Bezpečnost a chování uživatelů #1 - HESLA

Není dne, abychom neslyšeli informace a příběhy týkající se úniku či zneužití dat, případně cíleného útoku na systémy firmy, státu, organizace. Je skutečně IT bezpečnost jen v rukách IT odborníků?

Bezpečnost, nejenom v IT prostředí, je nutné vnímat jako společnou úlohu všech, kteří se v daném prostředí pohybují. Velmi často se investují nemalé částky do fyzického zabezpečení budov, IT systémů, které chrání servery či aplikace, ale již málokdy se vzdělávají uživatelé. Pokud nebude vysvětleno pověstné „proč“ každému v rámci organizace, mohou se bezpečnostní opatření složit jako pověstný domeček z karet. Povědomí by v dnešní době měli získávat i mladší ročníky, stejně tak jako ví, že nemají mluvit s cizími lidmi či pouštět někoho do bytu, když nejsou rodiče doma. Nebezpečí na síti číhá nejenom v zmiňované kompromitaci dat, ale jsou zde další nebezpeční – kyberšikana, vydírání, poškození dobrého jména, sociální inženýring vedoucí k proniknutí do organizace, státu, firmy, party lidí…

I přesto, že IT udělá maximum pro zabezpečení systému, aplikace, zůstává velká část odpovědnosti na uživateli.

Začneme od nejjednoduššího - HESLA

Jak složité heslo a frekvence změny je ještě účelná?  Pokud uživateli IT oddělení vnutí heslo dlouhé 32 znaků, složené z písmen, čísel a speciálních symbolů se změnou po 1 týdnu, máme skoro absolutní jistotu, že heslo bude v práci napsané pod klávesnicí, na kalendáři atd. Co je tedy účelné?

• Heslo o délce alespoň 8 znaků, složení ideálně z písmen, číslic a speciálního znaku, které nebude obsahovat kombinaci vašeho jména, aktuálního měsíce….
• Heslo by se mělo pravidelně měnit, v rámci rizikových aplikací či sociálních sítí častěji než v korporátním prostředí.
• Nepoužívejte stejné heslo do bankovnictví a do sociální sítě atd.
• Pokud to aplikace umožňuje, nebojte se tzv. dvojfaktorového ověření.
• U stránek, kde se registrujete, kontrolujte, zda se jedná o zabezpečenou komunikaci, poznáte podle https:// na začátku.

• Nezadávejte svoje informace do neznámých stránek na základě výzvy v emailu, často se jedná o podvržené stránky, které vzniknou právě za účelem získaní vašich údajů, například do banky.  Snadno poznáte podle adresy odesílatele, kde je často pozměněno nepatrně jméno firmy a její domény.  Stejně tak odkaz nevede na web, který je běžně používán.
• Není možné si pamatovat desítky hesel, vytvořte si systém v tvorbě hesla ať se vám dobře pamatuje, případně lze využít i „trezor“ hesel, což je aplikace, která za vás hesla spravuje pod jedním centrálním heslem, ale pozor, jedná se pochopitelně o riziko, protože jedno heslo může útočníkovi pomoci se dostat ke všemu.

V dalším díle více o veřejných bezdrátových sítích a jejich rizicích.

#bezpecnost #jetonavas

Autor: Petr Louzecký