21.07.2011

Практика аутентификации на принтерах и iPad/iPhone

Эта история произошла давно и также давно была разрешена, но решил поделиться ею только сегодня - все как-то недосуг было (а может я про нее и писал уже, но не помню). Итак представим распостраненную ситуацию - у вас в организации есть принтер ;-) И если вы не напрасно едите свой хлеб, то этот принтер включен в общую модель угроз - не только как источник угроз, но и как их цель, а также как одно из самых слабых звеньев в системе защиты предприятия. Ведь именно там остаются невостребованные распечатки, в кеше хранятся уже распечатанные или отсканированные документы и т.д.

Если не рассматривать межсетевые экраны для принтеров (есть и такие), то существуют простые и понятные рекомендации многих производителей принтеров, как защитить процесс печати (например, у HP). На хорошем английском, а иногда и русском, языке описываются механизмы защиты принтера - аутентификация, стирание информации, защищенное управление, отключение ненужных портов, блокировка панели управления и т.д. В общем все просто и понятно. Но...

При разработке такой продукции, как принтера, в полный рост проявляется американский шовинизм, а местами даже расизм. Американцы почему-то считают, что весь мир говорит на английском языке. И поэтому на принтерах существующая клавиатура дана только в одной раскладке - англоязычной.

(не нашел хорошей фотографии клавиатуры принтера , но суть понятна)

И вот тут появляется классическая проблема неанглоговорящего безопасника. Если он установит обязательную аутентификацию пользователей для доступа к заданиям на печать, то что делать с пользователями, которые выбирают пароли, состоящие из русских слов и букв, но в английской раскладке? Заставлять пользователей менять пароли, чтобы они были на английском языке? Не вариант. Вариант есть - он прост и давно применяется теми, кто покупает ноутбуки не в России, а, например, в Европе или США, - лазерная гравировка клавиатуры (если изначально производитель не нанес русские символы).



Но... все это работает до тех пор, пока вы имеете дело с физической клавиатурой. Но возьмем современные модели принтеров того же HP:


В них отсутствует физическая клавиатура - ей на смену пришла виртуальная клавиатура, отображаемая на дисплее в нужный момент (примерно, как на iPhone или iPad). Фото на сайте HP я не нашел, но нашел скриншот процедуры ввода пароля на iPad, у которого та же проблема:


Как ввести "русский" пароль на такой раскладке? Раньше пользователям приходилось переключаться между раскладками, чтобы вспомнить, какой символ английской раскладки соответствует русскому символу пароля. Потом мы в офисе поступили просто - приклеили рядом с дисплеем принтера табличку с двумя раскладками (как на фото принтера Brother выше). Это автоматически решило проблему. Но только для принтера... Для iPad/iPhone проблема пока нерешаема (я пока варианта не нашел). В нем, при вводе пароля, в принципе нельзя переключиться на другую раскладку - iOS блокирует эту функциональность, справедливо считая, что пароли, чтобы нормально функционировать в разных сценариях, сайтах и приложениях, должны быть только англоязычными.

Поэтому iPad снижает уровень защиты предприятия ;-( Причин тому несколько. Чтобы удобно пользоваться парольной защитой пользователь должен ограничивать себя выбором либо короткого "русского" пароля, запоминаемого в английской раскладке, либо использовать ограниченное пространство англоязычных легко подбираемых паролей. И тут как никогда важна простая и понятная политика выбора надежных паролей.

10 коммент.:

Шауро Евгений комментирует...

Алексей, надуманная проблема. Нужно вводить пароли на английском языке в такой же раскладке.

Шауро Евгений комментирует...

Ну и вечная дилемма удобство<->безопасность

Alexey комментирует...

Сфотографируйте клаву ноутбука или простую клаву и повесьте рядом - пользователь сам сопоставит русский с английским. Я себе в iPade так и сохранил, т.к. пароли у меня ээээ...сложные )

Алексей Лукацкий комментирует...

Alexey: А куда вешать фото клавы при использовании iPad/iPhone?

Евгений: Какая же она надуманная? У меня, например, один из паролей представляет собой русские буквы из слов одной длинной фразы в английской раскладке. При наличии гравировки русской раскладки я легко ввожу пароль. А без нее - это проблема, т.к. пароль у меня длинный.

Шауро Евгений комментирует...

Алексей, ну сделайте себе в качестве пароля фразу из английских слов. :)

Алексей Лукацкий комментирует...

Ну, во-первых, это повышает энтропию, ограничивая объем используемого алфавита ;-(

Во-вторых, я не готов подстраиваться под недостатки планшетника или смартфона.

В-третьих, у меня таких паролей около десятка. Все менять? Накладно получается.

Евгений комментирует...

Учитывая:
- "родность" русского языка, следовательно больший словарный запас пользователя;
- сложность русского в плане словоизменчивости (падежи, склонения, окончания и проч.);
- легкозапоминаемое неформализуемое словообразование (нюшка=няшку+зачихвостила33);

сильно затрудняет составления словаря, следовательно, предлагая использовать английские слова русским пользователям, вы сильно уменьшаете энтропию.

Алексей Лукацкий комментирует...

Ну или уменьшаете ;-) Я всегда путаю

Евгений комментирует...
Этот комментарий был удален автором.
Евгений комментирует...

Да и я ошибся, текст направлен к Шауро Евгению.

Кстати сам недавно мучился со своим новым русско-англобуквенным паролем. Долго не мог понять, почему не получается правильно набрать его на телефоне Nokia E63. Вроде клавиатура ЙЦУКЕНГ и соответствие компу проверял. Оказалось все таки пропустил - на компе русские буквы "БЮЭ" соответствуют ",.'", а на телефоне не соответствуют. :)