infowatch (infowatch) wrote,
infowatch
infowatch

Диагноз по логину

Вчера у нас тут зашёл разговор о корпоративных адресах электронной почты. Нужна ли стандартизация их составления? Нужна ли унификация? Допустимы ли отступления от стандарта? Что важнее: простота идентификации, краткость или привычность?

При выборе стандарта на логины и адреса электронной почты слово подразделения ИБ – далеко не самое весомое, поскольку угрозы безопасности тут если и присутствуют, то не критичные. Важнее такие соображения, как удобство использования и (не)возможность быстрой идентификации владельца адреса. Например, запускать тот же ssh удобнее (значит, эффективнее), не указывая параметра username. Значит, логины имеет смысл унифицировать.

Генерально можно выделить два основных подхода: (1) работникам позволяют выбрать логин (e-mail адрес) по собственному вкусу, надеясь на их разумность; (2) вид логина определяется правилами как производное от имени или должности. Понятно, что у каждого из двух есть свои преимущества и недостатки.

Вспоминается история, как моя знакомая пришла на новую работу. Сисадмин местный ей говорит:
– Ваше имя Олеся Вытнюк, поэтому адрес у вас будет ovyt@company.ru
– Я вам никакой не "овыт". Мне это имя не нравится.
– Таковы наши правила: одна буква от имени и три от фамилии.
– А мне оскорбительно носить подобную кличку. Дайте мне другой адрес.
– Нет. У нас так положено. Вон, даже Елена Бакланова не жалуется.
– А я буду жаловаться директору.
– Да пожалуйста!
Директор приказал сделать исключение и выделить новой сотруднице такой логин, какой она выберет.
– И какой же адрес вы желаете?
Она задумалась и выдала такое, от чего присутствующие айтишники полезли под столы:
– "Лулу".

В пользу производных от имени или должности "принудительных" логинов говорит и другой случай. Когда ваш покорный слуга работал в маленьком интернет-провайдере, для расшифровки логов доступа и дескрипций сетевых интерфейсов пришлось завести отдельную базу. Инженерный персонал по старой традиции избирал себе краткие 2-3-буквенные логины типа "ovm" или "vab", каковыми и подписывался. Для расшифровки таких сообщений, дескрипторов, указателей и логов понадобилась база. На то, чтобы её составить, поддерживать и поминутно к ней обращаться, уходило время.

Но идти против древних айтишных традиций я не рискнул (тем более, что и сам тоже... грешен).

Итак, задачка. Какой из адресов предпочтителен:
  1. nnf@firma.ru
  2. Nikolay.Fedotov@firma.ru
  3. security@firma.ru
  4. u1645@firma.ru


Tags: оценка рисков, персональные данные, политика безопасности, тесты
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 56 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →