Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#11 Оставлено : 13 октября 2021 г. 6:13:04(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,598
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 386 раз в 363 постах
Автор: basid Перейти к цитате
Хранение на токене нескольких ключевых контейнеров - вопрос, опять-таки, исключительно организации рабочего процесса.
Таким образом, доступ разных пользователей к одному ключевому контейнеру - да, плохо, а вот доступ разных пользователей к собственным (разным) ключевым контейнерам - совершенно нормально.
Добрый день. Коллега, по организационные вопросы не буду спорить. Однако есть еще момент в том, что токены (по крайней мере те модели, что мне попадались) позволяют установить только пароль пользователя (по умолчанию 12345678) и опционально пароль администратора (для сброса пароля пользователя и форматирования токена).

Никакого разделения для установки на контейнер 1 пароля 1, а на контейнер 2 пароля 2 я не заметил, тупо запрашивается пароль пользователя для доступа ко всем контейнерам. Например, при копировании на токен запрашивается пароль пользователя токена, логично что потом спрашивает, то же что и при копировании. Оговорюсь, это был пассивный режим, насколько понимаю. Возможно что-то поменяется в активном режиме. Если знаете как поставить отдельные пароли на контейнеры - "тыкните носом" меня в методику, хотя бы для рутокенов.

Другими словами, как я понимаю, токен "по дизайну" не может быть использован несколькими людьми - пароль-то один. В тоже время на флешке на каждый контейнер можно поставить отдельный пароль и для них Ваша логика справедлива (при условии что пароли сложные и разные). Но вроде как даже так, желательно чтобы на одной флешке были контейнеры с одним ФИО - такой вопрос не раз поднимался в плане возможности хранения резервных копий контейнеров со всей организации на одном носителе (в сейфе, в опечатанной ёмкости, комиссионное вскрытие).

Отредактировано пользователем 13 октября 2021 г. 6:14:07(UTC)  | Причина: Не указана

Offline basid  
#12 Оставлено : 14 октября 2021 г. 6:47:34(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 919

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 125 раз в 113 постах
Автор: two_oceans Перейти к цитате
Однако есть еще момент в том, что токены (по крайней мере те модели, что мне попадались) позволяют установить только пароль пользователя
Да, тут меня переклинило - смешались в кучу пароль на контейнер "без токена" и пароль доступа к файловой системе токена.

Offline Grey  
#13 Оставлено : 14 октября 2021 г. 11:31:45(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 797
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 195 раз в 160 постах
Автор: two_oceans Перейти к цитате
Однако есть еще момент в том, что токены (по крайней мере те модели, что мне попадались) позволяют установить только пароль пользователя (по умолчанию 12345678) и опционально пароль администратора (для сброса пароля пользователя и форматирования токена).

Никакого разделения для установки на контейнер 1 пароля 1, а на контейнер 2 пароля 2 я не заметил, тупо запрашивается пароль пользователя для доступа ко всем контейнерам. Например, при копировании на токен запрашивается пароль пользователя токена, логично что потом спрашивает, то же что и при копировании. Оговорюсь, это был пассивный режим, насколько понимаю. Возможно что-то поменяется в активном режиме. Если знаете как поставить отдельные пароли на контейнеры - "тыкните носом" меня в методику, хотя бы для рутокенов.

Другими словами, как я понимаю, токен "по дизайну" не может быть использован несколькими людьми - пароль-то один. В тоже время на флешке на каждый контейнер можно поставить отдельный пароль и для них Ваша логика справедлива (при условии что пароли сложные и разные). Но вроде как даже так, желательно чтобы на одной флешке были контейнеры с одним ФИО - такой вопрос не раз поднимался в плане возможности хранения резервных копий контейнеров со всей организации на одном носителе (в сейфе, в опечатанной ёмкости, комиссионное вскрытие).


Спасибо за подробное описание проблемы - руки не дошли у самого :)

Добавлю еще, что существуют токены, у которых несколько независимых "пользовательских" ПИН-ов, под которыми разделяется доступ к ключам: Инфокрипт VPN-Key TLS и Рутокен TLS. Но, насколько мне известно, у них тоже в документации нет разрешения на использование разными людьми, т.к. для этого нужен сертификат по классу выше КС1.

Понятно, что может быть бесчисленное количество прикладных сценариев, которые будут полагаться на доверие внутри организации, но с формальной точки зрения это всё не очень верно. Так что для таких пользователей подойдет и не самый честный способ лечения (изменение прав доступа к файлам-блокировкам).
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline zhukovia  
#14 Оставлено : 14 октября 2021 г. 12:08:12(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Автор: Grey Перейти к цитате
Так что для таких пользователей подойдет и не самый честный способ лечения (изменение прав доступа к файлам-блокировкам).

Полностью согласен, такой способ тоже подходит.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.