Pracuję w firmie, która często loguje się na różnego rodzaju portale kontrahenta, w celu wpisania lub spisania różnych danych klientów - połączenia są kodowane i przypomina to trochę logowanie się do banku online.
Niestety, każda współpracująca z nami firma ma różne loginy i wymaga zmiany hasła raz na miesiąc, ale z czasem można swój login na konkretną stronę zapamiętać, zaś hasło ustalać na zasadzie skojarzenia z pracownikiem i danym miesiącem (np. Kasia2021.04 albo FirmaX-kwi-21, KowalskaK.04, no po prostu multum możliwości).
W związku z ochroną danych szef zablokował nam możliwość "autouzupełniania formularza" i zaczęły się schody nie do przebycia dla jednej z koleżanek.
Czy uprościła ona sobie hasło, żeby łatwiej zapamiętać? Nie.
Czy zapisała sobie hasło w dyskretnym miejscu? Ano nie.
Przychodzę oto do pracy i widzę wydruk z loginami i hasłami "uwydatnionymi" żółtym zakreślaczem przyklejony do biurka.
W polu widzenia moim, współpracowników i klientów.
Zwróciłam uwagę koleżance, że nie jest to najlepszy pomysł i jeśli szef zobaczy jej dzieło, to raczej zadowolony nie będzie.
Koleżanka wykazała się zrozumieniem i pomysłowością.
I przykryła wydruk podkładką pod myszkę.
Hej, zawsze coś? Prawda...?
uslugi
ale nic w tym dziwnego.. to normalne w biurach czy urzedach np. pisze sie np. na odwrocie klawiatury czy pojemnika na biurku... klucz do szafy pancernej trzyma sie na szafce. Standard i nie tylko w POlsce. W sumie nie jest to wielki problem jesli to tylko jakas zwykla baza danych np. rejestr bezrobotnych gorzej jesli podobne praktyki sa np. w ksiegowosci czy tam gdzie jest dostep do konta bankowego...
Odpowiedz@voytek: To, że coś jest spotykane bardzo często nie oznacza, że jest właściwe. Hakerzy zmienili front i teraz częściej atakują bezpośrednio człowieka, a nie komputer. Słabym ogniwem jest czynnik ludzki. Żeby zachować bezpieczeństwo danych firmy wydają krocie na szkolenia czego nie robić w sieci, a i tak ludzie będą zapisywać hasła w pliku hasla.txt na pulpicie albo gdzieś na kartce na biurku.
Odpowiedz@voytek: „zwykla baza danych np. rejestr bezrobotnych”. Czyli baza zawierająca ludzi, o których wiemy, że szukają pracy, w której znajdziemy imię, nazwisko, adres zamieszkania, prawdopodobnie jakiś mail, numer telefonu i czort wie jakie jeszcze dane. A z tylko tych danych, które już napisałem można już zrobić ładną kampanię phishingową lub nawet zwykłe oszustwo podszywające się pod potencjalnego pracodawcę, który chce zaproponować pracę – trzeba tylko wpłacić wpisowe w wysokości paru złotych na podany numer konta... Mogę tak wymyślać potencjalne możliwości wykorzystania dostępu do „zwykłych baz danych” w nieskończoność. Takie praktyki jak zapisywanie gdzieś na widoku hasła są złe, są niedopuszczalne i edukacja w tym kierunku powinna być zakrojona na szeroką skalę, żeby tego oduczyć. A przede wszystkim uświadomić, że to pod żadnym pozorem nie jest niegroźne, w żadnym wypadku. Nie ma czegoś takiego jak „zwykła baza danych” ani „nie jest to wielki problem”. To zawsze jest problem. Zawsze, i tego się proszę trzymajmy.
Odpowiedz@kartezjusz2009: hackerzy niczego specjalnie nie zmienili - poczytaj o niejakim Mitnicku - gros jego włamów to była socjotechnika a nie typowy hacking.
Odpowiedz@Saszka999: no właśnie też chciałam o nim napisać. Mocno się zdziwiłam, jak przeczytałam jego "Sztukę podstępu"
Odpowiedz@Saszka999, @sanuspg: Dzięki, historia jest ciekawa. Wynika z niej, że techniki łamania systemu komputerowego przez człowieka były znane już dużo wcześniej. Ale czy były tak popularne jak dziś? (pytanie pozostawiam otwarte) Z ciekawostek potwierdzających moją tezę: pierwszy atak phishingowy był dopiero w połowie lat 90-tych: https://www.websecurity.digicert.com/security-topics/brief-history-phishing-part-1 A sensowne ataki dopiero na początku XXI wieku: https://pl.wikipedia.org/wiki/Phishing Nie wiem jak w Polsce, ale obstawiam jeszcze kilka lat do przodu.
OdpowiedzKeepass lub jeden z jego klonów. Polecam, nie wyobrażam sobie już życia bez takiego wynalazku
Odpowiedz"KeePass Password Safe" lub jego klon "KeePassXC" lub konkurencyjny "Bitwarden".
OdpowiedzNie zrozumielismy sie - nie mówię, że to właściwe tylko całkowicie powszechne ;) Ale tez inne zagrozenie jest przy dostepie do bazy lokalnej/serwera nie podłaczonego do netu a zupelnie inne przy dostepnosci np. do bankowosci internetowej.
OdpowiedzUstalanie haseł na zasadzie nazwisko+miesiąc jest tak samo bezpieczne jak ta wydrukowana kartka.
Odpowiedz@mskps: Nie do końca. Ktoś z dostępem do sprzętu i kartką wejdzie znacznie szybciej, niż ktoś z dostępem do sprzętu i podstawowym softem do bruteforce'u. I jedno i drugie będzie stosunkowo szybkie, ale jednak jedno jest natychmiastowe, a drugie nie.
Odpowiedz