„Íratlan” és „írott” jelszószabályok - 2012.04.05 |
Megosztom:
|
A hackerek 10 próbálkozással fel tudják törni a jelszavak 1 százalékát (ami nekik remek arány), mert olyan egyszerű jelszavakat választanak az emberek - írta az Economist, idézve egy kutatást, amelyet 70 milliós minta alapján végeztek el. A lap ugyanakkor elismeri, hogy jó jelszót nem könnyű választani, merthogy az igazán jókat nehéz megjegyezni.
A CIO-knak is gondolniuk kell arra, hogy a mindennapi munkavégzés során kényelmetlenséget okoz a jelszavak használata, ezért a munkatársak hajlamosak nem megfelelő gondossággal kezelni őket. Emiatt a jelszó-választáshoz szabályokra van szükség, méghozzá „íratlan" és „írott" szabályokra.
Az „íratlan" szabályok betartását (ne írjuk le sehová, ne áruljuk el senkinek stb.) jórészt a felhasználók informatikai biztonsági kultúrája határozza meg. Ennek fejlesztése csak kitartó oktatási, tájékoztatási erőfeszítések alapján lehetséges. A kultúrától kevésbé függően növeli a biztonságot a biometriai azonosítás és az egyszer használatos, token alapú jelszavak használata, azonban ezek bevezetése jelentős ráfordításokat igényel.
Az „írott" szabályoknak jól definiált policy-n kell alapulniuk. Utóbbinak többek között tartalmaznia kell a következőket: a jelszavak minimális hossza, az érvényesség időtartama, a választott karakterekre vonatkozó követelmények (kisbetű és nagybetű, számok és betűk, speciális karakterek stb.), speciális kombinációk (pl. értelmes szavak) tiltása, a korábbi jelszavak ismételt felhasználásának tiltása stb. Ezek a szabályok a legtöbb rendszerben központilag beállíthatók, így a felhasználók nem lesznek képesek megkerülni őket.
A jelszavakra vonatkozó policy kidolgozása a CIO dolga, az üzemeltető informatikusok csak technológiai beállításokért tehetők felelőssé. Optimális megoldásra kell törekedni: el kell érni a szükséges biztonságot, ugyanakkor nem szabad a felhasználók munkáját indokolatlanul nehezíteni.
Beinschróth József(IFUA Horváth & Partners, senior expert)
Címkék: IT biztonság
« vissza
 |
Ábrahám Zsolt
tovább » |
 |
Dusekné Juranics Anikó
tovább » |
 |
Rik de Jong
tovább » |
Blogunk a vállalatvezetés, a menedzsment legújabb trendjeiről, módszereiről szól. Egyperces posztok az IFUA Horváth & Partners szakembereitől.
autógyártás(3), közlekedés(2), cloud(4), felhő(3), e-kereskedelem(3), Malév(1), fizetőképesség(1), IT biztonság(13), mobilbiztonság(4), okostelefon(5), bank(9), Balanced Scorecard(1), BSC(1), stratégiai térkép(1), mutatószám(2), stratégia(5), Kék Óceán(2), Blue Ocean(2), tablet(3), iPad(2), mobil(1), mobilfizetés(2), oktatás(1), légitársaság(2), fapados(1), iBooks Author(1), interaktív könyv(1), telekom(1), pénzmosás(1), adócsalás(1), hacker(4), posta(1), mobileszköz(1), mobiloptimalizálás (1), pénzforgalom(2), zöld energia(2), szélerőmű(1), napelem(1), napkollektor(1), biogáz-erőmű(1), (11), controlling(8), operatív controlling(1), stratégiai controlling(1), folyamatköltség-számítás(1), értékesítés(7), beszerzés(6), banktitok(1), egészségügy(5), kötelező nyugdíjazás(1), hatékonyság(7), hatékonyságjavítás(3), költségmegtakarítás(1), mobilpénztárca(1), private cloud(1), hitel(3), kötvény(1), kockázat(2), termelésmenedzsment(1), shopfloor management(1), IT(3), technológiai platformok egységesítése(1), zöldenergia(1), megújuló energia(2), zöldbizonyítvány(1), bónusz(1), bónuszbank(1), prémium(1), légiközlekedés(1), repülés(1), Drucker(1), előrejelzés(1), árfolyam(2), árfolyamkockázat(1), management tanácsadás(1), teljesítménymenedzsment(1), marketing(1), üzleti intelligencia(9), business intelligence(5), BI(8), kereskedelem(3), termékinnováció(1), gyártásszervezés(1), kockázatkezelés(4), javadalmazás(2), controller(1), olimpiai aranyérem(1), csalásdetektálás(1), adatbányászat,(1), hálózatkutatás(3), SIXTEP(1), biztosítás(3), információbiztonság(1), nyugdíjbiztosítás(1), életbiztosítás(1), vezetői információs rendszer(1), könyvelés(1), omnichannel(1), multichannel értékesítés (1), vállalati értékteremtés(2), képzés(2), játékosítás(1), számítógép(1), informatika(1), kormányzati informatika(1), informatikai infrastruktúra(2), informatikai szolgáltatások(1), kkv(1), kockázatmenedzsment (1), adózás(1), adóoptimalizálás (1), lean(5), adattudomány(2), adattudós(2), data science(1), data scientist(1), kkv(1), DDoS(1), visszahívás(1), hűségprogram(1), beszámolás(2), adatvizualizáció(1), Emirates(1), orvosok(1), Kazahsztán(1), mezőgazdaság(1), élelmiszeripar(1), Disclosure Management(1), termelékenység(1), tőkehatékonyság(1), Lean Six Sigma(1), készletgazdálkodás(1), nonprofit menedzsment(1), innováció(3), adattárház(2), overprocessing(2), BI as a service(1), projektcontrolling(2), önköltségszámítás(1), felelős vállalatirányítás(1), ártárgyalás(1), hitelkiváltás(2), jelzáloghitelezés(1), portfolioblogger(39), jelzáloghitelezés(1), BYOD(1), controller szerep(2), HR(2), elemzés(2), tervezés(1), toborzás(1), vezetőképzés(1), vezetői képzés(1), digitalizáció(2), prediktív elemzés(2), prediktív analitika(2), kórházak(1), gyógyszeripar(1), terrorizmus(1), szabályzat(1), analytics(1), közösségi szervezetek(1), verseny(1), együttműködés(1), kooperáció(1), Excel(1), adat(1), dashboard(1), vizualizáció(1), fizetés(1), jövedelem(1), CapacityInsight(1), kapacitásmodellezés(1)