A hackerek 10 próbálkozással fel tudják törni a jelszavak 1 százalékát (ami nekik remek arány), mert olyan egyszerű jelszavakat választanak az emberek – írta az Economist, idézve egy kutatást, amelyet 70 milliós minta alapján végeztek el. A lap ugyanakkor elismeri, hogy jó jelszót nem könnyű választani, merthogy az igazán jókat nehéz megjegyezni.
A hackerek 10 próbálkozással fel tudják törni a jelszavak 1 százalékát (ami nekik remek arány), mert olyan egyszerű jelszavakat választanak az emberek – írta az Economist, idézve egy kutatást, amelyet 70 milliós minta alapján végeztek el. A lap ugyanakkor elismeri, hogy jó jelszót nem könnyű választani, merthogy az igazán jókat nehéz megjegyezni.
A CIO-knak is gondolniuk kell arra, hogy a mindennapi munkavégzés során kényelmetlenséget okoz a jelszavak használata, ezért a munkatársak hajlamosak nem megfelelő gondossággal kezelni őket. Emiatt a jelszó-választáshoz szabályokra van szükség, méghozzá „íratlan” és „írott” szabályokra.
Az „íratlan” jelszószabályok betartását (ne írjuk le sehová, ne áruljuk el senkinek stb.) jórészt a felhasználók informatikai biztonsági kultúrája határozza meg. Ennek fejlesztése csak kitartó oktatási, tájékoztatási erőfeszítések alapján lehetséges. A kultúrától kevésbé függően növeli a biztonságot a biometriai azonosítás és az egyszer használatos, token alapú jelszavak használata, azonban ezek bevezetése jelentős ráfordításokat igényel.
Az „írott” szabályoknak jól definiált policy-n kell alapulniuk. Utóbbinak többek között tartalmaznia kell a következőket: a jelszavak minimális hossza, az érvényesség időtartama, a választott karakterekre vonatkozó követelmények (kisbetű és nagybetű, számok és betűk, speciális karakterek stb.), speciális kombinációk (pl. értelmes szavak) tiltása, a korábbi jelszavak ismételt felhasználásának tiltása stb. Ezek a jelszószabályok a legtöbb rendszerben központilag beállíthatók, így a felhasználók nem lesznek képesek megkerülni őket.
A jelszavakra vonatkozó policy kidolgozása a CIO dolga, az üzemeltető informatikusok csak technológiai beállításokért tehetők felelőssé. Optimális megoldásra kell törekedni: el kell érni a szükséges biztonságot, ugyanakkor nem szabad a felhasználók munkáját indokolatlanul nehezíteni.
Kapcsolódó bejegyzés: