Každý (včetně vašeho šéfa) musí používat lepší hesla

May 05, 2022
VZprávy Internetová Bezpečnost

Vysoce postavení manažeři a majitelé společností používají slabá a snadno prolomitelná hesla.
Na vině je lidská lenost a nedostatek řádného výcviku.
Nejlepší řešení je použití správce hesel.

Zblízka pole pro zadání hesla na ploše s binárními čísly. Vstupní pole obsahuje osm zelených hvězdiček. — matejmo / Getty Images

Možná si myslíte, že váš šéf by měl jít příkladem, pokud jde o dobré používání hesel, ale realita – překvapení – je taková, že jsou stejně špatní a v některých ohledech horší než my ostatní.

Podle na novou zprávu ze správce hesel a VPN služby Nord Security používají manažeři na vysoké úrovni slabá, snadno prolomitelná hesla, stejně jako všichni ostatní. Ve skutečnosti, kromě toho, že se neobtěžují chránit svou vlastní bezpečnost nebo bezpečnost svých společností, se zdá, že mají zvláštní preference pro fantastická stvoření.

"Zajímavé je, že studie ukázala, že vrcholoví manažeři také hojně používají jména lidí (tj. Tiffany, Charlie, Michael, Jordan) a mýtická stvoření nebo zvířata (tj. drak, opice) v jejich hesla," Patricija Černiauskaitė z Nord Security řekl Lifewire e-mailem.

Příliš zaneprázdněn na péči

Proč jsou tedy ředitelé tak špatní v heslech? Stejně jako my ostatní si myslí, že mají důležitější věci na práci.

„Vedoucí pracovníci jsou zaplaveni otázkami a informacemi a jsou také požádáni, aby ve zlomku sekundy rozhodovali o řadě témat. I když přišli s primitivním mapovacím přístupem k heslům (např. „stejné heslo + fin@nce“ pro finanční stránky; „stejné heslo + s0c1al“ pro sociální stránky), poslední věc, kterou chtějí udělat, je přerušit jejich myšlenkový proces tím, že budou muset přemýšlet o konkrétním hesle pro konkrétní web,“ 1Password CTO Pedro Canahuati řekl Lifewire e-mailem.

Výsledkem je, že hlavní heslo používané vysoce postavenými lidmi v kancelářích je 123456, následuje stará klasika: Heslo.

Víme, že hesla jsou důležitá, ale to nijak neusnadňuje jejich zapamatování. Doma je psaní na papír stejně bezpečné jako cokoliv jiného, ale v kanceláři je to samozřejmě špatný nápad. Je to ale chyba zaměstnanců – na jakékoli úrovni – nebo by se o školení a řízení mělo starat IT oddělení společnosti? Koneckonců, zkuste myslet na jinou oblast v podnikání, kde jsou následky neúspěchu tak hrozné, ale zaměstnanci to mohou jen tak okřídleně.

„Věřím, že pokud více lidem jejich společnost ukáže, jak zjednodušit složitý svět hesel uchovávání s příklady, školením a nástroji, lidé by byli ochotnější implementovat silné hesla," Chris Lepotakis, senior spolupracovník globálního hodnotitele kybernetické bezpečnosti Schellman, řekl Lifewire e-mailem. "Podle mé osobní zkušenosti jsem viděl, že toto je chybějící oblast, kterou by více společností mělo zvážit zlepšení ve svých osnovách školení v oblasti bezpečnosti pro zaměstnance."

Odpověď

Odpovědí je nařídit použití nějakého správce hesel. Na výběr je spousta služeb, které se integrují s prohlížeči a dalším softwarem. Správce hesel generuje bezpečná hesla, pamatuje si je a automaticky je vyplňuje, když je potřebujete.

Vše, co uživatel musí udělat, je zapamatovat si jediné heslo nebo přístupovou frázi, která je potřebná k odemknutí aplikace správce hesel. Firemní systémy by jistě mohly být uzamčeny, aby hesla mohla pouze zadávat pomocí aplikace pro správu hesel, jako je NordPass nebo 1Password, a tím odstranit líného člověka z rovnice?

"Podle mé osobní zkušenosti jsem viděl, že toto je chybějící oblast, kterou by více společností mělo zvážit, jak ji zlepšit..."

Ale samozřejmě je zde problém. My líní si prostě vybereme 123456 nebo poochie89 jako hlavní heslo, které by mohlo odhalit celou jejich sbírku hesel jediným dobře mířeným útokem sociálního inženýrství. Na druhou stranu je možné toto hlavní heslo spojit s nějakým fyzickým tokenem, jako je telefon uživatele nebo bezpečnostní klíč.

Je někdo dobrý v heslech?

Při zkoumání tohoto článku jsem se respondentů zeptal, zda existují skupiny, které jsou skutečně dobré v zabezpečení hesel. Říkal jsem si, že bezpečnostní profesionálové nebo IT lidé by se možná měli lépe.

Odpovědi byly smíšené, ale většina uvedla, že neexistuje žádná skupina, která by vyčnívala, ačkoli naštěstí lidé z oblasti IT zabezpečení alespoň vědí, co by měli dělat.

„Mohu upřímně říci, že většina bezpečnostních týmů ve všech organizacích skutečně zřejmě zvládá zabezpečení hesel lépe,“ říká Lepotakis, „ale neřekl bych, že je to trvale pravda. Myslím, že to opravdu odpovídá mému původnímu prohlášení v sekci o vedoucích pracovníků. Všichni jsme stále lidé a lidé buď dělají chyby, nebo se vzdávají náležitého zabezpečení, aby si usnadnili život."

Z toho všeho vyplývá, že byste měli používat správce hesel, věnovat čas vytvoření, naučit se a zapamatovat si silné hlavní heslo a nikdy ho nikomu neříkat.

Mělo by to být dost snadné.