Пароль admin-а - сообщаете заказчику или нет?

Как построить, что использовать, почему не работает и т.п. Не знаете куда писать? Пишите сюда!

Как поступаете с паролем admin-а?

1) Его знает только заказчик.
2
14%
2) Знаете оба (придумываете вы или заказчик)
5
36%
3) Знаете только вы, заказчику сообщаете лишь при необходимости
4
29%
4) Не заморачиваюсь - всем ставлю одинаковый пароль
1
7%
5) Совсем не заморачиваюсь - везде оставляю стандартный
2
14%
6) Кто такой admin?
0
Голосов нет
 
Всего голосов: 14

S@rge
Специалист
Сообщения: 630
Зарегистрирован: 19 янв 2017, 09:34

Пароль admin-а - сообщаете заказчику или нет?

Сообщение S@rge » 02 мар 2018, 12:38

Поделитесь опытом кто какую схему использует. Сделал опросник со следующими вариантами:
1) Пароль знает только заказчик.
Вся ответственность за стойкость к подбору, утерю и скомпроментированность пароля лежит на заказчике. Если он безответственный, то придется постоянно мотаться на объект чтоб сбросить пароль, скандалить ("я ничего не делал, оно само / вы сами все сломали / г-но ваше видеонаблюдение, верните все как было и платить за это не собираюсь"). Но как вариант можно сделать удаленный доступ (предполагается что он необходим) только через облако (в случае когда есть выбор между ним и проброшенным наружу (измененным) медиапортом при белом IP), что ощутимо повысит безопасность. Неудобство при необходимости в обслуживании - каждый раз надо приглашать заказчика чтоб ввел пароль.

2) Пароль знаете оба (придумываете вы или заказчик)
В отличие от предыдущего варианта есть возможность повлиять на сложность пароля, чтоб по крайней мере быстро не подобрали и нет проблем с доступом к настройкам оборудования.

3) Пароль знаете только вы, заказчику сообщаете только при необходимости
Вариант, которым пользуюсь сам. Сразу оговорюсь что клиенту делаю отдельную учетку с правами оператора (просмотр риалтайм и архива, выгрузка архива). Себе тоже создаю отдельного пользователя, но уже с админскими правами. Админу ставлю очень сложный пароль и вообще стараюсь его не трогать. Если клиент настойчиво просит возможности рулить всем самому, предупреждаю о последствиях некомпетентного вмешательства и о том что все ходы записаны (но не говорю где). Все admin-ские пароли клиентов храню в базе KeePass-а, зашифрованной длинным сложным паролем. Но по мере того как база начала пухнуть, стала возрастать вероятность что если вдруг будет утечка с моей стороны и я вовремя (пока не забрутфорсят мою базу) ее не обнаружу и не успею поменять все админские пароли, то это будет армагеддец. :shock:

Варианты 4-6 комментировать не буду. :roll:

В-общем, голосуем и, желательно, аргументируем свою позицию в коментах.

Аватара пользователя
kROOT
Специалист
Сообщения: 13453
Зарегистрирован: 02 сен 2013, 14:25
Откуда: youcam.pro
Контактная информация:

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение kROOT » 02 мар 2018, 13:00

- Кто этот ковбой?
- Неуловимый Джо!!!
- А почему он неуловимый?
- А кому он нахрен нужен!

Sergiodemaster
Специалист
Сообщения: 3407
Зарегистрирован: 16 окт 2012, 09:24
Откуда: Рязань

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение Sergiodemaster » 02 мар 2018, 13:01

S@rge писал(а): 1) Пароль знает только заказчик.
Вся ответственность за стойкость к подбору, утерю и скомпроментированность пароля лежит на заказчике. Если он безответственный, то придется постоянно мотаться на объект чтоб сбросить пароль, скандалить ("я ничего не делал, оно само / вы сами все сломали / г-но ваше видеонаблюдение, верните все как было и платить за это не собираюсь"). Но как вариант можно сделать удаленный доступ (предполагается что он необходим) только через облако (в случае когда есть выбор между ним и проброшенным наружу (измененным) медиапортом при белом IP), что ощутимо повысит безопасность. Неудобство при необходимости в обслуживании - каждый раз надо приглашать заказчика чтоб ввел пароль.
Правильный только этот вариант.
Остальные вполне обоснованно ведут к обвинениям к бэкдорству.
Если изначально связаться с заказчиком-идиотом, то повод для "я ничего не делал, оно само / вы сами все сломали / г-но ваше видеонаблюдение, верните все как было и платить за это не собираюсь" будет совершенно любой.
Если заказчик пролюбил пароль - почему бы не съездить на сброс за отдельную плату? Это явно негарантийный случай.
P.S. Устанавливайте такую стоимость негарантийных вызовов, которая замотивирует клиента вести себя осознано.

Аватара пользователя
VirtualLink
Специалист
Сообщения: 1846
Зарегистрирован: 09 апр 2016, 12:38

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение VirtualLink » 02 мар 2018, 13:02

Ответственность это не просто слова, а еще и смысл, а совесть далеко не нечто эфимерное!
Выполнив все свои обязательства перед заказчиком, передать под роспись или иное передать пароли от системы, либо в некоторых случаях требовать смены в при тебе, чтобы исключить возможные казусы при отсутствии дальнейшего как прямого, так и удаленного обслуживания системы!
Опросник общий, а случаи все частные и индивидуальные и где-то частнику надо так, а где-то безопаснику юрлица нужно еще хлеще, а где-то ссылаясь на дырявую память или ему больше делать нечего как помнить пароли, хранить бумажки и прочее. Он купил, а ты продал-(установил), значит будет дергать по любому поводу и т.п.
Все сугубо индивидуально и в один опросник объективно все не втолкнуть и нужен множественный выбор, а не только один из и никаких гвоздей !

Ставить оборудование к которому можно генерить пароли или знать методы сброса при непосредственной работе с оборудованием и не страдать либо чётко понимать что в ТП этого бренда тебя незафутболят!

Аватара пользователя
kROOT
Специалист
Сообщения: 13453
Зарегистрирован: 02 сен 2013, 14:25
Откуда: youcam.pro
Контактная информация:

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение kROOT » 02 мар 2018, 13:08

У меня ГАЗПРОМ!!! купил 4G камеры за своими объектами приглядывать, ХМ без пароля по дефолту естественно. Висели несколько месяцев, я все ждал когда они пароли сменят... так и не дождался.
В один ЧОП поставил в их кабинете камеру, показал как менять пароль. Не поменяли, а хозяин в этот кабинет постоянно баб приводит. Сначала просто камеру закрывал листком, а потом просто рег стал выдергивать из розетки.
А вы тут какие то компрометации обсуждаете.

S@rge
Специалист
Сообщения: 630
Зарегистрирован: 19 янв 2017, 09:34

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение S@rge » 02 мар 2018, 13:14

kROOT
Это как сказать. На некоторые регистраторы долбятся долго и упорно с разных IP. И скорее всего не с целью разжиться интересными видосиками, а чтоб разблокировать телнет и установить какую-нибудь гадость, включающую рег в состав ботнета.

Sergiodemaster
Да, все больше склоняюсь к первому варианту.

VirtualLink
Первое сообщение поправить уже не могу, так что множественный выбор у меня сделать не получится.

Аватара пользователя
VirtualLink
Специалист
Сообщения: 1846
Зарегистрирован: 09 апр 2016, 12:38

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение VirtualLink » 02 мар 2018, 13:17

S@rge писал(а): VirtualLink
Первое сообщение поправить уже не могу, так что множественный выбор у меня сделать не получится.
Это ни сколько не претензия, а размышление, не более!
В данных условиях максимально передать все заказчику, а если он не может, не хочет или наоборот хочет, чтобы его сопровождали и реагировали оперативно, то принять меры!
Тогда 1

Аватара пользователя
kROOT
Специалист
Сообщения: 13453
Зарегистрирован: 02 сен 2013, 14:25
Откуда: youcam.pro
Контактная информация:

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение kROOT » 02 мар 2018, 13:19

S@rge писал(а):kROOT
Это как сказать. На некоторые регистраторы долбятся долго и упорно с разных IP. И скорее всего не с целью разжиться интересными видосиками, а чтоб разблокировать телнет и установить какую-нибудь гадость, включающую рег в состав ботнета.
Да, долбятся перебирая с десяток совсем стандартных паролей, технически не целесообразно брутить пароли больше 4х символов или использовать словари в миллион паролей.

S@rge
Специалист
Сообщения: 630
Зарегистрирован: 19 янв 2017, 09:34

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение S@rge » 02 мар 2018, 13:26

kROOT
Долбятся так, что за пару дней могут логи забить (>2000 записей). Пытаются подобрать не только пароли но и логины. То, что после трех неудачных попыток IP-шник блокируется на час, их не останавливает.

Вообще было бы замечательно если бы производители регистраторов разрешили переименовывать admin-а - это бы многократно усилило безопасность.
VirtualLink писал(а):Ставить оборудование к которому можно генерить пароли или знать методы сброса при непосредственной работе с оборудованием и не страдать либо чётко понимать что в ТП этого бренда тебя незафутболят!
От забытого пароля админа у хика к счастью есть импорт заранее сформированного GUID файла, но вот если пароль сменили, то увы не работает.

Аватара пользователя
KonBez
Специалист
Сообщения: 1308
Зарегистрирован: 19 янв 2017, 14:25
Контактная информация:

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение KonBez » 02 мар 2018, 13:46

Мне конечно дичайше интересно про ботнет и смену настроек - какие реальные опасности это всё представляет, ну кроме просмотра нежелательного.
Склоняюсь к мнению, что пароль должны знать оба, потому как неоднократно сталкивался с ситуацией, когда через год после установки никто админского пароля не знает, а установщик смылся, разорился, недоступен и всё. Кстати у нас чаще всего на пароли никто не заморачивается.
Вы безопасник, и по умолчанию подразумевается что вы не будете использовать оборудование во вредительских целях, заказчик владелец, поэтому знать пароль он обязан, т.к. всё оборудование его.

Рустам
Специалист
Сообщения: 3679
Зарегистрирован: 10 май 2007, 06:59
Откуда: Челябинск

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение Рустам » 02 мар 2018, 14:05

На момент запуска системы его знают оба:
- я, потому что его забиваю при настройке
- заказчик, потому что ему передаю письменно в составе исполнительной документации.
Сразу после сдачи заказчик может менять этот пароль как ему вздумается - это его система о чём ему устно и сообщаю.
Если заказчик не поменял пароль и подозревает бэкдорство - ну так пусть меняет.
Если заказчик поменял пароль и потерял его - ну так сам и виноват.

S@rge
Специалист
Сообщения: 630
Зарегистрирован: 19 янв 2017, 09:34

Re: Пароль admin-а - сообщаете заказчику или нет?

Сообщение S@rge » 02 мар 2018, 14:40

KonBez писал(а):Мне конечно дичайше интересно про ботнет и смену настроек - какие реальные опасности это всё представляет, ну кроме просмотра нежелательного.
...
Склоняюсь к мнению, что пароль должны знать оба, потому как неоднократно сталкивался с ситуацией, когда через год после установки никто админского пароля не знает, а установщик смылся, разорился, недоступен и всё. Кстати у нас чаще всего на пароли никто не заморачивается.
Вы безопасник, и по умолчанию подразумевается что вы не будете использовать оборудование во вредительских целях, заказчик владелец, поэтому знать пароль он обязан, т.к. всё оборудование его.
Теоретически много чего - от забития интернет канала и повышенной нагрузки на роутер (от большого числа соединений слабеньким моделям может поплохеть) до заражения всех компов в сети с регистратором (к слову об отдельной сети под видеонаблюдение).
...
Как вариант пароль админа знает только заказчик, а у меня будет отдельная учетка с админскими правами. У меня остается возможность настройки, а у заказчика полный контроль на регом. Если захочет, пусть удаляет моего пользователя.

Ответить

Вернуться в «Общие вопросы по видеонаблюдению»