Niemal co drugi pracownik banku, aby wykonywać swoje obowiązki, musi zapamiętać od 6 do 10 loginów i przypisanych im haseł – wynika z badań ankietowych przeprowadzonych na zlecenie firmy VSoft SA. Gdy doda się do tego dane wykorzystywane poza pracą, liczba informacji potrzebnych do autoryzacji często ulega podwojeniu.
32% badanych pracowników banków wykorzystywało w pracy do 5 loginów i haseł. Najczęściej było to jednak 6 – 10 loginów – tyle musiało pamiętać niecałe 49% badanych osób; 15,5% potrzebowało w pracy 11-15 loginów, a niecałe 4% – 16 i więcej. Tylko nieliczne instytucje finansowe są świadome zagrożeń dla bezpieczeństwa systemów informatycznych, jakie niesie za sobą wymaganie od pracowników zapamiętywania zbyt dużej ilości danych potrzebnych do autoryzacji. Wśród przebadanych 22 banków, tylko w 3 wszyscy zapytani pracownicy wykorzystywali nie więcej niż 10 par login-hasło.
Ilość danych potrzebnych do autoryzacji była zależna od zajmowanego stanowiska. 53% pracowników obsługi klienta potrzebowało od 6 do 10 loginów i haseł. Taką samą ilość musiało pamiętać 49% osób na stanowiskach specjalistycznych i 46% menedżerów. Nieco ponad 1% specjalistów i ponad 2% pracowników obsługi klienta banków deklarowało konieczność pamiętania 16 i więcej loginów i haseł. Jednocześnie takiej odpowiedzi udzieliło aż 8% menedżerów, a przecież to właśnie oni mają dostęp do najważniejszych danych, których wyciek może spowodować największe szkody.
Ilość informacji potrzebnych do autoryzacji ciągle wzrasta i staje się trudna do zapamiętania. Coraz więcej systemów IT wymaga od użytkowników haseł o określonej sile (długości i stopniu skomplikowania), inne wymuszają okresowe zmiany hasła, a niektóre dodatkowo z góry narzucają dane do logowania. Dodatkowo, pracownicy banków – podobnie jak wszyscy korzystający z Internetu, kart płatniczych czy telefonów komórkowych – muszą pamiętać hasła używane poza miejscem pracy. Ilość danych do autoryzacji wykorzystywanych prywatnie jest nawet większa od tych niezbędnych do wykonywania obowiązków zawodowych. 56% badanych potrzebowało poza pracą 6-10 loginów, 20% 11-15, 7,5% 15 i więcej, a tylko ponad 16% do 5.
„Problem z nadmiernym obciążeniem pracowników zbyt dużą ilością danych, które muszą pamiętać, aby logować się do wykorzystywanych w pracy aplikacji, dotyczy większości średnich i dużych przedsiębiorstw” – mówi Michał Wójcik, kierownik zespołu programistów VSoft SA. „Pracownicy najczęściej muszą sobie z tym poradzić sami, więc na różne sposoby próbują rozwiązać ten problem. Na przykład przyklejają żółte karteczki z loginami do monitorów, zapisują hasła w kalendarzu kieszonkowym, przechowują potrzebne do autoryzacji dane w telefonie komórkowym, czy w plikach trzymanych na pulpicie komputera. Skutkuje to znacznym obniżeniem poziomu bezpieczeństwa całego systemu informatycznego. W przypadku banków i innych instytucji finansowych, gdzie kwestie bezpieczeństwa są szczególnie ważne, należy dołożyć wszelkich starań, aby przeciwdziałać takim zagrożeniom”.
Powstał już nawet termin opisujący reakcję ludzi na zbyt dużą ilość danych, które muszą pamiętać – password fatigue (z ang. zmęczenie hasłami). Jest to powodujące stres uczucie niepokoju i wyczerpania. Z jednej strony użytkownicy aplikacji komputerowych chcieliby ograniczyć liczbę informacji, które muszą pamiętać, z drugiej ciągle docierają do nich sygnały, że nie mogą w kilku miejscach korzystać z tych samych loginów i haseł, bo jest to niebezpieczne. „Rozwiązaniem tego problemu jest wdrożenie kompleksowego systemu zarządzania uprawnieniami i użytkownikami aplikacji z pojedynczym logowaniem, tzw. „single sign-on” – komentuje Wójcik. „Oszczędza to czas i nerwy użytkowników aplikacji i administratorów systemu. Oraz zapewnia lepsze bezpieczeństwo.”
Badania zostały przeprowadzone na grupie 264 pracowników 22 polskich banków.
Źródło: VSoft SA
Wojciech Boczoń
