Kolega spolu administrátor v práci má na tričku v nadpisu zmíněný text. Bohužel v zásadě má pravdu.
Již po několikáté se ze mě stal administrátor. Naposledy jsem se staral o chod rozsáhlé WiFi sítě, avšak tentokrát se starám o cca 40 uživatelů a nestíhám se divit.
Dnes jsem přišel k jednomu uživateli, který i když mě viděl poprvé v životě, dal mi lístek s napsaným přihlašovacím jménem a heslem. K tomu dodal, že potřebuje rozchodit počítač a kdyby něco, tak tady mi dává přihlašovací údaje. Tohle se mi stalo v 80% procentech případů.
Pro nezasvěcené podotýkám, že u nás v podniku používáme LDAP k ověřování uživatelů, to znamená, že každý má jedno přihlašovací jméno a heslo a to funguje ke všemu. K e-mailu, do počítače, k SAPu, do správy identit, přidělování rolí atd.. Myšlenka LDAPu je krásná, ale zároveň šíleně nebezpečná.
V podniku sice máme definovanou bezpečnostní politiku, ale kdo by jí dodržoval, když hesla jsou pro uživatele jen přítěží, které rádi každému sdělí, jen aby je nemuseli používat. Nicméně už si neuvědomují skutečnost, že jejich heslo „ke všemu“, je skutečně k desítkám aplikací a dá se toho velmi snadno zneužít. Například v SAPu si můžete objednat téměř cokoliv s tím, že celé schvalovací kolečko cca 10ti lidí vám to schválí, protože požadavky ve Workflow nečtou a automaticky je schvalují. Zde bych se zastal snad jen účetních na konci řetězce, které alespoň občas odhalí ty největší kraviny.
Naše politika hesel:
Heslo má být minimálně osm znaků dlouhé, má tam být malé a velké písmeno, číslo a jeden speciální znak s trvanlivostí hesla 3 měsíce. Zde dodám jen tolik, že by hesla uhodl průměrný hacker, protože heslo většinou je snadno zapamatovatelné viz Králík123*. Takových hesel jsou plné databáze, které se povalují na internetu spolu s programy, které téměř jedním kliknutím dokážou obejít, nebo najít heslo k téměř čemukoliv.
Proto pozor! Nikomu nedávejte svá hesla, ani adminům, šéfům a ani prezidentovi. Dá se s tím napáchat dost velká škoda.
Řešením pro podniky jako je ten náš, je používání čipových karet, nebo alespoň čteček otisků prstů.
PS: Hýčkejte si své administrátory….