Jak to wygląda w praktyce?
- Hasło do systemu wysłane na Slacku.
- Dane logowania do serwera w e-mailu.
- Arkusz Excel z nazwą „hasła” na wspólnym dysku sieciowym.
- Karteczka z PIN-em przyklejona do monitora.
To nie są scenariusze z epoki sprzed digitalizacji, tylko codzienność w wielu organizacjach – niezależnie od ich wielkości i branży. Każdy z nich tworzy niekontrolowany punkt dostępu do zasobów firmowych. Punkt, o którego istnieniu często nie wie nawet administrator IT.
Zagrożenie nie leży wyłącznie w sile pojedynczych haseł. Prawdziwym problemem jest brak kontroli nad tym, kto je ma, jak krążą w organizacji i co się z nimi dzieje, gdy pracownik zmienia stanowisko lub odchodzi z firmy.
Jak hasła faktycznie krążą w organizacji
Według raportu Bravura Security, aż 46% liderów IT i cyberbezpieczeństwa przyznaje, że w ich organizacji hasła są przechowywane w udostępnionych dokumentach biurowych (arkuszach Excel, plikach Word lub plikach tekstowych na wspólnych dyskach). To organizacje, które mają politykę i jednocześnie działają wbrew niej.
Ten sam raport wskazuje, że tylko 7% liderów IT jest pewnych, że w przypadku nagłego odejścia pracownika zdoła przejąć dostępy, przekazać hasła i zachować ciągłość działania. Pozostałe 93% operuje bez gwarancji.
Problem nie kończy się na przechowywaniu. Według danych Spacelift, 53% specjalistów IT udostępniało hasła służbowe przez e-mail w postaci zwykłego tekstu. Wiadomość e-mail z hasłem w treści jest rejestrowana na serwerach pocztowych, często w wielu miejscach jednocześnie i pozostaje tam – przez miesiące lub lata, bez kontroli nad tym, kto ma do niej dostęp.
Z danych JumpCloud wynika, że około 25% pracowników regularnie wymienia się hasłami z kolegami, nierzadko bez wiedzy działu IT i bez żadnego mechanizmu kontroli, kto aktualnie zna dane logowania do konkretnego systemu.
Trzy scenariusze, w których brak kontroli kosztuje firmę
Pracownik odchodzi, hasła zostają z nim
Pracownik obsługiwał system CRM, miał dostęp do panelu hostingowego i znał hasło do głównej skrzynki obsługi klienta. Odszedł trzy miesiące temu. Czy hasła zostały zmienione? Jeśli organizacja nie ma centralnego rejestru do czego dany pracownik miał dostęp – odpowiedź brzmi: prawdopodobnie nie, a na pewno nie wszystkie.
Hasło wysłane komunikatorem staje się trwałym śladem
Pracownik potrzebuje pilnie zalogować się do systemu i prosi o hasło przez Slacka lub Teams. Kolega wkleja je w odpowiedzi. Operacja trwa sekundy, ale wiadomość pozostaje w historii czatu przez miesiące. Jest indeksowana, synchronizowana w chmurze i dostępna z każdego urządzenia, na którym zalogowany jest adresat (i odbiorca). Jeśli dostęp do komunikatora zostanie przejęty, napastnik uzyskuje dostęp nie tylko do wiadomości, ale gotowe dane logowania do kolejnych systemów.
„Wspólne konto” zespołu – nikt nie wie, co się dzieje
Konto do narzędzia marketingowego, skrzynka [email protected], dostęp do platformy reklamowej to typowe przypadki kont współdzielonych przez kilka lub kilkanaście osób. Gdy hasło trzeba zmienić (np. po odejściu stażysty) pojawia się problem. Jak bezpiecznie poinformować pozostałe osoby? Kto faktycznie zna aktualne hasło? Czy wszyscy zaktualizowali swoje kopie? Brak pewności co do stanu tych kont to brak kontroli nad dostępem do zasobów firmy.
Jak wskazuje raport Beyond Identity, 83% byłych pracowników przyznaje, że po odejściu z firmy logowało się na konta poprzedniego pracodawcy, a 56% robiło to w celu wyrządzenia szkody. Motywem bywa uraza, a narzędziem – hasło, które nikt nie zmienił.
Polityka haseł na papierze nie wystarczy
Wiele organizacji ma wdrożone polityki bezpieczeństwa, które zakazują przesyłania haseł e-mailem, wymagają używania silnych i unikalnych haseł oraz określają procedury rotacji dostępów. Te dokumenty są potrzebne, ale same w sobie nie zmieniają nawyków.
Dane Spacelift pokazują, że 75% pracowników globalnie nie stosuje uznanych dobrych praktyk zarządzania hasłami – mimo że są ich świadomi. Dlaczego? Pracownik, który wie, że nie powinien wysyłać hasła e-mailem, ale nie ma do dyspozycji żadnego wygodnego i bezpiecznego kanału, i tak wybierze e-mail.
To właśnie sedno problemu: organizacje tworzą zasady, ale nie dbają o narzędzia, które sprawiają, że przestrzeganie tych zasad jest prostsze niż ich omijanie. W efekcie polityka istnieje na papierze, a rzeczywistość wygląda inaczej.
Menedżer haseł w środowisku organizacyjnym
Menedżer haseł dla organizacji, taki jak perc.pass, to nie kolejna biurokratyczna kłoda rzucona pod nogi pracownikom. To zmiana na ustrukturyzowane repozytorium, które zastępuje arkusze Excel, wiadomości z hasłami i nieformalną wymianę danych logowania, jednocześnie dając administratorowi IT narzędzia kontroli, których wcześniej nie miał.
Centralne repozytorium z audytem dostępu
Każde hasło przechowywane wewnątrz rozwiązania pozostawia ślad:
- Kto je stworzył?
- Kto ma do niego dostęp?
- Kiedy i przez kogo było edytowane?
Administrator IT widzi pełny obraz, a gdy pojawia się pytanie „kto ma dostęp do konta X?” – odpowiedź jest natychmiastowa.
Zero haseł w e-mailach i komunikatorach
Gdy hasła są przechowywane i udostępniane przez dedykowany system, znika potrzeba wysyłania ich innymi kanałami. E-mail z hasłem w treści, wiadomość na Slacku, karteczka przyklejona do monitora – wszystkie te praktyki wynikają z braku lepszego rozwiązania. Gdy firma dostarcza wygodną w użyciu alternatywę, złe nawyki zanikają.
Natychmiastowe odbieranie dostępu – offboarding
Gdy pracownik odchodzi, administrator jednym kliknięciem może dezaktywować jego konto w perc.pass. Wszystkie hasła, do których miał dostęp i tylko te przestają być dla niego dostępne. Nie ma potrzeby gorączkowego resetowania dziesiątek haseł w różnych systemach, bo dostęp był zarządzany centralnie od początku.
Niezależnie od wybranego modelu, system pozwala na odwzorowanie struktury Twojej firmy. Możesz tworzyć grupy (np. Zarząd, IT, Marketing), nadawać precyzyjne role i udostępniać całe zbiory haseł tylko tym zespołom, które faktycznie ich potrzebują.
Brak kontroli nad hasłami to nie problem techniczny – to problem proceduralny, wynikający z braku odpowiedniego narzędzia. Bezpieczne zachowanie musi stać się najwygodniejszym wyborem dla Twoich pracowników.
Jeśli chcesz sprawdzić, jak wygląda centralne zarządzanie hasłami w praktyce — przetestuj perc.pass w bezpłatnym okresie trial.