Проверка безопасности установленных паролей

Администрирование - Защита, права, пароли

6
Код выводит не установленные пароли, а так же очень простые (1, 123) пароли пользователей. Список можно пополнять.
Сообщить("Проверка не безопасных паролей");
Количество = 0;

СоответствиеПаролей = Новый Соответствие();
СоответствиеПаролей.Вставить("2jmj7l5rSw0yVb/vlWAYkK/YBwk=", "Пустой пароль");
СоответствиеПаролей.Вставить("", "Пустой пароль");
СоответствиеПаролей.Вставить(Неопределено, "Пустой пароль");
СоответствиеПаролей.Вставить("NWoZK3kTsExUV00Ywo1G5jlUKKs=", "1");
СоответствиеПаролей.Вставить("QL0AFWMIX8NRZTKeof9cXsvbvu8=", "123");

Для Каждого Пользователь Из ПользователиИнформационнойБазы.ПолучитьПользователей() Цикл
	
	Если НЕ Пользователь.АутентификацияСтандартная Тогда
		Продолжить;
	КонецЕсли;
	
	Значение = Лев(Пользователь.СохраняемоеЗначениеПароля, Найти(Пользователь.СохраняемоеЗначениеПароля, ",") - 1);
	
	//Сообщить(""+Пользователь+": "+Значение);
	//Прервать;

	Описание = СоответствиеПаролей.Получить(Значение);

	Если НЕ Описание = Неопределено Тогда
		Сообщить("" + Пользователь + ": " + Описание);
		Количество = Количество + 1;
	КонецЕсли;	
	
КонецЦикла;

Сообщить("Найдено паролей: " + Количество);

Выводит результат:

Проверка не безопасных паролей
тест - 1: 123
тест - 10 1
Сотрудник_АК: Пустой пароль
Найдено паролей: 3

Рекомендую регламентное задание для запрещения доступа для таких пользователей.

6

См. также

Комментарии
Сортировка: Древо
3. asved.ru 35 14.03.18 07:52 Сейчас в теме
Без упоминания аббревиатур SHA-1 и Base64 полезность публикации околонулевая.
Ziggurat; t.v.s.; ander_; Andrefan; +4 Ответить
7. nomadon 287 14.03.18 11:54 Сейчас в теме
(3) в целях безопасности и возможности умышленного восстановления исходных паролей это не упоминалось
13. DrAku1a 1289 16.03.18 04:45 Сейчас в теме
(7) Думаю, если кому нужно - найдут. Да и раньше находили - напрямую из SQL базы. За саму мысль, что надо сделать подобную проверку и установить требования к сложности паролей - спасибо!
4. Andrefan 14.03.18 09:55 Сейчас в теме
Не раскрыто, как получить ключ соответствия для значения "111", "12345" и других.
8. nomadon 287 14.03.18 11:57 Сейчас в теме
(4) как вариант можно установить нужный пароль пользователю а затем вывести сохраняемое значение раскомментировав
//Сообщить(""+Пользователь+": "+Значение);
//Прервать;
и получить исходное значение.

Программной генерации умышленно не описывал для защиты от школохакеров.
Публикация призвана обезопастить базу, а не познать "тонкости" (с "тонкостями" безопасности инфостарт не разрешает публиковаться)
9. asved.ru 35 14.03.18 16:06 Сейчас в теме
(8)
(4) как вариант можно установить нужный пароль пользователю а затем вывести сохраняемое значение раскомментировав
//Сообщить(""+Пользователь+": "+Значение);
//Прервать;
и получить исходное значение.


Не получится. Почему - написано в синтакс-помощнике.
10. nomadon 287 15.03.18 10:52 Сейчас в теме
(9) там не так написано и прекрасно получается, не ленитесь, попробуйте
11. asved.ru 35 15.03.18 14:30 Сейчас в теме
(10) зачем? Я знаю, как получить эту строку вообще без 1С.
14. nomadon 287 16.03.18 16:02 Сейчас в теме
(11) здесь никто не меряется знаниями основ безопасности, полученными гуглением. Основная цель описана пользователем в сообщении (13)
5. fvadim 5 14.03.18 10:11 Сейчас в теме
Рекомендую регламентное задание для запрещения доступа для таких пользователей.

Включить проверку сложности паролей в конфигураторе и установить минимальную длину не позволяет какая-то религия?
6. nomadon 287 14.03.18 11:53 Сейчас в теме
(5) это не всегда возможно, да и существующих пользователей не обезопасит, а только новых
12. FB_2027025587552403 15.03.18 14:42 Сейчас в теме
Спасибо у меня все получилось
Оставьте свое сообщение