Одноразовые пароли доступа

11.02.11

Администрирование - Роли и права

Нередко, в защищенной со всех сторон  системе, необходимо предоставить пользователю возможность выполнить действия, выходящие за рамки его полномочий. При этом у администратора не всегда есть возможность тут же залезть в базу и открыть доступ.

 

 

Например, у нас на производстве, экспедиторы, работающие посменно, находили ошибки предшественника и хотели бы их исправить, но период неумолимо закрывался в конце каждой смены и не было никакой возможности внести изменения. Опущу детальное описание регламента внесения изменений - здесь оно не важно.

После нескольких очень ранних утренних звонков, когда приходилось включать комп, подключаться к удаленной базе и что-то править, именно тогда и  пришло в голову это решение.

Допустим, сегодня 11 февраля 2011 года. Пользователю необходимо внести изменения за предыдущую дату - 10.02.11. Он связывается с администратором, объясняет причину, слышит в ответ «39 21 94 10», вводит эту цифирь в обработку "Изменение рабочей даты" и получает доступ.

Теперь о том - откуда взялись эти цифры и почему система приняла их как корректный код. Всё очень просто - структура кода доступа такова:

(две любые цифры=39)

(31-ТекущееЧисло=21)

(опять две любые цифры=94)

(12-ТекущийМесяц=10)

Программа легко вычислила, какой код должен ввести пользователь, сверила с тем что он  реально ввел и в соответствии с результатом проверки приняла решение - пускать или не пускать.

На любой  другой день код доступа будет другой, так что повторно им воспользоваться не удастся. За счет использования «двух любых цифр» алгоритм формирования кода становится менее предсказуемым.

Вариаций на эту тему может быть сколь угодно много - например вместо «двух любых цифр» или вместо вычисляемых чисел использовать (Текущий час в Австралии), можно учитывать чет/нечет даты или количество дней до пятницы, использовать контрольную сумму чисел и т.д. и т.п.

Общая рекомендация по алгоритму формирования кода - он должен легко генерироваться администратором  базы в уме и вместе с тем, алгоритм составления не должен быть очевидным. И не забудьте защитить программу проверки кода паролем  или обфускацией.

 

См. также

SALE! 15%

Инструментарий разработчика Роли и права Запросы СКД Программист Платформа 1С v8.3 Управляемые формы Запросы Система компоновки данных Конфигурации 1cv8 Платные (руб)

Набор инструментов программиста и специалиста 1С для всех конфигураций на управляемых формах. В состав входят инструменты: Консоль запросов, Консоль СКД, Консоль кода, Редактор объекта, Анализ прав доступа, Метаданные, Поиск ссылок, Сравнение объектов, Все функции, Подписки на события и др. Редактор запросов и кода с раскраской и контекстной подсказкой. Доработанный конструктор запросов тонкого клиента. Продукт хорошо оптимизирован и обладает самым широким функционалом среди всех инструментов, представленных на рынке.

10000 руб.

02.09.2020    159411    872    399    

861

Инструменты администратора БД Роли и права Системный администратор Программист Пользователь 8.3.14 1С:Розница 2 1С:Управление нашей фирмой 1.6 1С:Документооборот 1С:Зарплата и кадры государственного учреждения 3 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х 1С:Зарплата и Управление Персоналом 3.x 1С:Управление нашей фирмой 3.0 1С:Розница 3.0 Платные (руб)

Роли… Вы тратите много времени и сил на подбор ролей среди около 2400 в ERP или 1500 в Рознице 2, пытаясь понять какими правами они обладают? Вы все время смотрите права в конфигураторе или отчетах чтоб создать нормальные профили доступа? Вы хотите наглядно видеть какие права дает профиль и редактировать все в простом виде? А может хотите просто указать подсистему и дать права на просмотр и добавление на объекты и не лезть в дебри прав и чтоб обработка сама подобрала нужные роли? Все это теперь стало возможно! Обновление от 18.09.2024, версия 1.2

16800 руб.

06.12.2023    8842    42    5    

73

SALE! 15%

Инструменты администратора БД Инструментарий разработчика Роли и права Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Расширение позволяет без изменения кода конфигурации выполнять проверки при вводе данных, скрывать от пользователя недоступные ему данные, выполнять код в обработчиках. Не изменяет данные конфигурации, легко устанавливается практически на любую конфигурацию на управляемых формах.

10000 8500 руб.

10.11.2023    10416    36    21    

61

SALE! 20%

Зарплата Роли и права Системный администратор Бухгалтер Платформа 1С v8.3 Бухгалтерский учет Управление правами 1С:ERP Управление предприятием 2 1С:Бухгалтерия 3.0 1С:Комплексная автоматизация 2.х Молдова Россия Казахстан Бухгалтерский учет Платные (руб)

Расширение позволяет максимально полно ограничить доступ пользователей к данным по заработной плате, а именно закрывает доступ к документам начисления и выплаты заработной платы, не позволяет просматривать бухгалтерские отчеты по счету учета зарплаты а также убирает зарплатные проводки из журнала проводок. Расширение запрещает просматривать платежные документы на выплату зарплаты, так же не доступны регламентные отчеты в ПФР и ИФНС. Расширение предлагает готовые настроенные профили "Бухгалтер без зарплаты", "Только просмотр без зарплаты".

5940 4752 руб.

27.05.2021    37561    264    92    

205

Логистика, склад и ТМЦ Роли и права Программист Бухгалтер Пользователь Платформа 1С v8.3 Бухгалтерский учет Управление правами 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Управленческий учет Платные (руб)

Расширение для 1С:Бухгалтерия 3.0, которое позволяет использовать отдельные роли для доступа к складским документам, для доступа к документам раздела "Производство" и для доступа к документам раздела "Покупки".

4560 руб.

21.05.2019    1694763    570    194    

137

Ценообразование, анализ цен Роли и права Системный администратор Платформа 1С v8.3 Управление правами 1С:Управление нашей фирмой 1.6 1С:Управление нашей фирмой 3.0 Россия Платные (руб)

Расширение возможностей программы 1С УНФ. Функционал расширения - разграничение всевозможных прав пользователей и контроль при совершении различных действий.

3000 руб.

23.02.2018    58452    160    261    

152

Роли и права Системный администратор Программист Платформа 1С v8.3 Конфигурации 1cv8 1С:Управление торговлей 11 Платные (руб)

Данная система разработана как альтернатива стандартной системе напоминаний. Но имеет ряд существенных преимуществ: отображение в базе или с отправкой по почте, свое расписание, возможность фильтрации по ролям и пользователям, формирование своих запросов и макетов, шаблоны писем, работа в фоне. А также может блокировать работу пользователей при заданных условиях. Может работать в составе любой конфигурации. Имеется справка с описанием возможностей. (Обновление от 20.02.2024, версия 2.2, расширение)

19200 руб.

29.11.2019    25657    16    8    

37
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. vcv 89 11.02.11 08:32 Сейчас в теме
Исправлением косяков в закрытых периодах должен заниматься специально выделенный ответственный человек, а не оператор с разрешения админа.
elian; cleaner_it; +2 Ответить
4. mszsuz 335 11.02.11 09:47 Сейчас в теме
Я им про фому, а они про ерёму )
(1)(3) Давайте не будем обсуждать систему отлаженных бизнес-процессов, которая работает уже более 4-х лет - у вас для полноценной критики недостаточно информации.
За последние полгода-год помню всего три обращения по поводу отката периода -
два раза девочка случайно нажала лишний раз "Открыть следующий период", а один раз пришлось вернуться из-за пересортицы в отгрузке.
5. Арчибальд 2709 11.02.11 09:56 Сейчас в теме
6. mszsuz 335 11.02.11 10:12 Сейчас в теме
(5) даже и не думал, странно что так показалось.
7. oleg974 123 11.02.11 11:22 Сейчас в теме
(4) дык я и не критикую, а предлагаю более простой вариант... просто после прочтения "После нескольких очень ранних утренних звонков, когда приходилось..." подумал чего человеку мучится и изобретать временные пароли, когда это не его проблема?
У меня например задач такая прорва, что на такие редко появляющиеся просто придумываю как их решить без программирования.
2. Арчибальд 2709 11.02.11 08:39 Сейчас в теме
В приложении к моей статье http://infostart.ru/public/73303/ (п 1.4.4.) такой способ взлома системы безопасности классифицирован как "социально-психологический".
3. oleg974 123 11.02.11 08:55 Сейчас в теме
Гораздо проще такие проблемы решаются административно, а не программно.
Обычно период закрывают после расчета каких-нибудь бухгалтерских документов и исправление первичных документов в закрытом периоде связано с трудоемким процессом вторичного пересчета всех зависимых документов. Почему бы эспедитору не звонить бухам или завскладом с просьбой открыть период? Или раз таких ситуаций дофига, то просто закрывать не каждое утро, а через каждые 2-3 дня? И никакие пароли не нужны и админстратор спакойно занят своими делами...
8. hasp_x 156 14.02.11 11:53 Сейчас в теме
была бы идея, а куда ее присобачить, каждый решает сам:))
9. V.Nikonov 120 16.02.11 15:34 Сейчас в теме
А если количество переметров, которые "незя менять, но очень хочется" достаточно большое?
Тогда придётся править каждый такой случай... А пароль везде единый использовать?

Может лучше состряпать спецПользователя с одноразовым паролем и ограниченым временем работы? Для этого пользователя использовать в пароле порядковый номер запуска?
10. grivigen 21.04.11 14:18 Сейчас в теме
У нас давно похожая система используется. Центральный офис и филиалы. В центре установили кучу запретов. Но в пять часов там уже никого нет и открыть доступ некому. А филиалы есть и круглосуточные :cry: . Плюс к этому есть еще привязка ко времени, т.е. пароль действует 1 час. Плюс к этому некоторые подконтрольные действия также под паролем (например ввод нового товара на филиале возможен только с разрешения менеджера центр. офиса, который и дает пароль). :D
11. a-novoselov 1158 19.12.11 12:11 Сейчас в теме
Да, тоже использовали подобную систему, только пароль генерировал начальник отдела продаж по телефону на изменение расходных документов в 3 часа ночи... админу-то надо инструмент дать, а вот в 3 ночи формулу вспоминает пусть тот человек, чья зона ответственности или пусть сводит такие ситуации на минимум.
12. petrovaUL 20.01.12 14:32 Сейчас в теме
Плюс. Пригодится, хотябы для Аудиторов. Хотя в прошлой конторе - бухи просили дать права и т.п. на день. Полезная вещица.
13. пользователь 20.01.12 14:36
Сообщение было скрыто модератором.
...
Оставьте свое сообщение