Michał Rosiak 
Czasem nie muszę się długo zastanawiać nad kolejnym wpisem na blogu. Pomysł przychodzi sam. I powoduje, że resztki włosów na mojej bezpieczniackiej głowie stają dęba. Ludzie kochani - nauczcie się wreszcie, że hasło na ścianie to pomysł głupi.
Dziś będzie krótko, ale - jak sądzę - treściwie. Ostatnio poszedłem do pewnej instytucji edukacyjnej. Gdy po zwiedzaniu rzeczonej instytucji zaczęło się spotkanie, ja słuchając trochę się rozglądałem. Tym bardziej, gdy okazało się, że w zasięgu mojego wzroku jest ograniczony jedynie przeszklonymi drzwiami sekretariat. Nisko wiszącego owocu nie musiałem długo szukać.
Nieważne jakie drzwi - ważne gdzie jest klucz
Edukując rozliczne grupy wiekowe w aspekcie cyberzagrożeń zawsze poświęcam pewien czas tematowi haseł. I zawsze mówię:
Hasło to brama do Waszego cyfrowego życia. Pamiętajcie o tym!
Z jednej strony wydaje się to "oczywistą oczywistością"? Z drugiej, po co nam takie drzwi:
NORAD Blast Doors Fot. USAF Photo (zdjęcie w domenie publicznej)
Skoro klucz do nich wywieszamy na środku ściany?
Jasne, jestem w stanie wyobrazić sobie argumenty obrońców takiego pomysłu. Przecież to nie było hasło domenowe tylko do systemu zewnętrznego, co złego mogłoby się stać, gdyby ktoś się tam zalogował, a w ogóle to tam nie chodzą przecież obcy ludzie, a ja się czepiam.
Cóż. Po pierwsze - nie chodziłem po sekretariacie. Tylko rzuciłem okiem, widząc wielką kartkę na ścianie i zrobiłem zdjęcie. Nie wykluczam, że gdybym zrobił kilka, z różnych kątów, znalazłbym jeszcze kilka niespodzianek. Być może nic przesadnie złego by się nie stało, ale żartowniś/ktoś o złej woli mógłby sporo namieszać. W tej materii musicie mi uwierzyć - ja wiem, do czego było to logowanie i nie bez przyczyny zamazałem tę informację. Podobnie oczywiście z loginem i hasłem. Hasłem, które było generyczne do tego stopnia, że:
- złamanie go zajęłoby maksymalnie kilka sekund
- nie zdziwiłbym się, gdyby właściciel używał go nie tylko w tym serwisie
No i trzymam kciuki, by inni obcy ludzie, którzy się tam pojawią, robili zdjęcia tylko w celach edukacyjnych.
Lepsza kartka pod klawiaturą, niż hasło na ścianie
Żeby nie było, że człowiek z CERT Orange Polska namawia do złego - hasło najlepiej:
- stworzyć choć trochę trudniejsze niż generyczne i oczywiste
- mieć je w głowie
- nie powtarzać go w różnych miejscach
Jeśli już MUSISZ i po prostu nie da rady inaczej - to przynajmniej nie umieszczaj adresu strony, loginu i hasła w ogólnodostępnym miejscu. To naprawdę potencjalnie zabójcze combo. Jeśli to serwis zewnętrzny, do którego musi mieć dostęp kilka osób (stąd w ogóle potrzeba zapisania go) - to chowajcie tę kartkę poza zasięgiem osób postronnych. Jeśli to miejsce, w którym nikt nie przetrzepie Wam szuflad, czy nie zajrzy pod papiery - to raczej wystarczy.
Ale jeśli już faktycznie nie możesz zapamiętać hasła, to przynajmniej spraw, by nie było zbyt łatwe. W sytuacji, gdy jest oczywiste, generyczne, a może nawet używane w innych serwisach - to proszenie się o kłopoty. Nawet jeśli w swoim zakładzie pracy zadbacie o bezpieczeństwo hasła ze swojej strony, nie macie pewności, czy baza nie wycieknie z serwisu docelowego. Wyciągnijcie wnioski z opisywanego przykładu i zapobiegnijcie problemom zanim się staną.