Kľúčové poznatky
- Vysoko postavení manažéri a majitelia spoločností používajú slabé a ľahko prelomiteľné heslá.
- Na vine je ľudská lenivosť a nedostatok riadneho tréningu.
-
Používanie správcu hesiel je najlepšia oprava.
Mohli by ste si myslieť, že váš šéf by mal ísť príkladom, pokiaľ ide o dobré používanie hesiel, ale realita – prekvapenie – je, že sú rovnako zlí av niektorých smeroch horší ako my ostatní.
Podľa novej správy od správcu hesiel a služby VPN Nord Security používajú vedúci pracovníci na vysokej úrovni rovnako ako všetci ostatní slabé heslá, ktoré sa dajú ľahko prelomiť. V skutočnosti, okrem toho, že sa obťažujú chrániť svoju vlastnú bezpečnosť alebo bezpečnosť svojich spoločností, sa zdá, že majú čudné preferencie pre fantastické stvorenia.
„Je zaujímavé, že štúdia ukázala, že vrcholoví manažéri vo svojich heslách vo veľkej miere používajú aj mená ľudí (t.j. Tiffany, Charlie, Michael, Jordan) a mýtických bytostí alebo zvierat (t.j. drak, opica), “Patricija Černiauskaitė z Nord Security povedal Lifewire e-mailom.
Príliš zaneprázdnený na starostlivosť
Prečo sú teda riaditelia takí zlí v heslách? Rovnako ako my ostatní si myslia, že majú na práci dôležitejšie veci.
"Vedúci pracovníci sú zaplavení otázkami a informáciami a tiež sa od nich požaduje, aby sa v zlomku sekundy rozhodovali o rôznych témach. Aj keď prišli so základným prístupom k mapovaniu hesiel (napr. "rovnaké heslo + fin@ nce“pre finančné stránky; „rovnaké heslo + s0c1al“pre sociálne stránky), posledná vec, ktorú chcú urobiť, je prerušiť proces myslenia tým, že budú musieť premýšľať o konkrétnom hesle pre konkrétnu stránku,“povedal CTO 1Password Pedro Canahuati pre Lifewire cez e-mailom.
Výsledkom je, že najpoužívanejšie heslo, ktoré používajú ľudia v kanceláriách na vysokej úrovni, je 123456, za ktorým nasleduje stará klasika: heslo.
Vieme, že heslá sú dôležité, ale to nezľahčuje ich zapamätanie. Doma je ich písanie na papier rovnako bezpečné ako čokoľvek iné, ale v kancelárii je to samozrejme zlý nápad. Je to však chyba zamestnancov – na akejkoľvek úrovni – alebo by sa o školenie a riadenie malo postarať IT oddelenie spoločnosti? Koniec koncov, skúste sa zamyslieť nad inou oblasťou podnikania, kde sú následky neúspechu také strašné, ale zamestnancom je dovolené, aby si to len tak odflákli.
„Verím, že ak ich spoločnosť ukáže viacerým ľuďom, ako zjednodušiť zložitý svet uchovávania hesiel pomocou príkladov, školení a nástrojov, ľudia by boli ochotnejší implementovať silné heslá,“Chris Lepotakis, senior spolupracovník u globálneho hodnotiteľa kybernetickej bezpečnosti Schellman, povedal Lifewire e-mailom. „Z mojej osobnej skúsenosti to vidím ako chýbajúcu oblasť, ktorú by malo viacero spoločností zvážiť vo svojich osnovách školení v oblasti bezpečnosti pre zamestnancov."
Odpoveď
Odpoveď je nariadiť používanie nejakého správcu hesiel. Na výber je množstvo služieb, ktoré sa integrujú s prehliadačmi a iným softvérom. Správca hesiel generuje bezpečné heslá, pamätá si ich a automaticky ich vypĺňa, keď ich potrebujete.
Používateľ si musí zapamätať jediné heslo alebo prístupovú frázu, ktorá je potrebná na odomknutie aplikácie správcu hesiel. Firemné systémy by sa určite dali uzamknúť, aby sa heslá mohli zadávať iba prostredníctvom aplikácie na správu hesiel, ako je NordPass alebo 1Password, čím by sa z rovnice odstránil lenivý človek?
Vo svojej osobnej skúsenosti vidím, že toto je chýbajúca oblasť, v ktorej by viac spoločností malo zvážiť zlepšenie…
Ale, samozrejme, je tu problém. My, leniví ľudia, si vyberieme 123456 alebo poochie89 ako hlavné heslo, ktoré by mohlo odhaliť celú ich zbierku hesiel jediným dobre miereným útokom sociálneho inžinierstva. Na druhej strane je možné prepojiť toto hlavné heslo s nejakým fyzickým tokenom, ako je telefón používateľa alebo bezpečnostný kľúč.
Je niekto dobrý v heslách?
Pri skúmaní tohto článku som sa opýtal respondentov, či existujú skupiny, ktoré sú skutočne dobré v oblasti zabezpečenia hesiel. Myslel som si, že profesionáli v oblasti bezpečnosti alebo IT ľudia by to mohli urobiť lepšie.
Odpovede boli zmiešané, ale väčšina uviedla, že neexistuje žiadna skupina, ktorá by vyčnievala, aj keď, našťastie, ľudia z oblasti IT bezpečnosti aspoň vedia, čo by mali robiť.
„Môžem úprimne povedať, že väčšina bezpečnostných tímov vo všetkých organizáciách skutočne podľa všetkého zvláda bezpečnosť hesiel lepšie,“hovorí Lepotakis, „ale nepovedal by som, že je to stále pravda. Myslím, že to skutočne pripomína pôvodný výrok v časti o vedúcich pracovníkoch Všetci sme stále ľudia a ľudia buď robia chyby, alebo sa zriekajú vhodného zabezpečenia, aby si uľahčili život."
Z toho všetkého vyplýva, že by ste mali používať správcu hesiel, nájsť si čas na vytvorenie, naučiť sa a zapamätať si silné hlavné heslo a nikdy ho nikomu nehovoriť.
Malo by to byť dosť jednoduché.
