Jak zvládnout zabezpečení pomocí hesel ve firmách

Lukáš Přikryl | 11.02.2013 | Bezpečnost | 1 komentář

Hesla a přístupové kódy patří typicky k nejslabším místům firemní bezpečnosti. V případě, že se pravidlům na tvorbu hesel nevěnuje dostatečná pozornost, mohou hesla představovat vstupní bránu k citlivým informacím společnosti.

Jaká je praxe?

Zacházení zaměstnanců s hesly a přístupovými kódy je předmětem několika průzkumů, které vždy dospěly k podobnému závěru. Pokud mají zaměstnanci možnost vlastní volby hesla, zvolí si něco triviální, a pokud jim hesla přiděluje administrátor, často si je někam poznamenají. Průzkum společnosti Ponemon Institute v roce 2009 ukázal, že hesla si někam zaznamená 44 % zaměstnanců. Navíc to dělají takovým způsobem, aby k nim měli snadný přístup, což zpravidla znamená i snadný přístup pro případného útočníka. Až 12 % uživatelů má dokonce heslo poznamenané někde na lístku v blízkosti počítače. Nemějme jim to však za zlé, vždyť kdo by si zapamatoval například náhodně generované dobré heslo 7s: Gm#69c2.

Poskytnout svobodu ve výběru hesla také není ideální řešení. Mezi nejoblíbenější hesla patří například datum narození, telefonní číslo, vlastní jméno nebo jméno někoho z okolí. Favority jsou také různé varianty slov „heslo“ a „password“, ale i číselné řetězce typu 123456. Taková hesla využívá až 60 % uživatelů, jak ukázal průzkum společnosti Kaspersky z loňského roku.

Heslo jako bezpečnostní riziko

Uvedené statistiky představují velký problém pro bezpečnost v organizacích. Pokud se podobné praktiky při tvorbě a udržování hesel nepotlačují, účinnost bezpečnostních mechanizmů výrazně klesá. Vždyť nač používat šifrované přenosné disky, pokud je chrání heslo 1234?

Nejen kvalita (různé skupiny znaků), ale i délka je důležitým ukazatelem síly hesla. Je proto žádoucí, aby v případech, kdy jde o opravdu důležité informace (např. šifrování podnikových dat), byla po uživateli vyžadována minimální možná kvalita hesla. Zaměstnanec tak nebude moci zašifrovat data pomocí triviálního hesla.

Jak si tedy poradit s hesly?

Jak jsme již uvedli, používání netriviální hesel je jedním ze základních kamenů, na kterých se buduje informační bezpečnost společností. Na trhu jsou softwarová řešení, která kromě ochrany dat umožňují i ​​správu hesel, čímž usnadňují celou správu podnikové bezpečnosti.

Systémový administrátor může pomocí takového správce hesel vytvořit soubory bezpečných hesel pro zaměstnance a přidělit jeden soubor každému z nich. Zaměstnanci tento systém přináší výhodu, pokud potřebuje více hesel do různých firemních systémů. Tato hesla jsou pak všechna uložena v zašifrované databázi, ke které může přistoupit pomocí jediného hesla. Zaměstnanec si sice musí pamatovat alespoň to jedno přístupové heslo, ale oproti množství jiných, které by si musel zapamatovat, je jedno bezpečné heslo v lidských silách. V případě, že by zaměstnanec toto jedno heslo zapomněl, nemusí být celá databáze ztracena, jestliže byl při její tvorbě použitý bezpečnostní klíč, kterým ji lze otevřít. Pokud zaměstnanec potřebuje vygenerovat nová hesla pro další účty a služby, může si je uložit do své databáze. Tento proces může usnadnit generátor hesel, který dokáže podle definovaných parametrů (délky, skupin znaků) vytvořit nové náhodné heslo.

Dobrý pomocník – klíče USB

Další ze způsobů zjednodušení správy hesel je uzamykání počítače pomocí klíčů USB. Tento způsob zabezpečení je vhodný například v místech, kde má k jednomu počítači snadný přístup více lidí. Pokud má zaměstnanec netriviální heslo a potřebuje jen na chvilku opustit pracovní stanici, často se mu ho nechce zadávat a nechá počítač odemčený a přístupný všem.

Pro vytvoření klíče USB stačí standardní přenosný disk a softwarový nástroj. Tento nástroj zapíše na disk malé množství dat, která jej umožní používat jako klíč. Pokud zaměstnanec při odchodu klíč z počítače vytáhne, ten se automaticky uzamkne; a když ho při příchodu zapojí, může hned pokračovat v práci.

Hesla jako začátek a konec bezpečnosti

Správně nastavená politika užívání hesel výrazně ovlivňuje bezpečnost celé organizace. Jak již bylo řečeno, množství bezpečnostních nástrojů ztrácí význam, pokud jejich bezpečnost závisí na triviálním hesle nebo na hesle napsaném na papírku vedle počítače. Bezpečnostní software může představovat začátek při tvorbě informační bezpečnosti ve společnostech, slabé hesla však mohou připravit její konec.

Únik informací z LinkedIn

V červnu loňského roku došlo k úniku a zveřejnění hesel mnoha uživatelských účtů sociální sítě LinkedIn. Kompromitováno bylo více než šest milionů účtů. Tyto záznamy pak byly nezávisle analyzovány a výsledky ukázaly, jaká hesla používají lidé nejčastěji. V seznamu níže lze nalézt přehled prvních 10 nejpoužívanějších hesel. Mezi zajímavostmi, které provedená analýza ukázala, je i fakt že 91% uživatelů využívá jedno z tisíce nejpoužívanějších hesel.

Seznam 10 nejpoužívanějších hesel:
1. Password
2. 123456
3. 12345678
4. 1234
5. Qwerty
6. 12345
7. Dragon
8. Pussy
9. Baseball
10. Football

Ač je tedy LinkedIn primárně sítí profesionálů, je jasně vidět, že i oni na kvalitu hesel často hřeší a výsledkem je pak poměrně snadná kompromitace jejich účtů.

Autor pracuje ve společnosti Safetica Technologies.

Zdroj: Infoware.sk

1 komentář u článku “Jak zvládnout zabezpečení pomocí hesel ve firmách”

  1. František Štědrý napsal:

    Už byly napsány stovky až tisíce článků na toto téma a jak vidíte, výsledek je stále nulový. Prostě lidi budou používat jednoduchá hesla, ať se nám to líbí nebo ne.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− tři = tři

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz