Mítosz vagy fontos? Elárulhatom-e kollégámnak a jelszavamat?
Az adat amerikai: a munkavállalók harmada meg-megosztja céges hozzáféréseinek jelszavait kollégáival. A gyakorlat maga viszont itthonról is ismert, főleg a kis- és középvállalatoknál jellemző, de a nagyobb cégeknél sem ritka, hogy a dolgozók szabadságolások alatt így helyettesítik egymást.
A jelenség mögött részben az áll, hogy mindenki máshoz fér hozzá, és egyszerűbb a jelszót átküldeni e-mailben vagy leírni egy, a kolléga asztalára ragasztott cetlire, mint folyton a cég informatikusait kérni, hogy osszák újra a jogosultságokat. A kisebb vállalkozásoknál pedig gyakran nincs is állandó informatikus, ami még körülményesebbé tenné az ilyesmit. Az idézett amerikai felmérés válaszadói a költséghatékonyságra is hivatkoztak: olcsóbb egy-egy szolgáltatáshoz egyetlen hozzáférést vásárolni, hogy aztán mindenki ugyanazt a fiókot használja a mindenki által ismert jelszóval.
Erre válaszul született meg a jelszómegosztás intézménye, ami azonban számos veszélyt rejt magában. A CCS IT Solutions szakértői egyenesen úgy fogalmaznak:
a jelszavak megosztása gúnyt űz a vállalkozás biztonsági stratégiájából.
A szakértők szerint a dologból akkor is gond lehet, ha történetesen a kolléga megbízható. A jelszómegosztás módszere ugyanis szinte biztosan nem az: a legtöbben egy sima e-mailben, netán Facebookon vagy SMS-ben, vagy akár egy odatolt cetlin osztják meg jelszavaikat. A titkosítatlan formában történő üzenetküldés során pedig könnyen leleshető a jelszó. A cetliről pedig leshet az azt véletlen megtaláló takarító személyzet – akik akár másik cég alkalmazottjai is lehetnek –, vagy akár egy egy olyan kolléga is, akivel már mi magunk sem szívesen osztanánk meg jelszavunkat. (Ennek elkerülése érdekében jól használható megoldás például a Shared Trust nevű szolgáltatás.)
A megosztásból nemcsak a cégnek származhat problémája – illetéktelen hozzáférés, adatlopás stb. –, hanem nekünk is. Hiszen aki a mi felhasználónkkal lép be szolgáltatásokba, annak tevékenykedése a rendszernaplózás során pont úgy fog kinézni, mintha mi nyomogatnánk a gombokat. Így amit ő tesz, azért minket vonhatnak felelősségre.
Kárenyhítő megoldás lehet, ha semmi más út nincs, és a cég gördülékeny működése érdekében mindenképpen fel kell fednünk egy jelszavunkat egy kollégánk előtt, akkor miután elvégezte a sürgős feladatot, amint tudunk, azonnal változtassunk jelszót.
A legjobb megoldást azonban a jelszómegosztás teljes kerülése jelenti, érdemesebb és sokkal biztonságosabb inkább jól átgondolni a jogosultsági rendszereket, jogosultságkezelő rendszereket alkalmazni, és azokat az érintett időszakokban a hellyettesítésekhez igazítani.
A munkahelyi jelszómegosztással ráadásul magánéletünkben is rosszul járhatunk. Az emberek legtöbbje ugyanolyan vagy legalábbis hasonló jelszavakat használ több szolgáltatáshoz is. Így aki hozzáfér egy munkahelyi jelszavunkhoz, annak egyúttal más jelszavainkat is elárulhattuk, vagy legalábbis kis segítséget adhatunk azok kitalálásához.