Проверка безопасности установленных паролей

08.03.18

Администрирование - Информационная безопасность

Код выводит не установленные пароли, а так же очень простые (1, 123) пароли пользователей. Список можно пополнять.

Сообщить("Проверка не безопасных паролей");
Количество = 0;

СоответствиеПаролей = Новый Соответствие();
СоответствиеПаролей.Вставить("2jmj7l5rSw0yVb/vlWAYkK/YBwk=", "Пустой пароль");
СоответствиеПаролей.Вставить("", "Пустой пароль");
СоответствиеПаролей.Вставить(Неопределено, "Пустой пароль");
СоответствиеПаролей.Вставить("NWoZK3kTsExUV00Ywo1G5jlUKKs=", "1");
СоответствиеПаролей.Вставить("QL0AFWMIX8NRZTKeof9cXsvbvu8=", "123");

Для Каждого Пользователь Из ПользователиИнформационнойБазы.ПолучитьПользователей() Цикл
	
	Если НЕ Пользователь.АутентификацияСтандартная Тогда
		Продолжить;
	КонецЕсли;
	
	Значение = Лев(Пользователь.СохраняемоеЗначениеПароля, Найти(Пользователь.СохраняемоеЗначениеПароля, ",") - 1);
	
	//Сообщить(""+Пользователь+": "+Значение);
	//Прервать;

	Описание = СоответствиеПаролей.Получить(Значение);

	Если НЕ Описание = Неопределено Тогда
		Сообщить("" + Пользователь + ": " + Описание);
		Количество = Количество + 1;
	КонецЕсли;	
	
КонецЦикла;

Сообщить("Найдено паролей: " + Количество);

Выводит результат:

Проверка не безопасных паролей
тест - 1: 123
тест - 10 1
Сотрудник_АК: Пустой пароль
Найдено паролей: 3

Рекомендую регламентное задание для запрещения доступа для таких пользователей.

Пароль

+9 –

См. также

AUTO VPN (portable) - автоматический ВПН

Информационная безопасность Системный администратор Программист Платные (руб)

AUTO VPN (portable) - автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020 15364 25 32

Работа с бинарными файлами, форматом ASN1 и криптографией в 1С8

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016 30053 9 1

Хранение секретов в Hashicorp Vault для 1С

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024 6208 kamisov 17

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 7311 PROSTO-1C 10

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 2409 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 4637 capitan 9

Анализатор безопасности базы сервера 1С

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 6252 20 soulner 8

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 7278 50 Silenser 12

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. пользователь 09.03.18 08:47

Сообщение было скрыто модератором.

...

2. пользователь 10.03.18 02:50

Сообщение было скрыто модератором.

...

3. asved.ru 36 14.03.18 07:52 Сейчас в теме

Без упоминания аббревиатур SHA-1 и Base64 полезность публикации околонулевая.

7. nomadon 369 14.03.18 11:54 Сейчас в теме

(3) в целях безопасности и возможности умышленного восстановления исходных паролей это не упоминалось

13. DrAku1a 1745 16.03.18 04:45 Сейчас в теме

(7) Думаю, если кому нужно - найдут. Да и раньше находили - напрямую из SQL базы. За саму мысль, что надо сделать подобную проверку и установить требования к сложности паролей - спасибо!

4. Andrefan 14.03.18 09:55 Сейчас в теме

Не раскрыто, как получить ключ соответствия для значения "111", "12345" и других.

8. nomadon 369 14.03.18 11:57 Сейчас в теме

(4) как вариант можно установить нужный пароль пользователю а затем вывести сохраняемое значение раскомментировав
//Сообщить(""+Пользователь+": "+Значение);
//Прервать;
и получить исходное значение.

Программной генерации умышленно не описывал для защиты от школохакеров.
Публикация призвана обезопастить базу, а не познать "тонкости" (с "тонкостями" безопасности инфостарт не разрешает публиковаться)

9. asved.ru 36 14.03.18 16:06 Сейчас в теме

(8)

Не получится. Почему - написано в синтакс-помощнике.

10. nomadon 369 15.03.18 10:52 Сейчас в теме

(9) там не так написано и прекрасно получается, не ленитесь, попробуйте

11. asved.ru 36 15.03.18 14:30 Сейчас в теме

(10) зачем? Я знаю, как получить эту строку вообще без 1С.

14. nomadon 369 16.03.18 16:02 Сейчас в теме

(11) здесь никто не меряется знаниями основ безопасности, полученными гуглением. Основная цель описана пользователем в сообщении (13)

5. fvadim 9 14.03.18 10:11 Сейчас в теме

Рекомендую регламентное задание для запрещения доступа для таких пользователей.

Включить проверку сложности паролей в конфигураторе и установить минимальную длину не позволяет какая-то религия?

6. nomadon 369 14.03.18 11:53 Сейчас в теме

(5) это не всегда возможно, да и существующих пользователей не обезопасит, а только новых

12. FB_2027025587552403 15.03.18 14:42 Сейчас в теме

Спасибо у меня все получилось

15. rpgshnik 3795 26.11.20 05:30 Сейчас в теме

Спасибо, сохранили время :) тоже нужно было прочистить базу

16. savant 57 13.09.22 12:00 Сейчас в теме

Спасибо! Сохранили время.

Оставьте свое сообщение

E-mail:

Автор:

(nomadon)

Рейтинг: 369

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 796667

Создание 08.03.18 10:05

Обновление 08.03.18 10:05

Статистика:

Просмотры 12318

Загрузки 0

Рейтинг 9

Комментарии 14

Характеристики:

Код открыт Да

Рубрики Информационная безопасность

Кому Системный администратор

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация Не имеет значения

Операционная система Не имеет значения

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)