Instrukcja zmiany haseł z Urzędu Wojewódzkiego podbija internet. Tak nie powinno się tego robić!
Portale zajmujące się bezpieczeństwem w sieci rozpisują się na temat instrukcji zmiany haseł, jaką otrzymali operatorzy Systemu Teleinformatycznego Centrum Powiadamiania Ratunkowego.
Jak podaje portal zaufanatrzeciastrona.pl, chodzi o jednostkę z Poznania, która otrzymała instrukcję od administratora z poznańskiego Urzędu Wojewódzkiego. Pracownicy dostali emaile z informacją o tym, że wprowadzana jest nowa polityka haseł. Z wiadomości można się dowiedzieć, że nowe hasła mają być wprowadzane na pierwszej zmianie nowego miesiąca i nie powinny zawierać imienia, nazwiska oraz nie powinny być "proste". I tu pojawia się przykład:
Przsmi*111112
Jak szybko się okazuje, trzy pierwsze litery pochodzą od... imienia administratora, a trzy kolejne od jego nazwiska. Co z cyframi? Cztery pierwsze to PIN do karty inteligentnej, jaką otrzymują operatorzy do logowania się. PIN do karty znają nie tylko jej właściciele, ale też zespół IT i pracownicy MSWiA. Nie można go zmienić. Kolejne cyfry? To miesiąc, w jakim powstało hasło. Przykładowe hasło powstało w grudniu, więc mamy 12. Z instrukcji dowiadujemy się, że na końcu każdego hasła ma być właśnie liczbowy symbol miesiąca.
- Jeżeli zatem użytkownicy skorzystają z propozycji sposobu tworzenia hasła, to ograniczają liczbę jego możliwych wariacji do 10 tysięcy, a dla osób, które znajdą PIN na karcie, do 1. Co więcej, jeśli użytkownicy skorzystają tylko z części rekomendacji o dodaniu liczby odpowiadającej miesiącowi na końcu hasła, to raz poznane hasło oznacza, że ktokolwiek je poznał, zna już wszystkie hasła do końca świata mimo wymuszenia ich regularnej zmiany i tego, że system pamięta ostatnie 12 haseł - podaje zaufanatrzeciastrona.pl.
Jak powinno wyglądać mocne hasło? Zdaniem autorów tekstu jedynym wymogiem przy jego tworzeniu powinna być długość - najlepiej minimum 15 znaków. Dodatkowo hasło powinno być frazą np. "lubiewchdodzicnaepoznanpl". Tak mocnych haseł nie trzeba zmieniać co miesiąc. Zawsze warto też korzystać z menedżera haseł.