Безопасность хранения логинов и паролей в базе 1С

Страницы: 1 2 След.
RSS
Безопасность хранения логинов и паролей в базе 1С, А безопасно ли?
 
Вопрос в следующем.
При локальном доступе к базе 1С насколько реально вытащить сохраненные пароли?
Понятно, что в процессе работы при передаче они шифруются.
Может надо делать интеграцию со специализированным ПО типа keepass? И возможна ли такая интеграция?

При передаче базы разработчикам ее можно обезличить, но как быть с этими данными?
 
Цитата
Юрий Кайдашов написал:
Вопрос в следующем. При локальном доступе к базе 1С насколько реально вытащить сохраненные пароли?
Пароли при передаче шифруются (для веб-версии), если же открыта база через тонкий или толстый клиент, то канал между сервером и клиентом шифруется 1С:Предприятием.
Цитата
Юрий Кайдашов написал:
Может надо делать интеграцию со специализированным ПО типа keepass? И возможна ли такая интеграция?
Такого в планах нет. Да и не известно возможно ли в принципе.
Автоматизация сегодня - Ваш успех завтра
 
А если база попадает в руки третьих лиц? Пароли зашифрованы или нет?
 
Цитата
Юрий Кайдашов написал:
А если база попадает в руки третьих лиц? Пароли зашифрованы или нет?
Сама по себе 1С славится тем, что исходные коды конфигурации открыты. Это придает решениям на 1С невероятную гибкость за счет возможности доработок. Но есть и минусы. Если есть, что-то конфиденциальное, то имея исходники легко это все расшифровать.
Наша подсистема логинов и паролей не исключение. При желании имея базу это все можно распаковать и заполучить. Но базовая защита стоит.
Автоматизация сегодня - Ваш успех завтра
 
Таким образом получаем удобный, но непригодный к использованию в аутсорсинге инструмент.
Как и в случае с контактами, хранение паролей в конфигурации неезопасно само по себе. При этом усиление защиты не планируется в принципе.
 
Цитата
Юрий Кайдашов написал:
Таким образом получаем удобный, но непригодный к использованию в аутсорсинге инструмент.
Почему? Настроить все по правам и вперед.
Цитата
Юрий Кайдашов написал:
Как и в случае с контактами, хранение паролей в конфигурации небезопасно само по себе. При этом усиление защиты не планируется в принципе.
Хранение паролей где-то в отличном от головы месте - небезопасно само по себе изначально :)
Автоматизация сегодня - Ваш успех завтра
 
Цитата
Юрий Кайдашов написал:
Как и в случае с контактами, хранение паролей в конфигурации неезопасно само по себе. При этом усиление защиты не планируется в принципе.
1. Любая хранилка паролей не безопасна по причине возможного ее хищения и получения (расшифровки) данных из нее.
2. Сделать безопасно хранение пароля без "общего секрета" невозможно в принципе, даже если бы 1 была бы закрытой системой.

Как единственный видимый "взрослый" вариант - установка мастер пароля для шифрования паролей. Но он будет один для всех паролей и его надо будет вводить перед использованием безопасно хранимого пароля
Изменено: Юрий Гребенников - 31.08.2020 16:26:58
 
Keepass, который мы сейчас используем, так и делает.. Поэтому вводить пароль для доступа к конфиденциальной информации - для нас нормальная практика.
 
Цитата
Юрий Кайдашов написал:
Keepass, который мы сейчас используем, так и делает.. Поэтому вводить пароль для доступа к конфиденциальной информации - для нас нормальная практика.
Возьмем на заметку. Возможно добавим в будущих версиях полное шифрование данных мастер-паролем.
Но опять же, кто мешает сотруднику, который работает с базой, воспользоваться мастер-паролем и слить точно так же все данные?
Автоматизация сегодня - Ваш успех завтра
 
Цитата
Юрий Кайдашов написал:
Keepass, который мы сейчас используем, так и делает.. Поэтому вводить пароль для доступа к конфиденциальной информации - для нас нормальная практика.
Как вариант алгоритм:

  1. Добавить в настройки галочку использовать мастер-пароль для шифрования данных.
  2. При открытии подсистемы анализируем галочку и если не установлен мастер-пароль предложить его ввести. После чего пройтись по всем данным и зашифровать данные: логин, пароль, комментарий, используя мастер-пароль и закодировать их после шифрования в base64.
  3. Признак установленного мастер-пароля зафиксировать в конфигурации. Не сам пароль, а именно признак, что пароль установлен. Пароль не хранится нигде.
  4. При открытии подсистемы смотрим, что признак установленного пароля включен или нет? Если включен показываем диалог ввода мастер-пароля к данным для доступа.
  5. Ввод пароля фиксируется в переменных формы и при открытии записей с логинами/паролями производится их расшифровка используя мастер-пароль.
  6. Из формы списка скрыть реквизиты, которые могут быть зашифрованы: логин, пароль, комментарий.

Таким образом данные можно гарантировать, что даже если база "уйдет" то доступа к компрометирующим данным без мастер-пароля не будет.
По-моему нормально.
Автоматизация сегодня - Ваш успех завтра
Страницы: 1 2 След.
Читают тему (гостей: 1)