IT bezpečnosť v jednoduchých slovách: heslá a ich uchovávanie

Heslá sú jedným zo základných pilierov informačnej bezpečnosti. V tomto článku si vysvetlíme, prečo je Excel s heslami zlý nápad, ako správne uchovávať prístupové údaje a aké by mali byť spoľahlivé heslá v spoločnosti.

Prečo je téma hesiel taká dôležitá

V mnohých organizáciách sa heslá stále ukladajú vo forme:

Excelových súborov v spoločných priečinkoch;
textových súborov na pracovnej ploche;
záznamov v komunikátoroch.

„A čo je na tom také zlé? K týmto súborom majú prístup len správcovia“ – typický argument.

Problém je v tom, že ak bude počítač správcu kompromitovaný, útočník získa prístup k celej tejto „tabuľke“ s heslami. A ďalej je všetko jasné: e-mail, servery, úložiská, cloudové služby – všetko je otvorené.

1) Načo je potrebný správca hesiel

Heslá by mali byť uložené v zabezpečenom úložisku, a nie v Exceli.

Takéto úložisko je šifrovaná databáza, v ktorej sa ukladajú všetky informácie o prístupoch:

prihlasovacie mená a heslá;
adresy služieb a komentáre;
ďalšie parametre (porty, typy pripojení atď.).

Bez znalosti hlavného hesla k tejto databáze nie je možné získať k nej prístup.

Príklad riešenia: KeePass — bezplatný (open-source) správca hesiel, ktorý je možné používať v malej spoločnosti.

2) Osobitný prípad: heslá zo zálohovacích úložísk

Existujú heslá, ktoré je lepšie vôbec neuchovávať v elektronickej databáze.

Heslo zo zálohovacích úložísk je lepšie uchovávať v papierovej forme.
Ak je heslo uchovávané v elektronickej forme, nemalo by sa nachádzať v tej istej databáze ako všetky ostatné heslá.

Logika: aj keby útočník ukradol hlavné heslo z manažéra hesiel, k archívom sa aj tak nedostane.

Aké by malo byť spoľahlivé heslo

Teraz o samotných heslách. Spoľahlivé heslo by malo:

mať dĺžku najmenej 12 znakov (minimálne 8, ale lepšie 12+);
obsahovať veľké a malé písmená;
obsahovať čísla;
obsahovať špeciálne znaky (napríklad @&^#!).

Neprijateľné:

heslá pozostávajúce iba z číslic (najmä z 6–8 číslic);
heslá kratšie ako 8 znakov;
používanie mien, dátumov narodenia, názvov spoločností atď.

Napríklad heslo pozostávajúce z ôsmich číslic sa pomocou moderných metód dá uhádnuť za niekoľko sekúnd.

3) Typické chyby v spoločnostiach

jedno a to isté heslo sa používa vo viacerých systémoch;
heslá sa nemenia celé roky, ani po odchode zamestnancov;
spoločné heslá „pre všetkých“ (napríklad pre Wi-Fi alebo administrátorský panel);
heslá sa posielajú v správach bez šifrovania.

4) Ako to zlepšiť bez bolesti pre zamestnancov

Zaviesť správcu hesiel ako „jediný zdroj pravdy“ o prístupoch.
Vytvoriť pravidlá: dĺžka a zložitosť hesiel, zákaz opätovného použitia.
Vysvetlite zamestnancom, prečo nemajú písať heslá na nálepky a do súborov.
Určite osobu zodpovednú za správu kritických hesiel (e-mail, zálohy, doména, cloud).

Dôležité: nepohodlný systém hesiel vedie k tomu, že zamestnanci hľadajú obchádzky. Je lepšie urobiť to trochu jednoduchšie, ale tak, aby sa pravidlá dodržiavali.

Mini kontrolný zoznam hesiel pre firmy

Heslá sa neukladajú v súboroch Excel a textových súboroch.
Používa sa správca hesiel (napr. KeePass).
Hlavné heslo k databáze hesiel je zložité a jedinečné.
Heslá zo zálohovacích úložísk sa ukladajú samostatne (v papierovej forme).
Vo všetkých systémoch sa používajú heslá s dĺžkou 12 a viac znakov.
Je zakázané používať jedno a to isté heslo v rôznych službách.

Chcete zaviesť poriadok v heslách a prístupoch vo vašej spoločnosti?

Pomôžeme vám zaviesť správcu hesiel, nastaviť politiku zložitých hesiel a rozdeliť kritické prístupy tak, aby sa nedostali do jedných rúk.