Проверка безопасности установленных паролей

08.03.18

Администрирование - Информационная безопасность

–

Код выводит не установленные пароли, а так же очень простые (1, 123) пароли пользователей. Список можно пополнять.

Сообщить("Проверка не безопасных паролей");
Количество = 0;

СоответствиеПаролей = Новый Соответствие();
СоответствиеПаролей.Вставить("2jmj7l5rSw0yVb/vlWAYkK/YBwk=", "Пустой пароль");
СоответствиеПаролей.Вставить("", "Пустой пароль");
СоответствиеПаролей.Вставить(Неопределено, "Пустой пароль");
СоответствиеПаролей.Вставить("NWoZK3kTsExUV00Ywo1G5jlUKKs=", "1");
СоответствиеПаролей.Вставить("QL0AFWMIX8NRZTKeof9cXsvbvu8=", "123");

Для Каждого Пользователь Из ПользователиИнформационнойБазы.ПолучитьПользователей() Цикл
	
	Если НЕ Пользователь.АутентификацияСтандартная Тогда
		Продолжить;
	КонецЕсли;
	
	Значение = Лев(Пользователь.СохраняемоеЗначениеПароля, Найти(Пользователь.СохраняемоеЗначениеПароля, ",") - 1);
	
	//Сообщить(""+Пользователь+": "+Значение);
	//Прервать;

	Описание = СоответствиеПаролей.Получить(Значение);

	Если НЕ Описание = Неопределено Тогда
		Сообщить("" + Пользователь + ": " + Описание);
		Количество = Количество + 1;
	КонецЕсли;	
	
КонецЦикла;

Сообщить("Найдено паролей: " + Количество);

Выводит результат:

Проверка не безопасных паролей
тест - 1: 123
тест - 10 1
Сотрудник_АК: Пустой пароль
Найдено паролей: 3

Рекомендую регламентное задание для запрещения доступа для таких пользователей.

Пароль

–

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020 14467 22 32

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 3064 PROSTO-1C 9

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 1703 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 3332 capitan 8

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 5545 17 soulner 7

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 6082 33 Silenser 12

Временная блокировка работы пользователя (Alt+L)

Информационная безопасность Пароли Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Бесплатно (free)

Расширение для параноиков.

22.11.2022 3793 102 ixijixi 12

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022 9395 Tavalik 46

113

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. пользователь 09.03.18 08:47

Сообщение было скрыто модератором.

...

2. пользователь 10.03.18 02:50

Сообщение было скрыто модератором.

...

3. asved.ru 36 14.03.18 07:52 Сейчас в теме

Без упоминания аббревиатур SHA-1 и Base64 полезность публикации околонулевая.

7. nomadon 367 14.03.18 11:54 Сейчас в теме

(3) в целях безопасности и возможности умышленного восстановления исходных паролей это не упоминалось

13. DrAku1a 1715 16.03.18 04:45 Сейчас в теме

(7) Думаю, если кому нужно - найдут. Да и раньше находили - напрямую из SQL базы. За саму мысль, что надо сделать подобную проверку и установить требования к сложности паролей - спасибо!

4. Andrefan 14.03.18 09:55 Сейчас в теме

Не раскрыто, как получить ключ соответствия для значения "111", "12345" и других.

8. nomadon 367 14.03.18 11:57 Сейчас в теме

(4) как вариант можно установить нужный пароль пользователю а затем вывести сохраняемое значение раскомментировав
//Сообщить(""+Пользователь+": "+Значение);
//Прервать;
и получить исходное значение.

Программной генерации умышленно не описывал для защиты от школохакеров.
Публикация призвана обезопастить базу, а не познать "тонкости" (с "тонкостями" безопасности инфостарт не разрешает публиковаться)

9. asved.ru 36 14.03.18 16:06 Сейчас в теме

(8)

Не получится. Почему - написано в синтакс-помощнике.

10. nomadon 367 15.03.18 10:52 Сейчас в теме

(9) там не так написано и прекрасно получается, не ленитесь, попробуйте

11. asved.ru 36 15.03.18 14:30 Сейчас в теме

(10) зачем? Я знаю, как получить эту строку вообще без 1С.

14. nomadon 367 16.03.18 16:02 Сейчас в теме

(11) здесь никто не меряется знаниями основ безопасности, полученными гуглением. Основная цель описана пользователем в сообщении (13)

5. fvadim 9 14.03.18 10:11 Сейчас в теме

Рекомендую регламентное задание для запрещения доступа для таких пользователей.

Включить проверку сложности паролей в конфигураторе и установить минимальную длину не позволяет какая-то религия?

6. nomadon 367 14.03.18 11:53 Сейчас в теме

(5) это не всегда возможно, да и существующих пользователей не обезопасит, а только новых

12. FB_2027025587552403 15.03.18 14:42 Сейчас в теме

Спасибо у меня все получилось

15. rpgshnik 3645 26.11.20 05:30 Сейчас в теме

Спасибо, сохранили время :) тоже нужно было прочистить базу

16. savant 57 13.09.22 12:00 Сейчас в теме

Спасибо! Сохранили время.

Оставьте свое сообщение

E-mail:

Автор:

(nomadon)

Рейтинг: 367

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 796667

Создание 08.03.18 10:05

Обновление 08.03.18 10:05

Статистика:

Просмотры 11924

Загрузки 0

Рейтинг 9

Комментарии 14

Характеристики:

Код открыт Да

Рубрики Информационная безопасность

Кому Системный администратор

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация Не имеет значения

Операционная система Не имеет значения

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)