Научный форум dxdy

Вроде бы никуда особенно эту тему не приткнешь...

У нас в университете каждый сотрудник и студент имеет специальный ID и пароль (эти пароли--отдельная песня: они должны содержать ровно 8 характеров, причем требования весьма легкие. Раньше требовали менять как мин раз в год, слава богу от этого идиотизма отказались).

Для меня это дает возможность войти в кучу мест: свои персональные данные, зарплата и налоговые формы; грант; Wi–Fi, включая eduroam ; сделать себе университетский VPN (например для чтения журналов, на которые ест site–license); к данным студентов и их оценкам в курсах, которые я читаю и координирую (!!!).

Кроме того, если в аудитории есть дата-проектор, то использовать его я могу только введя эти данные (если аудитория на > 100 мест). И вот последнее меня стало настораживать: в принципе студенты могут подглядеть (ведь я ввожу эти данные почти на каждой лекции--хотя почти вся лекция это доска и мел !) И если меня мало беспокоят мои личные данные и гранты, сетевой вход уже серьезнее, а оценки--серьезней некуда!

Поделился я своими опасениями с кафедральным админом, а он мне сообщил, что пару месяцев назад он эти мысли высказал лицам, ответственным за это оборудование, а его проигнорировали! Правда, он не расписывал, чем чревато... Ну я написал тем же людям с описанием опасностей, и получил ответ, что мол все под контролем, а в принципе для проектора я могу потребовать отдельный логин/пароль. Спасибо, а то, что в курсе кроме меня еще два инструктора и 4 ТА, которые имеют доступ к тем же оценкам, меня волновать не должно (!!)

Вопросы:
(а) У меня приступ паранойи или все-таки эти люди--непуганые идиоты?
(б) Стоит написать провосту и объяснить, чем дело чревато (если чей-то череп украсит столб перед его вигвамом, то "такова c'est la vie", и не слишком большая плата за прогресс)?

Работа с защищаемой информацией должна журналироваться.
Далее всё зависит от безалаберности разработчиков СЗИ.
Если разработчики продумали систему, то должна быть возможность автоматической отменить действия используя журнал. Или в ручном.
Доступ к журналу должен быть у системного администратора, у обычных пользователей он должен быть ограничен. Либо это 2 разных журнала.

Как показывает многочисленная практика в любой системе защиты есть изъяны:
https://www.youtube.com/watch?v=4xYjTHZS1Uk
Так что быть параноиком или нет решать вам.

У нас некоторое время назад ввели двухфакторную аутентификацию (по text message). Не помню, на 100% обязательно, или нет, но к некоторым вещам (payroll, HR, tax forms) без неё точно нельзя.

Мне лично это почти не вызывает неудобств (все text messages приходят прямо на компьютер, с которого я работаю), но жалуются люди, которые ездят, например, в Китай.

Вообще для поездок за границу можно использовать wi-fi calling, но у него есть некоторые очевидные неудобства, в частности, необходимость держать в телефоне американскую симку вместо местной (или постоянно её менять).

Должен сказать, что такую неуёмную, и, главное, безальтернативную любовь к SMS как в России, я не встречал нигде. На мой взгляд, это неудобно. Я знаю нескольких людей, у которых нет мобильных телефонов--и они отнюдь не динозавры. Банки немного используют их--если заподозрят fraud с кредитной картой, они могут дать вам возможность подтвердить или запретить.

У нас есть дополнительные пароли к payroll (и связанными ... ) и к представлению финальных оценок-- но не к текущим оценкам.

Но дело в том, что есть области разной степени важности. И использование video equipment явно самое неважное, что есть. Ну выведут на экран неприличное слово или изображение.... И при этом ввод пароля легче всего подглядеть.

А оценки--это серьезно (и желающие залезть туда найдутся). И в принципе отношение к этому суперсерьезное: я не имею права хранить личные данные (вкл. оценки) студентов на компьютере без full disk encryption. А тут такое разгильдяйство!

Даже с журналированием и откатами не всегда есть возможность доказать что вход под твоим логином выполнил не ты сам.
Потому если пароль даёт доступ к критичной информации, то лучше бы его ввод оградить от возможности удалённого съёма. Или сделать разные пароли (в том числе наследуемые, т.е. включающие и права менее защищённых), или тупо огородить место ввода пароля от посторонних глаз, или сделать ввод пароля не с клавиатуры, а с карты, usb брелка и прочего, что нельзя подсмотреть простыми средствами (RFID можно, его не используйте, как и прочие радиометоды, только провода).
Насколько критичная та информация, доступ к которой могут получить посторонние - решать Вам совместно с администрацией. Может они посчитают что ничего важного не хранится и не будет храниться никогда ... Возможно Вам придётся провести лекцию о важности данных и их защите для администрации ... Тут я не советчик, не знаю специфику.
Ну а паранойя "в малых дозах полезна в любом количестве". Лучше по возможности защититься заранее чем потом кусать локти в попытках доказать что ты не верблюд.

Интересно, что у меня ровно противоположное впечатление -- тарифы с безлимитными СМС в России появились значительно позже, чем в Европе/США (и плата за СМС поштучно уже является архаизмом, в частности, потому что оператору они ничего не стоят). В последнее время я с кем только не общался (включая риэлторов и ипотечных агентов), и все они почему-то "дефолтным" способом считают СМС; они их даже диктуют если за рулём.

Самое интересное, что я и в России не встречала. Говорить дешевле. Мессенджеров полно. СМС дорогие. Зачем?

Для идентификации - используются. Банки, в частности, для 3d-Secure. В других аналогичных ситуациях.
Потом, те же банки для сообщений об операциях по банковским картам.

А что касается паранойи... сколько там цифирь, говорите? а, даже не цифирь, произвольных символов. Восемь. Так вот, что касается паранойи, меня больше напрягает расплачиваться по карте в магазине, когда вся очередь вместе с кассиром висит над тобой (4 цифры, напоминаю), или снимать наличные где-нибудь в метро, да хоть и в банке - та же очередь.

-- 13.05.2018, 03:58 --


Да, если некий лимит заложен в абонентскую плату.

Да, я имею в виду поштучно, конечно. Лимит у меня тоже есть, но он несколько тысяч, если не больше (при этом часть автоматически идёт через imessage и не считается, но это уже детали).

Входящие SMS бесплатные вообще-то.