Jesteś dla siebie największym zagrożeniem

Wraz z rozpowszechnieniem się różnego rodzaju systemów i usług informatycznych, powszechne stały się również problemy z racjonalną i skuteczną kontrolą dostępu do nich.

Przyjęło się już jako standard, że kontrola dostępu do wszelkiego rodzaju kont (skrzynek e-mail'owych, kont w systemach księgowych i CRM, kont użytkownika w stacjach roboczych, profili w portalach internetowych, itd.) odbywa się na wzór pochodzący jeszcze z początków informatyki - poprzez uwierzytelnianie identyfikatorem użytkownika (zwanym także loginem lub nazwą użytkownika) oraz hasłem.

Takie rozwiązanie przetrwało próbę czasu, gdyż jest w stanie zapewnić należyty poziom bezpieczeństwa. Ma ono jednak także swoje najsłabsze ogniwo - użytkownika. To właśnie z powodu błędu użytkownika, posiadacza loginu i hasła, zawodzi najwięcej systemów zabezpieczeń informatycznych.

Stawiając sprawę najogólniej i z łagodnym przymrużeniem oka, błędy użytkowników w posługiwaniu się loginami i hasłami polegają na niestosowaniu się do praw Murhpy'ego, których wierną parafrazą w tym przypadku będzie stwierdzenie: "Każde niedopatrzenie ma potencjał przerodzić się w niestandardowy i zaskakujący problem.

Z największym prawdopodobieństwem stanie się to dokładnie w czasie, gdy w twoim życiu zawodowym i osobistym skumuluje się duża ilość innych zaskakujących problemów".

Zaś konkretyzując - chodzi o częste niestosowanie się użytkowników do kilku następujących zasad:

- Hasło powinno być dostatecznie trudne. Powinno składać się z co najmniej 8 znaków, zawierać małe i duże litery, cyfry i inne znaki. W żadnym razie nie może być prostym wyrazem, gdyż tzw. atak słownikowy jest pierwszą czynnością wykonywaną przez automat "odgadujący" hasła. Jeśli mamy trudności z wymyśleniem hasła, dobrą propozycją jest skorzystanie z generatora haseł losowych, np. tego dostępnego na stronie www.random.org.

- Nie stosować tego samego hasła we wszystkich systemach. Co prawda standardem jest, że ustawione przez nas hasło, przechowywane jest w takiej formie kryptograficznej, że nawet administrator systemu nie ma możliwości jego odczytania. Ale nie wszystkie systemy stosują się do tego standardu. Jeśli więc tego samego hasła używamy w wielu systemach, narażamy się na jego ujawnienie.

- Ważne hasła należy zmieniać co jakiś czas. Jeśli komuś szczególnie zależy na złamaniu naszego hasła, to może wytrwale nawet przez kilka miesięcy testować metodą brute force (nie wszystkie współczesne systemy są przed nią zabezpieczone), kolejne kombinacje. Jest to czas, który umożliwia złamanie nawet względnie trudnego hasła. Dlatego, by obniżyć prawdopodobieństwo takiego zdarzenia, ważne hasła należy zmieniać średnio co około 3 miesiące.

- Własnych poświadczeń nie należy udostępniać innym osobom. Potwierdzeniem niech będzie następujący scenariusz. Udostępniamy dane drugiej osobie, do której mamy zaufanie. Osoba ta zmienia na naszym koncie dane, służące do nadawania nowego hasła w przypadku utraty starego. Tego nie zauważamy. Od tej pory osoba ta może w dowolnej chwili, korzystając z procedury utraconego hasła, przejąć kontrolę nad naszym kontem. I stanie się to w chwili (zgodnie z prawem Murphye'go), gdy nie będziemy mieć już do niej zaufania. Na marginesie, większość regulaminów korzystania z kont zakazuje udostępniania go innym osobom.

- Podczas logowania na różnych komputerach wskazana jest ostrożność. Po pierwsze, należy upewnić się, że na komputerze, z którego korzystają także inne osoby, hasło nie zostaje zapamiętane. Różne programy, np. niektóre przeglądarki internetowe, mogą domyślnie mieć ustawioną opcję zapamiętywania hasła. Po drugie, trzeba upewnić się, że po zakończeniu pracy wylogowujemy się poprawnie z naszego konta.

Być może w przyszłości dojdzie do rozpowszechnienia lepszych i prostszych metod uwierzytelniania, jak karty chip'owe, czytniki odcisków palców lub siatkówki oka. Z całą pewnością nie wyprą one jednak tej podstawowej metody. Dlatego warto dla własnego spokoju wyrobić w sobie kilka istotnych nawyków.

Józef Duplaga, kierownik działu IT

Europejskie Centrum Doradztwa i Dokumentacji Podatkowej sp. z o. o.
Dowiedz się więcej na temat: dane | e-mail | bezpieczeństwo | komputery | hasło
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »