Nic po systemie informatycznym jak twierdza, skoro użytkownik naraża jej mury. Pora na wyzwanie RODO związane z loginami i hasłami.

Użytkownik

Każdego dnia proszeni jesteśmy o wpisanie danych do tylu różnych okienek, że po prostu znajdujemy na to jakiś sposób. Sprawdź czy Twój sposób jest bezpieczny. Przedstawiamy kilka najczęstszych błędów, które narażają Cię na konsekwencje pod kątem RODO.

Hasło proste do złamania

Popularne w Polsce pomysły na hasła to ciąg cyfr (12345…, 111111, 666666, 000000), proste słowa (polska, haslo, misiek, misiaczek, myszka, kocham), znaki z klawiatury (zaq12wsx, qwerty, 123qwe) popularne imię lub imię z cyfrą 1 na końcu (prym w Polsce wiedzie monika, marcin, mateusz, karolina, agnieszka, bartek, damian), wulgaryzmy.

1 hasło na wszystko

Faktycznie to upraszcza życie, ale jedno hasło używane do systemów informatycznych z danymi osobowymi i kont w sklepach internetowych to duże ryzyko. Weź pod uwagę, że loginy i hasła wypływają czasem nawet do kont bankowości elektronicznej. Nie wierzysz? Wygoogluj.

Wspólny login

Tu powodem jest zwykle oszczędność czasu (co chwile zmieniają się pracownicy) i pieniędzy (opłata licencyjna jest za nazwanego użytkownika = od loginu). W rezultacie funkcjonują loginy typu: salon1, salon2, salon3 lub sprzedawca1 itd.

Dane logowania na karteczce

Wbrew pozorom zapisanie hasła jest lepszym pomysłem niż stosowanie jednego, prostego hasła do wszystkiego. Jeśli już jednak musisz sobie hasło zapisać to nie na kartce przyklejonej do ekranu lub schowanej pod klawiaturą. Można je zgrabnie ukryć w notesie z kontaktami zapisując np. jako adres email jednej z osób.

Zapamiętywanie haseł w przeglądarce

Zły pomysł, szczególnie jeśli dostęp do tych haseł zabezpieczony jest hasłem słabym lub wykorzystywanym też w innych miejscach. Lepiej już używać managera haseł.

Czy twoje hasło wyciekło?

Możesz to sprawdzić w specjalnych wyszukiwarkach, np. na stronie haveibeenpwned.com wpisując adres email. W zasadzie niewiele ryzykujesz, jeśli jest to adres powszechnie wykorzystywany i był wiele razy podawany jako login do różnych kont. Nie należy jednak wpisywać w jakiekolwiek tego typu wyszukiwarki obecnego hasła, by sprawdzić czy takie w bazie wykradzionych haseł występuje. Nawet autorzy tego rozwiązania przestrzegają przed tym.

RODO, a login i hasło

RODO wymaga, by każdy użytkownik systemu, w którym przechowywane są dane osobowe i z którego korzysta więcej niż 1 osoba, miał unikalne konto. Sprowadza się to do unikalnego ID użytkownika.

System informatyczny zgodny z RODO

Rozważmy działanie systemu informatycznego Tide Software, by wyjaśnić, jak obchodzić się z loginami i hasłami. Rozwiązanie to jest wdzięcznym przykładem - działa online i usprawnia komunikację przez SMS, email i głos, więc zawiera przeróżne dane osobowe.

Login kluczowy w historii przetwarzania

Platforma Tide Software przechowuje historie przetwarzania danych, zgodnie z RODO. Dzięki temu, że każdy użytkownik ma unikatowe ID, wiadomo:

  • kto, które dane osobowe i kiedy pierwszy raz wprowadził do systemu,
  • kto, które dane osobowe i kiedy zmieniał lub usunął.

Zmiana hasła

Platforma Tide Software pozwala określić zasady skomplikowania haseł oraz wymuszania ich zmiany. Bezpieczniej jest, gdy system wymusza takie działania na użytkowniku.

Może też samodzielnie wymyśleć dla użytkownika bezpieczne hasło i przesłać je SMS na zautoryzowany numer telefonu (użytkownik musi wcześniej udowodnić, że jest właścicielem danego numeru telefonu). Nigdy natomiast system nie przesyła użytkownikowi zapomniane hasło i nie ma możliwości, aby pracownik działu wsparcia klienta mógł zapomniane hasło odczytać i podać. Dlaczego? Hasła są w bazie zaszyfrowane.

Pilnowanie prób logowania

System Tide Software utrudnia podejrzane próby logowania, tj. gdy użytkownik kilkukrotnie wprowadza błędne hasło.

Łączenie się z systemami online

System dostępny jest online, dlatego strona logowania otwiera się przez bezpieczne połączenie (zielona kłódka).

Logowanie z wybranej lokalizacji

Rozwiązanie Tide Software może zezwolić na logowanie się tylko z wybranych lokalizacji, czyli pracownicy sklepu, banku itd. mogą przeglądać dane osobowe klientów tylko ze swojego miejsca pracy.

Co w związku z tym?

Przyjmij #wyzwanieRODO 2, rozważ zmianę haseł. Zweryfikuj, jak działają systemy informatyczne, z których korzystasz. Zwróć uwagę na to, że zbieranie danych osobowych na cele działań marketingowych np. w arkuszu kalkulacyjnym przez więcej niż jedną osobę wymaga zabezpieczenia dostępu loginem i hasłem i możliwości prześledzenia kto i które dane modyfikował.

Usługi Tide Software wspierające komunikację są na RODO gotowe, a Twoje?

Strona korzysta z plików cookies. Możesz zmienić zasady ich przechowywania i dostępność w ustawieniach przeglądarki. Więcej...