[Iska]

Именно из-за того, что:

Цитата paranoya:

поломать можно »

Потому плановые периодические смены паролей таки необходимы. Иначе единожды скомпроментированная учётная запись будет использоваться вечно.

[paranoya]

Согласен, я неправ.

[Jula0071]

Цитата paranoya:

Если кусочек стишка длиннее 15 символов, то его поломать можно только с использованием социальной инженерии, баги и дыры в ОС в этом случае в расчёт не идут, так как при наличии дыры абсолютно неважно сколько раз на день юзеры меняют пароль. »

Воот! И смысл тогда гемороиться со сменой паролей?

Цитата paranoya:

юзеры ленивы и не любят запоминать что-то новое »

Тут самое печальное то, что юзеры ленивы до такой степени, что ленятся не то что менять пароли, но и используют один и тот же в разных местах. Все известные лично мне инциденты со взломом были не брутфорсом, не с использованием дыр, а утекшей связкой логин-пароль из совершенно другого места.

Цитата paranoya:

Ведь если запретить хранение паролей в блокноте (если вдруг кто-то такой умный и смог это реализовать) »

Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании.

Повторю, 2FA на порядок повышает безопасность, хотя и тут возможны проблемы с утечкой - TOTP генерятся из сида, утёк сид - утёк двухфактор. Хардварные ключи в этом плане понадёжнее, но их тоже надо внедрять, обучать юзеров, юзеры их будут забывать дома, терять и всё такое. Но в любом случае, без 2FA сегодня нет жизни.

[RS2019]

Цитата Jula0071:

Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании. »

Пользуюсь KeePass, лежит на флешке. Подключаю только когда надо ввести (если вдруг забыл) пароль. Из недостатков - надо куда-то бекапить базу, на случай смерти флешки. Постепенно перехожу на архаику - бумажная записная книжка.

[Jula0071]

Цитата RS2019:

надо куда-то бекапить базу, на случай смерти флешки »

Оно ж шифрованное, в последних версиях аж AES512. Бекапить можно куда угодно, хоть в облако, главное не пролюбить пароль или ключ.

[Iska]

Цитата Jula0071:

Воот! И смысл тогда гемороиться со сменой паролей? »

Смысл таковой.

Цитата Jula0071:

Все известные лично мне инциденты со взломом были не брутфорсом, не с использованием дыр, а утекшей связкой логин-пароль из совершенно другого места. »

Так таких 99.9% случаев.

Цитата Jula0071:

Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании. »

А смысл их в чём? Скомпроментировать все логины/пароли зараз?

[Jula0071]

Цитата Iska:

Смысл таковой. »

Каковой?

Цитата Iska:

Так таких 99.9% случаев. »

И?

Цитата Iska:

А смысл их в чём? Скомпроментировать все логины/пароли зараз? »

Я давно знаю, что вы не большого ума, но тут не стану помогать, попытайтесь подумать сами.

[Iska]

Цитата Jula0071:

Каковой? »

Ыыыы…

Цитата Iska:

Именно из-за того, что: Цитата paranoya: поломать можно » Потому плановые периодические смены паролей таки необходимы. Иначе единожды скомпроментированная учётная запись будет использоваться вечно.»

Цитата Jula0071:

И? »

Социальной инженерии и банальному рас3.14…йству без разницы, насколько сложен пароль.

Цитата Jula0071:

Я давно знаю, что вы не большого ума, но тут не стану помогать, попытайтесь подумать сами. »

Ну, как знаете. Я своё мнение озвучил: профукали один пароль:

Цитата Jula0071:

главное не пролюбить пароль или ключ. »

— считай, профукали все.

P.S. Зазнайство — грех, коллега.

[RS2019]

Ну хорошо. С паролями разобрались)
Если есть сервер с такими лицензиями:

WinSvrSTDCore 2019 SNGL OLP 16Lic NL CoreLic 1
WinSvrCAL 2019 SNGL OLP NL UsrCAL 15
WinRmtDsktpSrvcsCAL 2019 SNGL OLP NL UsrCAL 15

и контроллер домена на другой железке, какую нужно на него покупать лицензию, и нужно ли?

И второе. Для контроллера домена по железу какие требования?

[paranoya]

Насчёт не выноса информации - есть только один вариант
1. Все юзеры работают в офисе.
2. При входе в офис у них изымаются все устройства умеющие снимать фото-видео и любые устройства имеющие возможность хранить информацию, даже пресловутые mp3-плееры.
3. Всех юзеров при входе и при выходе обыскивают (смотрим видео обыска заключенных).
4. На всей площади офиса используются видеокамеры.
5. Постоянная замена охраны, чтоб не было сговора.
6. В офисе нет Интернета.
7. При выходе из офиса у юзера изымаются любые бумаги и материалы на которых можно записать вручную любыми ручками или карандашами.

По поводу реальной организации работы, то на железо ставится WinServ с роль Терминального сервера и всё. Домен не нужен, информация будет всё равно сливаться, так как есть выход в Интернет и почта с CRM.