu, je to komfortní, ale nebezpečné. Když někdo hackne třeba google cloud, tak má k dispozici i ta hesla. Dvoufaktorové ověřování pomocí SMS by mohlo trochu pomoci, jenže...
Názor byl 2× upraven, naposled 29. 4. 2022 05:46
Hesla jsou nadužívaná, na spoustu věcí je lepší biometrické ověření a pokud člověk už jedno unikátní heslo zadal, typicky na odemknutí počítače, je blbost po něm chtít deset dalších pro přístup do různých služeb, nakonec stejně skončí na žlutém papírku nalepeném na monitoru. Včetně toho prvního hesla k odemknutí počítače. Žluté lepicí papírky jsou imho největší slabina podnikového IT.
proto je vhodnější mít ve firmě veškeré interní aplikace ověřované přes LDAP, ideálně i s 2FA. Pak má uživatel jedno heslo pro firmu a soukromé záležitosti má pod jinými hesly.
Existuje snadná pomoc. Jsi v systému heslo bude vypadat následovně Heslo+SyStEmTakže když bude heslo stanovené správcem El1ska203@! tak by celé heslo do Systému vypadalo El1ska203@!+SyStEm. Jsi v aplikaci Stravenky, heslo El1ska203@!+StRaVeNkY atd. Postup bude pořád stejný, k individualizaci dojde jiným zápisem,či vepsanim speciálního osobního kódu dovnitř hesla. Třeba El1ska203Pin3625+SyStEm pravidla o vpisování budou právě individuální třeba každé druhé písmeno velké, každé třetí pismeno velké, každé druhé bude cislo3, číslo 5, nebo 55 atd.. ano, vzniknou tak dlouhá hesla.. systém na to musí být připraven. A mimochodem.. v jedné firmě kde jsem pracoval začala katastrofa větou: Přejdeme na SAP. 🤣🤣🤣
heslo, které se nějak nenáhodně generuje je k ničemu, přebíral jsem správu po jeednom superparanoidním it a ten magor nastavil povinné měnění hesel každý měsíc a hesla se nemohla opakovat 90 % uživatelů mělo heslo jméno aktuálního měsíce + aktuální rok.
Přesně. Čím víc se uživatelé se změnou hesel prudí, tím jednodušší variantu změny hesla zvolí. Nejsem admin, ale podle mě je lepší nechat uživatele zvolit si na začátku složitější heslo, ale pak je hlavně nenutit to měnit. Proč? Protože stejně budou jen měnit čísla, měsíce atd. Náš mozek prostě není nastavený na neustále si zapamatování nového, náhodného sledu alfanumerických a jiných znaků.
Pokud budou ve firmách prudit různí extérní auditoři, kteří ví, jak to má vypadat, lepší to nebude...
Aplikace na správu hesel je k ničemu pokud ji firma oficiálně nedá na svůj whitelist a nebude podporovat uživatele v jejím užívání. Situace kdy si každý uživatel na vlastní pěst nějak nainstaluje nějaký správce hesel je bezpečnostní průšvih. Ještě jsem ale nezažil firmu, která by správce hesel oficiálně podporovala. Snad protože firma která si uvědomí, že uživatelé si nejsou schopní pamatovat a měnit x hesel, tak to po nich prostě nebude požadovat.
Tak my máme správu hesel jako itáci u nás v firmě (kdo si má pamatovat hesla k stovkám servisním učtům a bakup adminum atd)U živatele mají jedno heslo na přístup do systémů (Ano někdo namítne OTKA fujky) ale IAM systémy tohle řeši právě fajn, jedna identita jedno heslo podpořený MFA atd
Proto existují klíčenky kombinované s smart card/tokem (YubiKey), který složí k odemykání, docházce a jako posilující prvek bezpečnosti. Sekretářka použije smartku (v klávesnici/notebooku) a záda své "heslo". O zbytek už se postará KeePass. Vysoká míra bezpečnosti s minimální zátěží uživatele, který si nebude lepit hesla na papírek, monitor ...První odemkne klíčem, zbytek už chodí se smartkou a vyřeší se rovnou docházkové záznamy. Fungující s počítadlem, notebookem, telefonem i vestavěným zabezpečením budovy.Hesla, klíče ... nikdy neopustí barák/zařízení, vše je lokální a kombinované s TPM +HP Protect Tools a samozřejmě Win2019 ADDS.
hesla jsou tam sifrovana, navic pod special heslem. nema nic. jinak souhlas.
Normální firemní aplikace se autentizují přes SSO, uživatel se přihlašuje jen do domény.
konečně správná odpověď.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.