Hlavní navigace

Hesla a zase ta hesla

23. 4. 2008 12:50 (aktualizováno) Svatopluk Vít

Včera se tu objevila zpráva o tom, jak uživatelé „lehkovážně“ volí podobu hesel. Zamýšleli jste se však někdy nad tím, kolik hesel vlastně v denním životě používáte? Já ano a byl jsem ohromen. A taky vím, že hesla jsou otravná, ale zároveň vím co se stane, pokud jej někdo prolomí.

Jmenuji se Marek a jsem zaměstnanec. Popíšu vám své dopoledne. Ráno vstanu a procházím kolem telefonu se záznamníkem. Mám tam prý nějakou zprávu. Zadávám první PIN pro vstup do schránky. Pak popadnu telefon. Chce po mně druhé PIN a mám tam vzkaz ve schránce. Pro vstup do ní chce třetí PIN. Protože žiju v poměrně exponované oblasti, mám i alarm. Protože ho na noc zapínám, je zapotřebí je ráno deaktivovat. Zadávám čtvrté PIN. Pročítám noviny, snídám a odcházím do práce. Pro otevření dveří domu potřebuji páté PIN. Přijíždím do práce, zdraví mne vrátný. U dveří firmy potřebuji šesté PIN. Sedám k počítači a zadávám vstupní heslo do sítě, tedy sedmý údaj. Pak zapínám informační systém, což chce osmé heslo. Ještě se mrknu na webmail a tam zadám deváté heslo.

Při cestě na oběd opět zadávám PIN (odcházím ven, teď to PIN nepočítám) a mířím k bankomatu, který po mě chce ještě desáté PIN. Když se vracím z oběda, sedám k počítači a protože musím ještě zkontrolovat nějakou práci ze včerejška, musím se přihlásit k webové prezentaci, samozřejmě s jedenáctým heslem. Protože jsem vybral nějaké peníze z účtu, chci vidět stav. Buď můžu přes internet banku a dvanácté heslo nebo přes mobil banku a tam mám samozřejmě třinácté heslo…

A to nemluvíme o heslech aktivačních a různých potvrzovacích a dalších, které používáme pro přístup na různé stránky a do různých komunit. Takže celkem chápu, že mají lidé tendenci volit hesla buď všechna stejná (pokud to jde) nebo jednoduše zapamatovatelná.
Chcete-li uživatele ve vaší firmě naučit alespoň to, aby při odchodu od počítače svůj počítač uvedli do stavu, kdy s ním nikdo nebude moci pracovat bez znalosti hesla, vyzkoušejte následující trik našeho bývalého generálního ředitele. Zaručeně funguje.

Ve chvíli, kdy zjistil, že někdo nechal počítač v použitelném stavu, spustil e-mail a napsal sám sobě velmi sprostý email. Na jeho adresu pak přišel od postiženého email, na který mu samozřejmě odpověděl. Můžete si být jistí, že postižený si příště opravdu dá pozor, aby se to již neopakovalo. To zděšení postiženého bylo nepopsatelné. Jenže jak dokáže, že ten email nepsal on? Přišel přece z jeho počítače a z jeho emailu. Takže se nijak neobhájí.

Bývá totiž velký problém v tom, abyste lidem vysvětlili, že heslo je stejně důležité jako např. klíče od bytu. Heslo jako takové totiž strašlivě degradovalo a lidé jej vnímají jako nějaké zlo, které prostě musí být. A podle toho s ním i nakládají. V naší firmě jsou pravidla docela přísná (co 60 dní se heslo mění, musí mít alespoň 7 znaků, nesmí být slovníkové a spousta dalších omezení). Kupodivu si naši uživatelé hesla na monitor nepíší (ani na spodek klávesnice). Zavedli jsme institut trezoru, kam má každý možnost své heslo uložit a kdykoliv se na něj podívat (samozřejmě přes jednu osobu, která má k trezoru přístup). Nahlížení do hesel se sleduje. Navíc je to krabička poslední záchrany, pokud něco selže a není možno daný problém řešit jinak než nahlédnutím do obálky s hesly daného uživatele. Je o tom vyhotovován i zápis. Stejně to ovšem nezabrání tomu, aby lidé svá hesla „šérovali“. Ale je to na jejich zodpovědnost. Ve chvíli, kdy se něco stane, jde to na jejich vrub.

A když se to pěkně spojí, můžete se dostat i do systému NBÚ na Slovensku, jako se to povedlo slovenským hackerů. Jenže oni nemuseli nikam pronikat, protože heslo prostě uhodli. O to víc to zaráží u úřadu, který má nad bezpečností bdít a jít příkladem.

Univerzální rada asi neexistuje, ale jisté je, že nikdy nenajdeme optimální model. Snad až při skenování duhovky…

Sdílet