Pět zažitých chyb, které otevírají cestu do firemní IT sítě
Každé tři měsíce je třeba měnit heslo. Musí obsahovat kombinaci písmen malých a velkých, číslic a speciálních znaků. Jen tak bude firemní IT systém nedobytný. Omyl… Praxe ukazuje, že je to přesně naopak. Podívejme se na pět nejčastějších chyb, ke kterým dochází právě proto, že firemní IT směrnice definuje výše uvedená pravidla.
1. Admin se chová stejně “hloupě” jako uživatel Protože i firemní admini jsou jen lidé, často si práci usnadňují tím, že do všech účtů volí stejné heslo. “Hackerům pak stačí přijít na jednu jedinou kombinaci a mají volnou cestu. Každý účet by proto měl mít jiné heslo,” říká Jiří Formáček z GreyCorbel. I správce sítě ve firmách je třeba vzdělávat, i když to je dost složitá cílová skupina. A když to nejde, nasaďte na ně extra “tool”, viz bod 5.
2. Dostatečně složité na rozluštění, a přesto jednoduché na zapamatování? Protože jsou administrátoři nuceni vymýšlet složitá hesla, mají problém si je pamatovat. A tak si je poznamenávají. Píšou si je na papírky, do mobilu, často si pro ten případ vytváří speciální dokument, kde mají všechna hesla přehledně na jedné hromádce.
3. Lidé si pomáhají tím, že hesla obměňují podle klíče Divili byste se, kolik lidí ve firmách mění přístupová hesla podle určitého klíče. Leden2020, Únor2020, Březen2020… Tento systém je nebezpečný nejen pro útočníky zvenku, ale také zevnitř. Až 90 % bývalých zaměstnanců může mít i nadále přístup do firemní sítě, pokud tento klíč zná. Nebo přístup k datům někomu poskytnout!
4. Žádný vztah s heslem Heslo nesmí být uhodnutelné. Nemělo by to být jméno domácího mazlíčka, datum narození ani přezdívka. V databázi odcizených přístupových údajů také dominují posloupné řady číslic, anglická slova qwerty nebo password, případně první písmena z abecedy. Odborníci doporučují kombinovat čísla a písmena (malá a velká), ale i u nich hrozí špatná zapamatovatelnost. Nejlepší je proto volit často vtipná hesla typu čevenomodrobíláveverka a podobně.
5. Administrátor hesla znát nemusí. Opravdu! Jak všechny předchozí hrozby omezit na minimum? Administrátor v dnešní době už vůbec přístupová hesla znát nemusí. Existuje nástroj na automatické generování a šifrování hesel, například Admin Password Manager (AdmPwd.E) od GreyCorbel. Dokáže rozlišit, kdo z uživatelů se kam smí podívat, a které informace jsou pro něj zakázané. “Navíc lze vysledovat historii hesel a tím pádem mít přehled o všech přístupech. Šifrování hesel tak eliminuje riziko útoku hackerů i úmyslné či neúmyslné chyby administrátorů zevnitř firmy,” popisuje výhody AdmPwd.E Jiří Formáček z GreyCorbel.