Říká se: Každé tři měsíce je třeba měnit heslo. Musí obsahovat kombinaci písmen malých a velkých, číslic a speciálních znaků. Jen tak bude firemní IT systém nedobytný. Ale to jsou omyly. Praxe ukazuje, že je tomu zcela jinak. Podívejme se na pět nejčastějších chyb, ke kterým dochází právě proto, že firemní IT směrnice definuje výše uvedená pravidla.
Protože i firemní admini jsou jen lidé, často si práci usnadňují tím, že do všech účtů volí stejné heslo. “Hackerům pak stačí přijít na jednu jedinou kombinaci a mají volnou cestu. Každý účet by proto měl mít jiné heslo,” říká Jiří Formáček z GreyCorbel. I správce sítě ve firmách je třeba vzdělávat, byť to je dost složitá cílová skupina.
Protože jsou administrátoři nuceni vymýšlet složitá hesla, mají problém si je pamatovat. A tak si je poznamenávají. Píšou si je na papírky, do mobilu, často si pro ten případ vytváří speciální dokument, kde mají všechna hesla přehledně na jedné hromádce.
Divili byste se, kolik lidí ve firmách mění přístupová hesla podle určitého klíče. Leden2020, Únor2020, Březen2020… Tento systém je nebezpečný nejen pro útočníky zvenku, ale také zevnitř. Až 90 % bývalých zaměstnanců může mít i nadále přístup do firemní sítě, pokud tento klíč zná. Nebo přístup k datům někomu poskytnout!
Heslo nesmí být uhodnutelné. Nemělo by to být jméno domácího mazlíčka, datum narození ani přezdívka. V databázi odcizených přístupových údajů také dominují posloupné řady číslic, anglická slova qwerty nebo password, případně první písmena z abecedy. Odborníci doporučují kombinovat čísla a písmena (malá a velká), ale i u nich hrozí špatná zapamatovatelnost. Nejlepší je proto volit často vtipná hesla typu čevenomodrobíláveverka a podobně.
Jak všechny předchozí hrozby omezit na minimum? Administrátor v dnešní době už vůbec přístupová hesla znát nemusí. Existují nástroje na automatické generování a šifrování hesel, například Admin Password Manager (AdmPwd.E) od GreyCorbel. Dokáže rozlišit, kdo z uživatelů se kam smí podívat, a které informace jsou pro něj zakázané. “Navíc lze vysledovat historii hesel a tím pádem mít přehled o všech přístupech. Šifrování hesel tak eliminuje riziko útoku hackerů i úmyslné či neúmyslné chyby administrátorů zevnitř firmy,” popisuje výhody AdmPwd.E Jiří Formáček z GreyCorbel.
