Безопасность хранения логинов и паролей в базе 1С

Безопасность хранения логинов и паролей в базе 1С, А безопасно ли?

Новичок

Сообщений: 26 Регистрация: 28.01.2020

28.08.2020 17:08:52

Вопрос в следующем.
При локальном доступе к базе 1С насколько реально вытащить сохраненные пароли?
Понятно, что в процессе работы при передаче они шифруются.
Может надо делать интеграцию со специализированным ПО типа keepass? И возможна ли такая интеграция?

При передаче базы разработчикам ее можно обезличить, но как быть с этими данными?

Виталий Барилко

Администратор

Сообщений: 939 Регистрация: 10.01.2016

29.08.2020 00:30:51

Цитата
Юрий Кайдашов написал: Вопрос в следующем. При локальном доступе к базе 1С насколько реально вытащить сохраненные пароли?

Пароли при передаче шифруются (для веб-версии), если же открыта база через тонкий или толстый клиент, то канал между сервером и клиентом шифруется 1С:Предприятием.

Цитата
Юрий Кайдашов написал: Может надо делать интеграцию со специализированным ПО типа keepass? И возможна ли такая интеграция?

Такого в планах нет. Да и не известно возможно ли в принципе.

Автоматизация сегодня - Ваш успех завтра

Юрий Кайдашов Новичок Сообщений: 26 Регистрация: 28.01.2020	#3 31.08.2020 13:48:39 А если база попадает в руки третьих лиц? Пароли зашифрованы или нет?

Виталий Барилко

Администратор

Сообщений: 939 Регистрация: 10.01.2016

31.08.2020 13:53:49

Цитата
Юрий Кайдашов написал: А если база попадает в руки третьих лиц? Пароли зашифрованы или нет?

Сама по себе 1С славится тем, что исходные коды конфигурации открыты. Это придает решениям на 1С невероятную гибкость за счет возможности доработок. Но есть и минусы. Если есть, что-то конфиденциальное, то имея исходники легко это все расшифровать.
Наша подсистема логинов и паролей не исключение. При желании имея базу это все можно распаковать и заполучить. Но базовая защита стоит.

Автоматизация сегодня - Ваш успех завтра

Юрий Кайдашов

Новичок

Сообщений: 26 Регистрация: 28.01.2020

31.08.2020 16:20:00

Таким образом получаем удобный, но непригодный к использованию в аутсорсинге инструмент.
Как и в случае с контактами, хранение паролей в конфигурации неезопасно само по себе. При этом усиление защиты не планируется в принципе.

Виталий Барилко

Администратор

Сообщений: 939 Регистрация: 10.01.2016

31.08.2020 16:24:28

Цитата
Юрий Кайдашов написал: Таким образом получаем удобный, но непригодный к использованию в аутсорсинге инструмент.

Почему? Настроить все по правам и вперед.

Цитата
Юрий Кайдашов написал: Как и в случае с контактами, хранение паролей в конфигурации небезопасно само по себе. При этом усиление защиты не планируется в принципе.

Хранение паролей где-то в отличном от головы месте - небезопасно само по себе изначально :)

Автоматизация сегодня - Ваш успех завтра

Юрий Гребенников

Новичок

Сообщений: 47 Регистрация: 29.03.2016

31.08.2020 16:26:12

Цитата
Юрий Кайдашов написал: Как и в случае с контактами, хранение паролей в конфигурации неезопасно само по себе. При этом усиление защиты не планируется в принципе.

1. Любая хранилка паролей не безопасна по причине возможного ее хищения и получения (расшифровки) данных из нее.
2. Сделать безопасно хранение пароля без "общего секрета" невозможно в принципе, даже если бы 1 была бы закрытой системой.

Как единственный видимый "взрослый" вариант - установка мастер пароля для шифрования паролей. Но он будет один для всех паролей и его надо будет вводить перед использованием безопасно хранимого пароля

Изменено: Юрий Гребенников - 31.08.2020 16:26:58

Юрий Кайдашов Новичок Сообщений: 26 Регистрация: 28.01.2020	#8 16.10.2020 14:43:26 Keepass, который мы сейчас используем, так и делает.. Поэтому вводить пароль для доступа к конфиденциальной информации - для нас нормальная практика.

Виталий Барилко

Администратор

Сообщений: 939 Регистрация: 10.01.2016

02.12.2020 11:27:26

Цитата
Юрий Кайдашов написал: Keepass, который мы сейчас используем, так и делает.. Поэтому вводить пароль для доступа к конфиденциальной информации - для нас нормальная практика.

Возьмем на заметку. Возможно добавим в будущих версиях полное шифрование данных мастер-паролем.
Но опять же, кто мешает сотруднику, который работает с базой, воспользоваться мастер-паролем и слить точно так же все данные?

Автоматизация сегодня - Ваш успех завтра

Виталий Барилко

Администратор

Сообщений: 939 Регистрация: 10.01.2016

#10

02.12.2020 11:42:33

Цитата
Юрий Кайдашов написал: Keepass, который мы сейчас используем, так и делает.. Поэтому вводить пароль для доступа к конфиденциальной информации - для нас нормальная практика.

Как вариант алгоритм:

Добавить в настройки галочку использовать мастер-пароль для шифрования данных.
При открытии подсистемы анализируем галочку и если не установлен мастер-пароль предложить его ввести. После чего пройтись по всем данным и зашифровать данные: логин, пароль, комментарий, используя мастер-пароль и закодировать их после шифрования в base64.
Признак установленного мастер-пароля зафиксировать в конфигурации. Не сам пароль, а именно признак, что пароль установлен. Пароль не хранится нигде.
При открытии подсистемы смотрим, что признак установленного пароля включен или нет? Если включен показываем диалог ввода мастер-пароля к данным для доступа.
Ввод пароля фиксируется в переменных формы и при открытии записей с логинами/паролями производится их расшифровка используя мастер-пароль.
Из формы списка скрыть реквизиты, которые могут быть зашифрованы: логин, пароль, комментарий.

Таким образом данные можно гарантировать, что даже если база "уйдет" то доступа к компрометирующим данным без мастер-пароля не будет.
По-моему нормально.

Автоматизация сегодня - Ваш успех завтра

Читают тему