Heslo je a bude základním autentizačním prostředkem informačních systémů. Jeho náhrada implementací vícefaktorové nebo biometrické autentizace je zatím „hudbou budoucnosti“, neboť bezpečnost je stále ještě pro spoustu organizací okrajovou záležitostí. Je spíše oblastí, kde se provádí finanční škrty. A tak nám zůstává heslo a uživatelé, kteří s ním zacházejí velmi, velmi neopatrně. Používají stejné heslo do více systémů, mají „slabá“ hesla atd. Práce s uživateli vyžaduje pravidelné školení, které by uživatelům připomínalo základní principy, které se mohou profesionálům zdát banální, ale které jsou trvalým problémem IT bezpečnosti. Ale to se dostáváme do začarovaného kruhu. Peníze na školení jsou to poslední (a zpravidla jsou v rubrice zbytných výdajů), a tak se neškolí… A uživatelé se pak chovají tak, jak se chovají :-(
Co myslíte – kolik „stojí“ heslo uživatele?
V minulosti bylo provedeno několik sociálních experimentů a je určitě zajímavé, připomenout si jejich výsledky. Byť jsou výsledky často legrační, smát bychom se moc neměli.
V roce 2004 byl proveden v rámci konference Infosec v Londýně experiment, kdy se tazatelé ptali na londýnské stanici Liverpool Street cestující na jejich login a heslo. 70 % dotázaných nemělo nejmenší problém obojí vyzradit za tabulku čokolády! Dáte si mléčnou nebo hořkou?
V roce 2005 společnost VeriSign postavila na ulici San Franciska stánek, kde nabízela dárkový poukaz do Starbucks v hodnotě 3 USD výměnou za login a heslo do jejich pracovních systémů. Z oslovených 272 procházejících dalo 66 % přednost kávě před bezpečností.
Velmi podobný pokus byl proveden v roce 2014 v New Yorku. Během pokusu nebyli lidé tázáni přímo na heslo, ale na citlivá data jako je číslo řidičského průkazu, číslo sociálního pojištění, jméno matky za svobodna atd. Výsledek – během dne celkem 380 Newyorčanů vyzradilo vše, na co se tazatel ptal. A co za to? Neuvěříte – muffin nebo sušenka!
Možná nevíte, kdo je to Jack Johnson (pop-rap zpěvák, taky jsme to nevěděl), ale vězte, že letos vyzval své fanoušky, aby mu sdělili své heslo na Twitter (aby jim mohl sám posílat svá videa J). A co myslíte, že se stalo? Jeho účet byl zavalen hesly jeho obdivovatelů…
A teď – co si myslíte, jak jsou na tom vaši uživatelé? Čokoláda s oříšky, vanilkový muffin nebo silné presso?
Ne, heslo není jen jediným problémem, ale může naznačit, jak se uživatelé budou chovat obecně. A stačí jedna chyba vašeho uživatele a informační systém se může zastavit na hodinu, na den, ale třeba i na týden. Můžete přijít nejen o čas, ale i o data a peníze.
Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AutoCont. Rádi vám poradíme a jak se říká: za zeptání, nic nedáte :-)