Skip to content

March 30, 2012

Не навреди… себе!

Добрый день, уважаемые читатели!

Уже в который раз сталкиваюсь с ситуацией, когда не могу из прежнего исполнителя по сопровождению ?нтернет-сайта вытянуть доступы к сервисам хостинга, системе управления, сторонним сервисам.

Получаю интересные ответы: “Были в старой почте, потерял”, “Не помню где файл”, “А у Васи [заказчик]всё есть. Пусть он вышлет” и т.д. В итоге этим исполнителям абсолютно всё равно как Вы будете восстанавливать доступ (последний финт ушами) и как будет работать следующий исполнитель. Страдаете только Вы и Ваши интересы.

Но, этой ситуации можно избежать:

  1. У Вас должны быть Ваши собственные, никому не известные доступы, т.е. логины и пароли.
    1. Хостинг. Желательно не давать исполнителю, который берёт Ваш сайт на сопровождение доступы в персональный кабинет хостинг-провайдера. Оптимально, когда Ваш исполнитель является партнёром Вашего хостинг-провайдера. ?менно по этому Ю?К «Передсудом» подписало партнёрские соглашения с ведущими хостерами: РуЦентр, Мастерхост и Мастернэйм, а также небольшим хостером Timeweb. Нам не нужны Ваши доступы в контрольную панель хостинга (ну только разве для того чтобы перевести Вас к себе на обслуживание, если Вы этого не сможете сделать, после чего Вы можете сменить пароли), мы управляем Вашим хостингом через партнёрский аккаунт. ?сключение, как правило, доступ к ftp-серверу, базе данных и в SSH – доступ к каждому сервису только по одной комбинации логин-пароль. Но в случае необходимости Вы, имея доступ к контрольной панели хостинга можете сменить всё пароли. Кроме этого мы, как партнёр хостера, следим, чтобы баланс Вашего счёта был всегда положительным, быстрее можем решать проблемы с хостером на прямую (а не дёргать Вас, чтобы Вы дёрнули их). Не делайте автосохранение логина и пароля в браузере или в другой программе. Такие пароли можно вытащить из базы данных программы. ? из под партнёрской опеки выйти совсем не сложно, при этом ничего не теряя.
    2. Регистратор доменных имен. Здесь тоже самое, что и с хостингом. Не делайте автосохранение логина и пароля в браузере или в другой программе.
    3. Система управления сайтом (CMS). Я ещё не встречал такой CMS где не было бы возможности открыть доступы с разными правами разным пользователям. При этом у Вас должны быть самые широкие полномочия в системе управления, что значит, что Вы можете определять полномочия всех других пользователей. Не делайте автосохранение логина и пароля в браузере или в другой программе. В случае необходимости неугодного пользователя можно удалить из системы, но контроль Вы не потеряете.
    4. Сервисы Яндекса (Метрика, Вебмастер, Директ) и Google (Analytics, Webmaster, AdWords). Вы должны иметь доступ к основному аккаунту, а исполнителей добавлять в свой аккаунт как дополнительных пользователей, пусть и с максимально широкими правами. В случае необходимости Вы просто лишаете пользователя доступа и всё.
    5. Комбинации логинов и паролей не должны храниться в:
      1. почте. Со временем их будет сложнее найти, они могут потеряться, могут быть удалены и т.д.
      2. в doc- и xls-файлах . Хотя это вариант, если файлы зашифрованы и закрыты паролем, но всё же они не очень подходят для этих целей.
      3. в блокноте в ящике стола. Трудно структурировать, нельзя тоскать с собой и безопасность минимальная.

Я рекомендую Вам хранить все пароли в специальной зашифрованной базе данных, например, KeePass. Бесплатная кросплатформенная программа. Мои пароли всегда со мной, зашифрованы и закрыты длинным паролем. База позволяет структурировать пароли по папкам, делать подписи, комментарии, примечания, без труда генерировать новые пароли и видеть их взломостойкость, установить напоминалки периодичности обновления паролей и многое другое.

  1. Ещё один момент пароль не должен быть связан с Вами и не должен быть простым. Вот, например, хороший пароль mecb*+W\J?lx  и качество неплохое 77 бит, т.е. это пароль вполне безопасный.

Замечу, что в случае необходимости пароли можно пересылать по почте, Skype, ICQ и т.д. (для большей уверенности можно после пересылки пароли сменить).

Следует также помнить, что все эти меры направлены в первую очередь на оперативную и качественную работу над ?нтернет-сайтом. Потому что от того как оперативно происходит замена исполнителя может зависеть многое – вплоть до стабильности работы сайта и именно в этом контексте здесь понимается слово «безопасность».

Безопасность же в смысле исключения доступа злоумышленника здесь тоже играет важную роль (и именно по этому лучше не хранить ключевые пароли в браузере, не использовать Word и Excel или записную книжку, а также не хранить пароли на почтовом сервере), но все же это вторично потому как кража доступа очень может произойти многими иными способами и путями: клавиатурный перехватчик (keyloger), перехват трафика, фейковый сайт и ещё много чего.

С уважением,

А. Никифоров

Share your thoughts, post a comment.

You must be logged in to post a comment.