21 Июля, 2011

Практика аутентификации на принтерах и iPad/iPhone

Алексей Лукацкий
Эта история произошла давно и также давно была разрешена, но решил поделиться ею только сегодня - все как-то недосуг было (а может я про нее и писал уже, но не помню). Итак представим распостраненную ситуацию - у вас в организации есть принтер ;-) И если вы не напрасно едите свой хлеб, то этот принтер включен в общую модель угроз - не только как источник угроз, но и как их цель, а также как одно из самых слабых звеньев в системе защиты предприятия. Ведь именно там остаются невостребованные распечатки, в кеше хранятся уже распечатанные или отсканированные документы и т.д. Если не рассматривать межсетевые экраны для принтеров (есть и такие), то существуют простые и понятные рекомендации многих производителей принтеров, как защитить процесс печати (например, у HP ). На хорошем английском, а иногда и русском, языке описываются механизмы защиты принтера - аутентификация, стирание информации, защищенное управление, отключение ненужных портов, блокировка панели управления и т.д. В общем все просто и понятно. Но... При разработке такой продукции, как принтера, в полный рост проявляется американский шовинизм, а местами даже расизм. Американцы почему-то считают, что весь мир говорит на английском языке. И поэтому на принтерах существующая клавиатура дана только в одной раскладке - англоязычной.   (не нашел хорошей фотографии клавиатуры принтера , но суть понятна) И вот тут появляется классическая проблема неанглоговорящего безопасника. Если он установит обязательную аутентификацию пользователей для доступа к заданиям на печать, то что делать с пользователями, которые выбирают пароли, состоящие из русских слов и букв, но в английской раскладке? Заставлять пользователей менять пароли, чтобы они были на английском языке? Не вариант. Вариант есть - он прост и давно применяется теми, кто покупает ноутбуки не в России, а, например, в Европе или США, - лазерная гравировка клавиатуры (если изначально производитель не нанес русские символы). Но... все это работает до тех пор, пока вы имеете дело с физической клавиатурой. Но возьмем современные модели принтеров того же HP: В них отсутствует физическая клавиатура - ей на смену пришла виртуальная клавиатура, отображаемая на дисплее в нужный момент (примерно, как на iPhone или iPad). Фото на сайте HP я не нашел, но нашел скриншот процедуры ввода пароля на iPad, у которого та же проблема: Как ввести "русский" пароль на такой раскладке? Раньше пользователям приходилось переключаться между раскладками, чтобы вспомнить, какой символ английской раскладки соответствует русскому символу пароля. Потом мы в офисе поступили просто - приклеили рядом с дисплеем принтера табличку с двумя раскладками (как на фото принтера Brother выше). Это автоматически решило проблему. Но только для принтера... Для iPad/iPhone проблема пока нерешаема (я пока варианта не нашел). В нем, при вводе пароля, в принципе нельзя переключиться на другую раскладку - iOS блокирует эту функциональность, справедливо считая, что пароли, чтобы нормально функционировать в разных сценариях, сайтах и приложениях, должны быть только англоязычными. Поэтому iPad снижает уровень защиты предприятия ;-( Причин тому несколько. Чтобы удобно пользоваться парольной защитой пользователь должен ограничивать себя выбором либо короткого "русского" пароля, запоминаемого в английской раскладке, либо использовать ограниченное пространство англоязычных легко подбираемых паролей. И тут как никогда важна простая и понятная политика выбора надежных паролей.