1568

Удалено1

Удалено
Вы смотрите срез комментариев. Показать все
27
печеньки!
Автор поста оценил этот комментарий

у провайдеров есть такая щитука звется биллинговая система, в ней хранится вся информация об абоненте, доступ к биллингу есть даже у самого всратого монтажника, единственное у кого то больше прав у кого то меньше, соответственно кто то видит больше, кто то меньше. А еще есть законы обязывающие провайдера хранить всякое, что накликали, но тут уже с доступом все сложнее.

раскрыть ветку (50)
52
Автор поста оценил этот комментарий

Пароли не должны быть доступны в открытом виде нигде и ни для кого. В нормальных системах (и это уже давно фактически стандарт) пароли хранятся зашифрованными таким образом, что восстановить их как было нельзя, можно только проверить что введенный пользователем пароль тот же самый (это делается без расшифровки)

раскрыть ветку (12)
14
Сраказмирую
Автор поста оценил этот комментарий

Вы не поверите. Но есть такая вещь как протокол Radius. Так вот, для ряда алгоритмов шифрования, используемых для передачи пароля от NAS к радиус-серверу (если вообще не всех), биллинг должен хранить пароль в открытом виде. Т.е. всякие хеши паролей идут лесом. А учитывая, что у большинства операторов для входа в ЛК и для поднятия PPPoE используется один и тот же пароль... Ну сами понимаете...

И даже если предположить, что оператор использует только IPoE, где пароль в установлении подключения не участвует, биллинг один фиг рассчитан на 100500 разных видов подключений и будет хранить пароль в чистом виде.

раскрыть ветку (10)
13
Автор поста оценил этот комментарий
Не для алгоритмов хеширования, а для протокола аутентификации. Если NAS использует только древнее говно в качестве протокола аутентификации, то да, хеширования не будет.
Однако ни один современный протокол такого не позволяет.
раскрыть ветку (2)
5
Сраказмирую
Автор поста оценил этот комментарий

Радиус - протокол из 80х и ничего новее pap/chap/ms-chap2 с тех пор так и не придумали, да и аналогов самому радиусу нет (кроме диаметра, про который я только слышал, но не видел даже поддержки в железе, не то чтобы в эксплуатируемом виде)

раскрыть ветку (1)
2
Автор поста оценил этот комментарий
Ну так используйте ms-chap2, в нём проблема?
Ну и речь то шла про хранение, а не передачу..
2
Автор поста оценил этот комментарий

Ну как бы вывод напрашивается сам собой:

Разделить пароли для тех взаимодействия и верхнеуровневой информации в ЛК

раскрыть ветку (1)
Автор поста оценил этот комментарий

Ну как бы они и так разделены...

6
Автор поста оценил этот комментарий

Не знал. Что ж, это возможно оправдывает хранение паролей в открытом виде, но не оправдывает их показ в открытом виде в любых пользовательских интерфейсах, для любых сотрудников компании.

раскрыть ветку (1)
Автор поста оценил этот комментарий

не оправдывает их показ в открытом виде в любых пользовательских интерфейсах, для любых сотрудников компании

так не для любых. только для тех, кто собственно связан с процессом включения. какой-нибудь сраный менеджеришка или хрюша вашего пароля не увидит.

в одном маааленьком но гордом провайдере, когда я там работал, была именно такая система - девочки 1й линии по телефону не могли увидеть пароля, только сверить (как и кодовое слово). сливу это совершенно не мешало, а вот проблем доставляло :)

Автор поста оценил этот комментарий

Для работы по протоколу Радиус не нужен открытый пароль, не вводите людей в заблуждение.

раскрыть ветку (2)
4
Сраказмирую
Автор поста оценил этот комментарий

Вы ошибаетесь. Если покопаетесь в алгоритмах расчета хешей CHAP/MS-CHAP, то увидите, что радиус, не зная пароль в чистом виде, не сможет его проверить.

раскрыть ветку (1)
3
Сраказмирую
Автор поста оценил этот комментарий

Дабы не быть голословным, вот кусок кода из моего собственного радиус-сервера.
chapPassword и chapChallenge приходят от NAS и на их значение повлиять нельзя никак. password берется из БД и должен быть plain-text, иначе хеш просто не посчитать.

Иллюстрация к комментарию
0
Автор поста оценил этот комментарий

В нормальных системах (и это уже давно фактически стандарт) пароли хранятся зашифрованными таким образом, что восстановить их как было нельзя

И тут на сцену выходит биллинговая система UTM5. Одна из самых дешевых, естественно сертифицированная. Угадай с одного раза в каком виде там хранятся пароли? :-)

15
Автор поста оценил этот комментарий
Хранить пароли в открытом виде - это как минимум моветон. В нормальных системах пароли хранятся в виде результатов хеш-функций. Как раз для того, чтобы ими нельзя было воспользоваться сотрудникам организации.
Что касается "хранить все", то хранить, не означает пользоваться.
Учитывая, что у большинства народу один пароль на все системы, то это пипец какая дыра в безопасности. По факту, данный инцидент - есть компрометация персональных данных пользователя. И за такое положено ебать оператора этих данных.
раскрыть ветку (29)
Автор поста оценил этот комментарий

Провайдеры вынуждены некоторые вещи в открытом виде хранить, потому, что это их приходится регулярно напоминать пользователям. Если  менять на новый у 95% пользователя "все сломается" и придется делать выезд монтажника.

раскрыть ветку (12)
7
Автор поста оценил этот комментарий
Хранить не равно использовать и передавать сотрудникам.
Во-вторых, пароли в открытом виде не относятся к той информации, которую провайдеры должны хранить для соблюдения ФЗ.
раскрыть ветку (9)
Автор поста оценил этот комментарий
Сотрудник имеет доступ что бы сделать все манипуляции где надо включать голову за клиента. Возня с безопасностью и объяснения клиентам видимо обходится дороже, чем единичные случаи злоупотреблений.
раскрыть ветку (8)
3
Автор поста оценил этот комментарий

Доступ сотрудников должен работать без пароля пользователя, а иными альтернативными способами, которые показывают кто зашёл и что делал и сохраняют пароль пользователя не скомпроментированным.

раскрыть ветку (1)
Автор поста оценил этот комментарий

ну а оно так и работает. в других системах точно так же - в "партнерке" поставщика услуг я прекрасно вижу кого подключил, могу врубить/вырубить оборудование/поменять тарифы итд. а вот пароль я поменять или узнать не могу - восстановление только через почту/телефон клиента.

а у провайдера пароль клиента нужен сотруднику в одном-единственном случае: ввести/подсказать в клиентскую железку, потому что бумажку с оным паролем этот драгоценный человек почему-то просрал. никакой иной ценности этот пароль не имеет для сотрудника. вы же не возмущаетесь, что проктолог вашу жопу видит (и может, о ужас, в неё проникнуть)?

4
Автор поста оценил этот комментарий

Это недопустимая ситуация. Вы не можете проконтролировать как будет использоваться в дальнейшем эта информация. Ска, да если бы я предлагал/использовал такие вещи, меня даже на работу не брали. А тут всем похуй.

И находятся пользователи, которые оправдывают такую ситуацию - просто рукалицо. Или вы сотрудник этой органиации? Тогда понятна ваша позиция ))

раскрыть ветку (2)
Автор поста оценил этот комментарий

Это недопустимая ситуация

только в идеальном мире. тут провам приходится балансировать - или так, или постоянные расходы на выезды к клиентам и прочее. иногда встречаются всратые решения типа IPoE с привязкой к мак-адресу,  работа логина/пароля только в "своём" сегменте сети, итд, позволяющие и рыбку съесть и к клиенту 100500 раз не ездить. но в целом, пока оптимальный вариант именно такой. учитывая логгирование и минимизацию рисков - похер всем на пароль клиентика от его интернетика на самом деле, ну что ты с ним сделаешь? а пароли от более важных вещей уже совсем по-другому защищаются.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Это не идеальный мир, так должно быть. Любые послабления подобного рода приводят потом к проблемам, прежде всего, самих клиентов. В ситации, описанной ТС никакой необходимости пересылать пароль инженеру не было.

Всегда есть возможность сменить пароль. Сбросить пароль, использовать временный код, присылаемый по смс, в конце концов. Этим технологиям уже много лет. Все отработано и доступно.
Все это не необходимость, а обычное разгильдяйство, причем на всех уровнях.

1
Автор поста оценил этот комментарий

И тем не менее это именно случаи злоупотребления.

раскрыть ветку (2)
Автор поста оценил этот комментарий

если работать без "злоупотреблений" и чётко по регламентам - это называется итальянская забастовка. к чему она приводит в итоге - уже 100500 раз обсуждалось.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Итальянская забастовка это про сотрудников, а я писал про злоупотребления оператора как организации.

2
Автор поста оценил этот комментарий

Пароли, которые прописаны на оборудовании, должны быть автогенерируемыми и не иметь отношения к аккаунту пользователя. В частности к паролю, который пользователь меняет сам

раскрыть ветку (1)
0
Автор поста оценил этот комментарий
У домру это было одно и то же когда я подключался.
Я все равно прав
Автор поста оценил этот комментарий

Забавно что когда "у большинства народу один пароль на все системы", это не "пиздец какая дыра". Ну по вашему так получается)

раскрыть ветку (15)
8
Автор поста оценил этот комментарий

А народ не является спецсубъектом в этих отношениях, а вот провайдер является, у него другие обязанности.

раскрыть ветку (9)
Я все равно прав
Автор поста оценил этот комментарий

Ну вы все же путаете туризм с иммиграцией. Если у провайдера утекут пароли, отвечать он даже в теории может только за то что третье лицо получило доступ в интернет с вашего аккаунта. А вот то что у вас пароль от почты такой же и третье лицо, узнав ваш пароль от интернета с удовольствием получило еще и доступ к почтовому аккаунту, а от туда к госуслугам, симке, банковскому счету и ключам от вашей квартиры, то это конечно следствие, но следствие в гораздо большей степени вашей собственной тупости, нежели следствие утечки ограниченного набора узкопрофильных данных.


Казалось бы при чем тут "храните деньги в сберегательной кассе" от Милославского и "не храните все яйца в одной корзине" )

раскрыть ветку (8)
3
Автор поста оценил этот комментарий

В нормальной системе даже, если  утечет информация о паролях, залогиниться нельзя будет за разумное время, так как пароль там хранить в виде хэша с солью. И никто ничего не узнает, даже, если у вас всё пароли с этим совпадают

2
Автор поста оценил этот комментарий

И что это меняет? провайдер всеравно является спец субъектом (этот вид деятельности лицензируется) и у нег есть опредленные обязанности, в том числе касающиеся безопасности.

Я не то что бы узкий специалист в этом вопросе, но уверен что провайдер обязан соблюдать кучу гостов по информационной безопасности и сомневаюсь что эти госты позволяют хранить пароли в открытом (не зашифрованном) виде.


Еще раз основная мысль была в том, что не важно какой лох клиент, важно то что у провайдера независимо от этого есть свои обязанности.

раскрыть ветку (6)
Я все равно прав
Автор поста оценил этот комментарий

В посте оператор домру. Федеральный оператор полностью на белой основе (насколько это вообще возможно).


Я тоже не спец, но есть у меня подозрение, что если домру хранит пароли в таком виде, значит у него есть основания для этого


Вариантов море. Персональная ответственность сотрудника и логгирование просмотров пароля клиента например.

раскрыть ветку (5)
1
Автор поста оценил этот комментарий

Ну некоторые обязанности выражаются не процессом, а результатом, например что-то вроде - обеспечить сохранность паролей…

раскрыть ветку (3)
Я все равно прав
Автор поста оценил этот комментарий

А вы знаете много жертв такого хранения паролей? Конкретно у дом.ру. То есть следите за руками: Пароль для (по крайней мере некоторых) работников в условно открытом для этих работников доступе. Сколько в домру работников? 10 000 по стране? 100 000? Сколько из них имеют доступ к паролям? пусть 10% А хоть один хоть сколько нибудь резонансный случай утечки был?


Я вот помню утечку паролей сбера, мегафона, пикабу. А домру не помню ни единого хоть сколько нибудь резонансного случая. А это означает как минимум то, что процесс может и уязвим с нашей непосвященной точки зрения, но все жа почему то работает.


Взять с другой стороны пикабу. Насколько я знаю, как раз пароли у них хранились в хэшах. А гляди ка ты, утекли.


Так что спорить о процессах можно до посинения, практика (пока что) показывает что домру хранит пароли надежно, даже если и не в хэше

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Да срать на дом.ру есть просто принципы безопасности, не понимаю почему их нужно игнорировать.

раскрыть ветку (1)
Я все равно прав
Автор поста оценил этот комментарий

Вероятно потому что это приносит какой то профит. Вероятно потому что такой человек как ТС, который возмущён таким подходом к делу один, ну с тобой двое, ну может с учётом охвата пикабу их стала тысяча, а бабулек, бухгалтеров, продавцов и прочих работников на местах не способных к минимальном системному администрированию, не способных восстановить/сбросить пароль даже по по шаговой инструкции сотни тысяч. Вероятно потому что существуют ситуации, когда смс со сбросом пароля в принципе ничего не даст потому что носитель симки в другом регионе, не доступен.

0
Автор поста оценил этот комментарий

Вариантов море. Персональная ответственность сотрудника и логгирование просмотров пароля клиента например.

собсно тётка на скрине о персональной ответственности и говорит.

4
Автор поста оценил этот комментарий
Ну давайте, расскажите, как заставить всех пользователей использовать разные пароли для разных систем.
Уверен, что даже у вас пароли в некоторых системах совпадают.
Обеспечить безопасное хранение паролей легко. Но по вашему виноват все равно пользователь, что провайдер пользуется его данными как хочет.
Забавно, что так рассуждает пользователь 😄
раскрыть ветку (4)
0
Автор поста оценил этот комментарий
Пользователей в компании заставить просто. Принудительная смена пароля раз в несколько месяцев, запрет использовать прошлые пароли.
Как обычного юзера заставить делать разные пароли? Сами научатся, когда от имени их страницы друзьям начнут просьбы дать в долг приходить
раскрыть ветку (3)
3
Автор поста оценил этот комментарий

Принудительная смена пароля раз в несколько месяце

Давно не является рекомендуемой практикой, у того же Microsoft-а была на эту тему статья что это только ПОНИЖАЕТ безопасность. Потому что заставляет пользователя не запоминать пароль, а записывать его, т.к. он часто меняется.


А вот делать 1 пароль - один сервис(или хотя бы группа сервисов) вместо 1 пароль на всё - это правильный подход. Но для этого по хорошему нужен менеджер паролей, потому что запомнить энцать паролей(нормальных, по 14 символов минимум, а не 123456) нереально.

1
Автор поста оценил этот комментарий
Речь то про рядовых граждан, которые являются клиентами. Ну и в вашем случае это явно не сильно поможет.
Автор поста оценил этот комментарий

А теперь включаем соображалку. Каким образом анализатор паролей узнает что ты вместо 23 в конце пароля поставил 24, а так это тот же самый пароль, если база в хэше? Значит где-то хранится ваш пароль в чистом виде. И так у всех, от гугла до местечковых провайдеров.
Вот вам и срыв покровов.
Люди у которых дома используется wi-fi, сидящие в интернете, использующие смартфоны озадачились что у васи есть доступ к его данным в процессе выполнения заявки, ужас-ужас.
Если вы не разбираетесь сами на достаточном уровне, чтобы произвести все манипуляции самостоятельно, либо нанять администратора для обслуживания своих сетей - не надо тогда жаловаться и драму устраивать. Все сделано для вашего удобства. А контролем остального занимается масса людей: РКН, СБ, активисты.

На опережение скажу, к дом.ру не имею отношения никакого, к телекому корпоративному - имею )

Автор поста оценил этот комментарий

Ты обозвал монтажника всратым, а на нем то все и держится... Когда у тебя, вдруг, пропадет интернет, ты будешь визжать, как сучка: почините - почините, у меня учеба, уроки и т.д... 🙃

раскрыть ветку (6)
2
печеньки!
Автор поста оценил этот комментарий

да, обозвал...сам когда то давным давно, во времена мыльниц на крышах, был монтажником и прекрасно знаю кто идет работать в сети...и прошу не путать инженера, который думает и монтажника который делает...это как физический уровень и логический, соответственно первого можно заменить любым строителем, а вот со вторым не все так просто.

Автор поста оценил этот комментарий

Да срать на всратого монтажника, и визжать ни кто не будет. Починят как миленькие, в этой сфере конкуренция рулит очень хорошо. Меня вообще парить не должно какой там еще монтажник.

раскрыть ветку (4)
3
Автор поста оценил этот комментарий
И когда же в "этой сфере" появилась конкуренция?))
раскрыть ветку (3)
Автор поста оценил этот комментарий

Ну у меня в подъезде как минимум 4 поставщика услуг интернета и тв борется за клиентов. И это не считая ОПСОСов.


Как итог сбои редкость, и фиксят их быстро и извиняются при этом. И даже в квартиру к тебе для этого не заходят.

раскрыть ветку (2)
0
Автор поста оценил этот комментарий
Я не буду раскрывать секреты,но никакой конкуренции,а уж тем более борьбы, среди провайдеров нет,и не будет.
Могу только сказать,что все провайдеры взаимозависимы. Кроме того, не секрет,что провайдеры с разными названиями, принадлежат одному холдингу. Например, Ростелеком и дом.ру...
Бороться за абонента нет смысла. Наоборот, менеджерам и монтажникам выгодно,чтобы абоненты постоянно ходили от провайдера,к провайдеру. Потому что, платят за каждое подключение,а не за стабильного абонента.
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Вы зачем пытаетесь мне исказить мою действительность?

У меня в городе нормальная конкуренция среди местных поставщиков таких услуг.

подключают бесплатно, можно вообще по несколько проводов в доме иметь.

Еще и роутеры дарят.


И еще раз, как итог, сбои редкость и они устраняются быстро и корректно так что я в глаза этих техников не вижу.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества