Category: it

Category was added automatically. Read all entries about "it".

К некоторым вопросам использования длинных фраз в качестве паролей для защиты секретных ключей

Некоторые любят создавать пароли, с одной стороны, просто запоминаемые, с другой - сложно подбираемые. Ну, например, "Лежу я на воле, в светлице сухой. Я. 11-е мая 2017г."

Вот, установили такого типа пароль на сертификат для 1С-отчётности. А он, гад, пароль, то есть, не сохраняется и бедная бухгалтер несколько месяцев плакала и кололась, набирая его на каждый писк наших органов.
Я честно несколько раз пытался понять, в чём же дело, даже звонил во все причастные организации, но, естественно, ничего не помогло. "Естественно" потому, что современная индустрия работает так, что если проблема не массовая, то ею никто не занимается.

Но вот вчера я решительно решил решить эту проблему, наконец.
И, таки, решил. Дело оказалось в старом, как сам программный мир, грешке программистов - размере буфера. В общем, тот, кто писал кусочек программы сохранения пароля (чтобы не вводить каждый раз) подумал и решил "30-и символов хватит всем!".
А тот, кто писал шифрование ключей, так не думал и успешно шифровал паролем произвольной длины.

И, соответственно, пароли длиннее просто обрезались и, разумеется, не подходили.

Как сбросить пароль BIOS на ноутбуке ASUS F5RL

Нет, не просто замкнуть контакты и не просто вынуть батарейку.
Данное семейство отличается повышенной взломоустойчивостью. Впрочем, саму BIOS перепрошивать тоже не понадобится.

Отличительным признаком является приглашение типа "Hard disk locked, enter password:" и после трёх попыток ввода неправильного пароля - "System date: такая-то".

Во-о-от. Хорошая новость - ничего вскрывать, ломать, перепрошивать не надо.
Плохая - нужен мастер-пароль. Я не разбирался, есть ли алгоритм его генерации или нет, но суть в том, что этот мастер-пароль зависит от текущей системной даты, и именно её нам любезно сообщает ноутбук. Не дату BIOS, а обычную системную дату.

Итак, хорошая новость - кто-то уже нагенерировал кучу паролей на каждый день:
http://pyatilistnik.org/spisok-kodov-dlya-sbrosa-administrativnogo-parolya-bios-v-noutbukah-asus/

Нынешних дат нет, но, судя по всему, пароли повторяются. Мне вчера подошёл от 16-го октября 2006 года. Есть вероятность, что в этом году и другие из 2006-го подойдут.

Ввод мастер-пароля также снимает парольную защиту. Даже в BIOS идти не надо.

Happy hacking, folks!

P.S. BIOS была 2007-го года. Но, судя по тому, что я видел в интернетах, должно работать и на других.

Что общего у современного IT-специалиста и российского крестьянина позапрошлого века

Я думаю, это эмоциональное состояние. Когда айтишник садится за свежеотмытую клавиатуру это просто должно быть сродни ощущению крестьянина, отпахавшего неделю в поле и надевшего свежую рубаху после бани.


P.S. Как обычно, остались лишние детали, что-то пошло не так :-) Не отрабатывает левый Alt+Shift для переключения раскладки. Но это мелочи, не омрачающие ощущения прикосновения чистой рубахи к телу после бани :-)

UPD: Не, всё ОК. Оказалось, одна из дополнительных дурацких кнопочек, ранее мной по руконесовершенству сломанная, залипла. Вытащил и всё работает как надо.

"Если ты пьёшь с ворами, опасайся за свой кошелек" (с) Есть-тут-один

Есть одна категория так называемых системных администраторов, которые охотно поставят вам любое требующее оплаты программное обеспечение "бесплатно".
В целях сегодняшней беседы оставим в стороне тот факт, что это незаконно. Также не будем заострять внимание на том, что на вопрос "а где лицензия на эту программу?" отвечают "вот она, пожалста", в основном, прокремлевские путиноиды и сторонники тоталитаризма, а борцы за демократию спрашивают с хитрым прищуром "ты в какой стране живешь?".

Но вернемся к проблемам, которые вам создаст сотрудничество с "да я вам все поставлю".
Первая и основная - шантаж. Риторика будет примерно такой: "да мне стоит пару кнопок нажать и все у вас упадет". Рекомендую, как только вы услышите подобное, аккуратно поменять административный доступ ко всем ресурсам и избавиться от подобного "специалиста". Всем и так известно, что современный системный администратор в малом бизнесе имеет почти неограниченный доступ ко всем ресурсам фирмы, но это не повод об этом лишний раз напоминать.

Вторая - современные производители программного обеспечения находятся в условиях жесткой конкуренции. В частности, все исповедуют принцип "лучше быстрее, чем качественнее". Доступность высокоскоростного интернета еще более расхолаживает разработчиков. Клиенту поставляется "более или менее готовый продукт", а дальше в дело вступают многочисленные "заплаты" или "патчи", поэтому возможность обновления программного обеспечения весьма важна. Дело не только в ошибках в программах, а и в изменении форм отчетности, например. Разработчик зачастую содержит штат специально для подобных целей, что в конечном итоге при достаточно массовом продукте обходится дешевле, чем один изворотливый администратор.

Третья - тип, ориентированный на жульничество и обман, редко является экспертом в чем-либо другом. Поэтому, в случае возникновения мало-мальски серьёзных проблем, будьте готовы расхлёбывать их в одиночестве.

Где хранить пароли?

Раз в месяц ваш IT-специалист должен сдавать полный список административных паролей, которыми он пользуется. Вы должны унижчтожать старый список, хотя это не обязательно, и прятать новый в несгораемый сейф, банковскую ячейку или карман пиджака. Важно, чтобы администратор не был единственным, кто контролирует важные для фирмы ресурсы.