Jak na bezpečnou správu hesel ve firmě?

Jak na bezpečnou správu hesel ve firmě?
Autor: flickr.com (CC BY 2.0)
14 / 08 / 2019, 11:00

O heslech z pohledu jednotlivce toho již bylo napsáno hodně. Každý ví, že hesla mají být komplexní, dlouhá, unikátní a neuhodnutelná. Pro firmy je problematika hesel ještě důležitější. Přihlašovacích údajů přibývá. A tak rozumným řešením této situace jsou systémy na správu hesel. Ty hesla bezpečně uchovávají, automaticky vyplňují přihlašovací údaje a generují náhodná hesla při registraci nových účtů.

Specifika správy hesel ve firmách

O důležitosti správně nastavených hesel jistě každý uživatel slyšel. V čem se liší potřeby firem oproti jednotlivci??

  • Sdílení hesel: firma potřebuje velkou část hesel sdílet mezi jednotlivými zaměstnanci/ týmy/ odděleními.

  • Sledování přístupů: důležité především při odchodu zaměstnance  a je důležité vědět,, k jakým heslům měl přístup, aby je případně odpovědná osoba mohla změnit. Stejně tak se může stát, že uživatel hesla hromadně vynese (nebo je mu ukradena identita). Aby to mohla společnost detekovat, potřebuje vědět kdo, kdy, odkud a k jakým heslům přistupoval.

  • Centrální správa: je třeba mít možnost zakládat/ rušit uživatelské účty, sledovat co se v systému správy hesel děje a nastavovat pravidla. 

“Pokud mluvíme o firmách s velikostí 5-100 zaměstnanců, potkal jsem za 10 let své praxe pouze 2 společnosti, které správu hesel aktivně řešili. Setkal jsem se s konkurenčními IT společnostmi, které používají jen jedno heslo nebo jeho obdobu u všech zákazníků. Když firma správu hesel neřeší, každý zaměstnanec se o svá hesla stará sám. Ti, co mají jen pár přihlašovacích údajů, použijí nějaké jim známé heslo, umístí jej na samolepícím štítku na monitor nebo si jej napíši do stolního kalendáře hned vedle PC. Ti, co mají přihlašovacích údajů více, pak vše uloží ve Wordu, Excelu nebo použijí správce hesel, kterého používají i pro správu soukromých přihlašovacích údajů. Mezi sebou pak následně sdílí hesla pomocí emailů či sociálních sítí. To není moc bezpečné ani komfortní řešení,” vysvětluje Martin Haller, spoluzakladatel firmy PATRON-IT.

Jak spravovat firemní hesla

Nejlepším řešením je použít již existující produkt, kterých je na trhu mnoho. Mezi ty kvalitní patří například LastPass, 1Password, Dashlane, Keeper, RoboForm, StickyPassword, Bitwarden. Liší se mezi sebou funkcionalitou, cenou a jazykovou dostupností. Snad všechny nabízí zkušební verzi na několik dní zdarma. Proto je nejvhodnější si některé z produktů vyzkoušet a rozhodnout se pro ten správný.

Při výběru firemního správce hesel je třeba se zamyslet, zda by nešlo ověřování propojit s nějakým existujícím systémem (Active Directory, Azure Active Directory, Office365, Google Apps). Uživatelé tak mohou používat stejné přihlašovací údaje jako mají do počítače (resp. byly do systému automaticky přihlášení). Nikdy by se ale nemělo zapomínat na dvoufaktorové ověření. 

“My v PATRON-IT udržujeme hesla dle našich nejpřísnějších standardů. Vybrali jsme si jednoho cloudového správce hesel, kterého v rámci našich služeb dodáváme zákazníkům. Našimi požadavky bylo napojení na AAD (kvůli SSO vč. 2FA), propojení s našim systémem správy hesel (interně používáme pokročilejší on-prem nástroj) a cloudová architektura řešení (kvůli dostupnosti a jednoduchosti),” dodává Haller. 


O společnosti

Společnost PATRON-IT pomáhá firmám vytvářet bezpečné IT prostředí. Navrhuje a spravuje IT infrastrukturu založenou na platformě Microsoft. K precizní kybernetické bezpečnosti dodává vlastní know-how a IT nástroje včetně licencí. Přináší ověřené postupy a využívá automatizace, aby středním a malým firmám zlepšila práci a podpořila jejich podnikání. 

Martin Haller

Spoluzakladatel společnosti PATRON-IT a celým srdcem technik. IT se profesionálně věnuje již 15 let a za tu dobu získal prestižní certifikace MCSE, CCNP, ECSA, CHFI, OSCP. Jeho vášní je etický hacking a „řešení neřešitelných“ problémů. Jak rád říká: „Vše je možné, je to jen otázkou času“. Martina baví zkoumat nové technologie a poznatky sdílet na IT konferencích nebo na blogu MartinHaller.cz

 

Autor: Barbora Pangrácová

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace