Názor k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od Buldr - Mně úplně ke spokojenosti stačí ISV certifikace, což...

Mně úplně ke spokojenosti stačí ISV certifikace, což mají všechna provozovaná zařízení a tím je vyřešena základní funkce a přirozeně i plnou integraci pod Windows Server ADDS s centrální správou, včetně TPM.

Prostá elegance centrální správy řeší situace, kdy se Yubikey (NFC) prostě rozbije. Nejběžnější příčinou fyzické výměny tokenu zůstává rozdrcení a děje se to proto, že klíče i s token ležící na vaně kufru přizdí 20-30 kg kufr či brašna s nářadím. Rezervní klíče jsou dávno v systému a přirazení konkrétní osobě zabere pár vteřin. Mnohem déle trvá slovní hromobití spojené s fyzickým předáním.

Tím chci říci, že všechny telefony Samsung, notebooky HP Elitebook, Panasonic Toughbook, stolní počítače HP Elitedesk, Jablotron, NFC čtečky ovládající zámky … s tím zkrátka fungují. Jistě, první kdo přijde do práce musí použít fyzický klíč, zbytek už se courá jen prostým přiložením Yubikey k čtečce a rovnou se tím řeší i docházkový systém. Mimochodem největší hloupost je docházkový systém založený na biometrice, protože ruce řemeslníků vypadají různě a čtečky s tím mají zatraceně velký problém, proto je NFC token lepším řešením, které vylučuje problémy se stavem jejich rukou. Modernější a pohodlnější verze SmartCard. Otisk prstů je zkrátka u řemeslníků dost nespolehlivé řešení.

Jasně, jsou dodavatelé, kteří 2FA nepodporují, ale pořád jsou tu klíčenky, kde ty hesla uložena jsou a nemusí si je pamatovat, protože se vše děje automaticky. Pravdou je, že u většiny dodavatelů se to řeší telefonem a mailem, protože se osobně znáte a jste neustále v kontaktu (Socomec, Hager, Schneider ...) a domlouváte s konkrétními lidmi. To platí i o velkoobchodních partnerech, které dodávají svorkovnice, svorky, vodiče, kde je to zase osobní přístup a třetím typem dodavatelů jsou velkoobchody, kam si osobně zajedou (zapomněli, urgentně potřebují) a hezky si to vyzvednou na místě. No vlastně za ty roky už je to také skoro osobní, protože ten okruh je vlastně neměnný.

Určitě vymyslíš dalších 100+1 důvodů, proč je to úplně k ničemu a proč to nemůže nikdy fungovat. SC jsem na firmě používal 10 let, poslední 3 roky jsem přešel na Yubikey NFC a když se čtečka strčí nízko, tak nemusí ani tahat klíče z kapsy montérek. Nikoho to neotravuje a bezpečnost i automatizace je podstatně někde jinde, než kdyby měli spoléhat jen na hesla. A to jsme malá firma, spíš rodina, kde nás není ani 25 a jde to. Vlastně ono to není vůbec drahé, protože zdravá firma si ty pořizovací náklady hravě zaplatí.

P.S.: S iPhone a Yubikey bývalo dost problémů, to už by mělo být vyřešení, ale i tak jsou firemní telefony Samsung (dlouhodobě), protože ve správě a podpoře jsou nejdál. Teď sice kupuji HP, ale úplně stejně spolehlivě funguje Dell.

1. 12. 2023, 16:35 editováno autorem komentáře