Používate správne heslá?

V nadpise je úmyselne dvojtvar. Slovo správne môžete chápať vo význame ako „správne silné heslá“ a tiež vo význame, že „heslá používate správne“, to znamená, že ich často meníte a nemáte ich na papieriku nalepenom na monitor.  Na prácu potrebujete viac hesiel, ako na súkromné účely. Vyše pätina používa viac ako päť hesiel na pracovné účely. Čím viac hesiel máte, tým väčšia je pravdepodobnosť, že o nejaké prídete alebo ho zabudnete. Aspoň raz sa to už stalo štyrom z desiatich zamestnancov.

Prieskum realizovaný agentúrou AKO pre spoločnosť ALEF na vzorke 1000 respondentov prezradil zaujímavé skutočnosti. Takmer 43 percent (42,9 %) ľudí priznáva, že už raz zabudli nejaké heslo potrebné na pracovné účely, že si naň jednoducho nevedeli spomenúť. Častejšie sa to stáva tým zamestnancom, ktorí musia na prácu používať viacero hesiel.

Koľko hesiel používame na pracovné a súkromné účely

Až 18 percent respondentov sa priznali, že na svojich zariadeniach nepoužívajú žiadne heslo. Ich notebook, tablet, či smartfón je prístupný okamžite po zapnutí bez nutnosti prihlasovania sa. Veľkým rizikom je ak zamestnanec používa rovnaké heslá do rôznych prístupov, napríklad do pracovných aj súkromných aplikácií

Veľkým rizikom je ak zamestnanec používa rovnaké heslá do rôznych prístupov, napríklad do pracovných aj súkromných aplikácií Najväčšími „zábudlivcami“ sú tí, ktorí pre prácu potrebujú veľa hesiel. Napríklad ak musí zamestnanec používať vyše 10 hesiel, podľa prieskumu je takmer 75 % pravdepodobnosť, že aspoň jedno zabudne. Potvrdilo sa teda, že zraniteľnosť zamestnanca sa s každým ďalším prístupom zvyšuje. Takisto platí, že čím častejšie si zamestnanci menia alebo musia meniť pracovné heslá, tým väčšie je riziko zabudnutia hesla.

Ako často meníme heslá

Zabúdanie hesla

Vplyv počtu hesiel na pravdepodobnosť ich zabudnutia

Mladší respondenti sú zodpovednejší a častejšie menia heslá. Taktiež heslá menej zabúdajú. Je to logické, starší ľudia ľahšie zabúdajú, takže to nie je ani tak zodpovednosťou, skôr vekom. Ak nútite zamestnancov meniť si heslo každý týždeň, môže to viesť k tomu, že si budú heslá zaznamenávať na nebezpečných miestach, že heslá zabudnú alebo sa budú snažiť si ich vyberať čo najjednoduchšie. Firma nesmie prenášať zodpovednosť za bezpečnostnú politiku na bežných zamestnancov, takýto prístup predstavuje riziko. Zodpovednosť za bezpečnostnú politiku na zariadeniach používaných vo firme, či už firemných, ktoré si pracovníci nosia domov, prípadne ich vlastných zariadení, ktoré používajú v práci v rámci BYOD (Bring Your Own Device) je vždy na firme, nie na zamestnancovi.

Korelácia medzi zmenou hesla a zabúdaním.

Takmer 30 percent (28,6 %) respondentov uviedlo, že si pracovné heslá niekde zaznamenáva. Najčastejšie do diára. Zároveň platí, že riziko zabudnutia hesla je menšie, pokiaľ ho firma mení vo vlastnej réžii, pomocou vhodného softvéru automaticky.

Kde zaznamenávame heslá

Ak si aj heslá niekde poznamenáte, po ich zmene treba s príslušným záznamom správne naložiť a nevyhodiť ho ako nepotrebný len tak do koša. Prieskum bohužiaľ nebral do úvahy možnosť, ktorú veľa z nás využíva. Heslá používame, máme pre každý dôležitý účel iné heslo, dokonca používame veľmi silné heslá, ale de-facto to neriešime. Necháme počítač, tablet, alebo smartfón, aby generoval silné heslá a pamätal si ich, napríklad v kľúčenke Apple. V konečnom dôsledku si tak musíme pamätať len jedno silné heslo na prístup do príslušného zariadenia. Prieskum taktiež neriešil čoraz populárnejší biometrický prístup. Je to logické, pretože biometricky, napríklad pomocou odtlačkov prstov sa prihlasujeme do zariadení, ale nie do služieb. Ondrej Kis zo spoločnosti ALEF zdôraznil, že určite by nikto nechcel, aby každá banka, či e-shop mal naše biometrické údaje.

Na trhu existujú technológie, ktoré výrazne uľahčujú manažovanie zamestnaneckých hesiel a zároveň zvyšujú úroveň IT bezpečnosti vo firme. Prostredníctvom bezpečnostného softvéru Thycotic Secret Server dokáže firma nastaviť prístupové práva pre každú zamestnaneckú pozíciu. Zamestnanec už bude potrebovať na vstup do systému iba jediné heslo s možnosťou dvojfaktorového overovania, ktoré mu automaticky odomkne všetky aplikácie a súbory povolené pre jeho úroveň. Firma už napríklad nemusí svojej účtovníčke zveriť údaje k firemnej kreditnej karte či internetovému bankovníctvu. Tie sa vyplnia automaticky po jednom prihlásení sa cez bezpečnostný softvér. Takýto typ softvéru dokáže pravidelne meniť heslá do jednotlivých aplikácií, pričom samotný zamestnanec o tom ani nevie a teda si ich nemusí pamätať.

Tento softvér nestráži iba zamestnancov, ale aj adminov, ktorí majú privilegované prístupy k tým najcitlivejším údajom vo firme. Práve privilegované účty sú najčastejšie terčmi útokov a preto by ich ochrane mali firmy venovať zvýšenú pozornosť. Softvér funguje ako akýsi prístupový server. Po tom, ako ho administrátor nainštaluje a nastaví, sa pregeneruje aj heslo samotného administrátora a uloží sa v trezore. Doň má potom prístup už iba vybraná osoba – zväčša niekto z vedenia spoločnosti, mimo IT oddelenia. Ani prípadná fluktuácia IT zamestnancov už teda pre firmu nepredstavuje bezpečnostnú hrozbu.

Ďalšie zaujímavosti z prieskumu