České i světové společnosti jsou ohroženy kyberútoky ze všech stran. Stačí přitom pár jednoduchých zásad, aby se riziko úspěšného útoku snížilo. Mezi ně patří i dodržování firemní politiky hesel.
Abyste výrazně zmenšili šance hackerů na úspěch, je užitečné znát pravidla bezpečného pohybu v kyberprostoru. Třeba obezřetnost při otevírání příloh a klikání na odkazy, aktualizace, nebo právě rozumně silná hesla. Podrobněji si tyto zásady můžete přečíst v našem dřívějším článku.
Hesla jsou jako klíč k tomuto kyberprostoru. A i když se stále více prosazují řešení bez použití hesel, ještě nějakou dobu tu s námi budou. A proto s nimi firmy a jejich zaměstnanci musí umět zacházet.
Jak si vytvořit silné heslo, to je již – alespoň v teorii – poměrně známá věc. V praxi ale tato pravidla ne všichni využívají. Pro bezpečnost v podnikání si proto stanovte zásady pro hesla napříč celou vaší společností a trvejte na nich.
Jak by měla vypadat firemní politika hesel
Určete v ní pravidla pro tvorbu silných hesel a bezpečné zacházení s nimi. Jak podrobní budete, to záleží na vás. Některé požadavky se dají vynutit v nastavení, jiné fungují spíše jako doporučení. Můžou mezi ně patřit následující body.
- Vynucujte komplexní hesla obsahující malá a velká písmena, speciální znaky a číslice. Variantou mohou být také fráze, které se snadněji pamatují a je prakticky nemožné je náhodně trefit.
- Stanovte minimální délku hesla.
- Užitečný určitě bude „blacklist“ slov, která jako hesla neprojdou, protože jsou příliš jednoduchá. Hesla typu „heslo“ do kyberneticky gramotné společnosti zkrátka nepatří.
- Pokud hesla pravidelně měníte, můžete zakázat opakování hesel, nebo umožnit podruhé použít heslo až po vystřídání určitého počtu jiných.
- Lze také stanovit minimální dobu, po kterou nové heslo musí zůstat v platnosti. Změna hesla tak bude možná například až po týdnu. Tím zamezíte praktikám, kdy si zaměstnanec heslo formálně změní, ale obratem si nastaví zpátky svoje oblíbené.
- Všude, kde je to možné, vyžadujte dvou- nebo vícefaktorové ověření.
- Připomeňte zaměstnancům, aby hesla nesdělovali ani cizí osobě, ani sobě navzájem. Neměla by se posílat e-mailem nebo přes chatovací aplikaci, natož vkládat na pochybné stránky.
- A samozřejmě je naprosto vyloučeno zapisovat si heslo na papírek a lepit si ho na monitor. Kdo si hesla zapisuje, měl by je mít bezpečně uložena, nejlépe ve správci hesel.
Jak na to, aby vaše firemní politika hesel byla úspěšná v praxi
Stanovit nějaká pravidla ale ještě neznamená, že s nimi budou zaměstnanci v souladu. Jak to udělat, aby vaše firemní politika byla funkční? Především musí být srozumitelná. A to nejen ajťákům, ale hlavně uživatelům. Měla by být také přiměřená. A jasně komunikovaná tak, aby zaměstnanci vnímali její smysl a sami se jí ochotněji řídili. Tady je pár tipů, jak na to.
- Vytvořte si dokument, který vše přehledně a srozumitelným jazykem, případně v podobě infografiky shrne a bude dostupný všem zaměstnancům. Jednou za čas jeho obsah zaměstnancům znovu připomeňte a odůvodněte.
- Dodržujte politiku hesel u všech zaměstnanců. Tedy i u těch nejvýše postavených. Právě na ty často cílí phishingové a spear-phishingové útoky. A navíc mají jít příkladem.
- Nepřehánějte to. Požadavky na heslo by neměly být nesplnitelné a nadmíru obtěžující, jinak budou lidé hledat cestu, jak je obejít. Abyste jim tvorbu hesel usnadnili, nabídněte jim generátor bezpečných hesel.
- Pro ukládání hesel můžete zaměstnancům nabídnout správce hesel.
- Hesla měňte, ale maximálně jednou za tři měsíce. Když to budete vyžadovat příliš často, otrávení uživatelé budou vymýšlet jednodušší hesla nebo si vždy změní jen poslední znaky ve snadno odhadnutelném režimu. Čímž dosáhnete naopak snížení ochrany.
Někteří odborníci dokonce jdou tak daleko, že by se podle nich hesla měla měnit jen v případě podezření na únik.
Nebo se hesel úplně zbavte
Ještě lepší variantou nicméně je používání hesel minimalizovat. Můžete zvolit systém single sign-on (SSO) s jediným přihlášením přes aplikaci, využívat bezpečnostní tokeny (např. FIDO2) nebo vsadit na biometrii.
Potřebujete konzultaci ke kybernetické bezpečnosti ve firmě? Chcete zkontrolovat, jak na tom jste, nebo bezpečnost nastavit od nuly? To vše umíme a rádi to pro vás uděláme. Stačí, když nám napíšete.