Moja księgowa postanowiła samodzielnie przenieść bazy danych między programem Płatnik zainstalowanym na starym i nowym komputerze. I tym sposobem zafundowała mi okazję do zostania hakerem łamiącym hasła dostępu. Po przeniesieniu bazy Płatnik poprosił o hasło do bazy i za nic nie chciał przyjąć aktualnego hasła ze starego komputera. Przyjrzałem się dwóm kolejnym próbom instalacji i podzieliłem się z księgową uwagą, że prawdopodobnie trzeba wprowadzić hasło, które wprowadziła do Płatnika w czasie pierwszej instalacji na starym komputerze. Płatnik jest bowiem taki wspaniały (albo księgowa nie potrafi tego inaczej ustawić), że wymaga częstej zmiany hasła, żeby sprawiać wrażenie bezpieczeństwa dostępu. Dziewczyna pomyślała, poszperała po swoim małym notesie, wprowadziła właściwą wartość i baza została poprawnie podłączona. Jednak przyglądanie się jej pracy nasunęło mi kilka spostrzeżeń.
Dawno temu informatycy śmiali się (tak trochę przez zaciśnięte zęby) ze zwyczaju przyklejania loginu i hasła do komputera na monitorze, z użyciem charakterystycznych żółtych karteczkach. Teraz względy bezpieczeństwa czyli chęć ograniczenia wycieku informacji oraz rozpowszechnienie różnych programów spowodowało, że haseł dostępów jest bardzo dużo i znacznie trudniej jest je zapamiętać, a bez ich zapisywania w zasadzie nie da się funkcjonować. Dobrym standardem jest tu stosowanie małego notesu z listą programów i haseł do nich. Oczywiście należy go chronić, gdyż zgubienie go to nie tylko problem z możliwą utratą bezpieczeństwa, ale i straty wynikające z braku dostępu do ważnych programów. Tu kolejnym dobrym zwyczajem jest stosowanie do wszystkich programów (jeśli to możliwe) jednego adresu e-mailowego pozwalającego na odblokowanie hasła, przy czym sposób dostępu do odblokowującego konta powinien być przechowywany osobno (w domu, jeśli notes z hasłami nosimy ze sobą, w firmowym sejfie, jeśli hasła dotyczą programów firmowych). Bardzo złym zwyczajem jest stosowanie jednego hasła do wszystkich programów, gdyż osoba która pozna hasło do jednego programu często próbuje użyć tego samego hasła w innych programach.
Sporym problemem, który przysparzają użytkownikom producenci oprogramowania (a czasem ich administratorzy) jest stosowanie konieczności cyklicznej zmiany haseł. Pozornie wydaje się, że zmiana hasła wymuszana na przykład co miesiąc, podnosi bezpieczeństwo, poprzez niemożliwość podejrzenia hasła przy wielokrotnym patrzeniu na klawiaturę osoby wprowadzającej hasło czy długotrwałą próbę łamania hasła. W praktyce ciągła zmiana hasła wymaga zapisywania ich, co jest znacznie łatwiejsze do podejrzenia. Kolejnym problemem jest stosowanie w programach osobnego hasła do programu i do bazy danych. Teoretycznie jest to słuszne, gdyż do danych można się dostać zarówno przez program jak i bezpośrednio przez narzędzia dostępu do bazy danych. Wielu nawet dość zaawansowanych użytkowników (tak jak moja księgowa) nie zdaje sobie jednak sprawy z tego, że czasem ten sam program prosi ją o hasła do różnych modułów czy osobno do baz danych i nie ma świadomości, że część z tych haseł w sposób wymuszony zmienia się co jakiś czas, a część pozostaje niezmienna (co powoduje rozsynchronizowanie zapisów, a czasem utratę dostępu do części danych, jeśli hasło pozornie nieważne zostanie trwale zniszczone).
Jeśli jednak należymy do bałaganiarzy i zdarza się nam, że często gubimy telefony, notesy czy dokumenty należy zrezygnować z zapisywania haseł, a stworzyć jeden silny algorytm, który pozwoli zakodować każde hasło w taki sposób, by łatwo je było odtworzyć z pamięci. Nosimy w tedy w głowie tylko algorytm i budujemy hasło na bieżąco w czasie logowania się. Taki prosty algorytm może na przykład budować hasło z naszych inicjałów, trzech pierwszych spółgłosek nazwy programu i bieżącego roku i miesiąca. Oczywiście taki algorytm jest łatwy do odgadnięcia, ale już zastosowanie pewnych przestawień kolejności poszczególnych liter w haśle, użycie nazw miesięcy w obcym języku czy stosowanie zamiast liter cyfr z klawiatury telefonu (lub odwrotnie) może znacząco utrudnić zrozumienie algorytmu.
Meandry zmian 
Współczesny świat zafundował nam niezły hasłowy, kodowy, pinowy
i inny -owy zawrót głowy. Czasami w tym gąszczu można nieźle się pogubić.
Trzeba stworzyć sobie swój własny drogowskaz.
Ja np. udajac sie w podróż nie zabieram ze sobą żadnych notatników z hasłami, które łatwo zgubić,
ale te informacje, które są mi niezbędne umieszczam w „krzyżówce wykreślance”,
czyli ciągu słów i cyfr, które osobie postronnej nic nie mówią.
To taka moja pamięć zewnętrzna, na wszelki wypadek, gdy człowieka ogarnie „pomroczność jasna”.
Pewno w końcu znajdzie sie ktoś, kto rozwiąże ten stale narastający problem wprowadzając uniwersalny, indywidualny sposób dostępu. Być może wspomnianego Płatnika będzie można już niedługo otwierać np. za pomocą czytnika linii papilarnych.
Ta krzyżówka na piny to doskonały pomysł. Żeby tylko spamiętać po której przekątnej jest PIN do karty Visa, po której do Rutexa a do czego PIN zapisałem ruchem konika szachowego 🙂
Bardzo uświadamiająca notka 🙂 Tylko jaki kod dostępu do wszystkich swoich kont, adresów i tajnych miejsc wymyślić?
Może w przyszłości będzie to kod genetyczny? albo linie papilarne?
Tylko, że wtedy hakerzy stracą (to) zajęcie.
A teraz opowiem Wam dowcip – ten wpis stał się nagle bardzo popularny przez to, że wyszukiwarki trafiają na niego w czasie poszukiwania odpowiedzi na pytanie „Jak odzyskać hasło w programie Płatnik”.
🙂 masz rację. Niezły galimatias z tymi hasłami, pinami i numerami. Kiedyś znałam mnóstwo numerów telefonów, a teraz pamiętam może z pięć. Wszystkie są wklepane w komórkę i wcale nie wysilam się by je spamiętać. Jednym przyciskiem przywołuje się wybraną osobę…
Nie są dla mnie problemem hasła do zapamiętania. Na szczęście nie muszę ich zmieniać za często, więc mam ułatwioną sprawę 🙂
W karteczki się nie bawię, bo zawsze gdzieś się zawieruszą. Proponuję zapisywać wszystko w telefonie, bo zawsze jest pod ręką i działa 🙂 Gorzej by było gdyby „zniknął” – bo tak jak u mnie to podręczna skarbnica wszelkich przypominajek i przeróżnych kontaktów. Pozdrawiam !
Nie wiem co na to autor, ale ja byłbym ostrożny – co się stanie gdy taki telefon zniknie i pojawi się w ręku innej osoby?