Heslo do policejního počítače „Policie123“ – nalepené na monitoru – to nevymyslíš
Policie si nastavila heslo do služebního počítače na „Policie123“. A papírek s heslem si nalepila na monitor. A celé to zveřejnila na internetu. Ne jako vtip nebo ukázku, jak to nemá vypadat. Naprosto vážně – jako součást nějaké prezentace nového vybavení. To je facepalm na druhou!
Asi každý zná hromadu vtipů o policajtech. Od klasiky typu „kolik policajtů je potřeba na výměnu žárovky“, po mnoho dalších.
Za mnoho z nich si policie může sama. Jako třeba díky tomu, že si nastaví heslo do policejního počítače na „Policie123“. A papírek s heslem si nalepí na monitor. A to celé zveřejní na internetu.
To se snad ani nedá vymyslet jako vtip = takovému vtipu by nikdo nevěřil. Bohužel je to ale realita.
Policie se za vtipy může sama
Osobně jsem se s policií setkat jen párkrát v životě (asi bych na to ani nepotřeboval všechny prsty na jedné ruce). A ve všech případech, mi pomohli, resp. udělali svoji práci.
To, že v jejich práci je úplně nechutné množství byrokracie, a to že používají velmi specifický jazyk (například „ztotožnění pachatele“ …apod., jako ostatně většina úředníků, kterým normální člověk obvykle moc nerozumí), je druhá věc.
Osobně jsem se nikdy nepotkal s tím klasickým policajtem z vtipů. Netvrdím, že každý pochůzkář z „horní/dolní“ je nějaký ultra intelektuál (zvlášť když policie musí neustále snižovat požadavky na uchazeče – mám pocit, že už snad ani není povinná maturita – nebo se to alespoň zvažovalo, že se tato podmínka zruší). Většinu vtipů si ale až tak moc nezaslouží. Až na pár výjimek.
I když se policie snaží „pomáhat a chránit“, což se jí občas i daří, tak si někdy prostě sami naběhnou na vidle. Jako teď, před pár dny.
Základní bezpečnostní pravidla (uvádím jen dvě, je jich ale více):
1) Nikdy nepoužívat jednoduché a snadno uhodnutelné heslo – jako třeba „Heslo123“ (obdoba anglického „Password123“), nebo například „Policie123“.
- Mezi stejně „blbá“ hesla jako „Policie123“, patří i heslo typu „123456“, „maminka“, „milacek“, „heslo“, „martin“, „beruska“, „qwerty123“, „abc123“, „987654321“, „qwe123“, „asdfghjkl“, „q1w2e3r4t5y6“ a spousta dalších (viz například zde – seznam z roku 2021, ale ono je to pořád stejné ….)
- I když to pořád většina systémů vyžaduje, heslo nemusí být jenom náhodná změť znaků, malých a velkých písmen a speciálních znaků
- Ani tato „náhodně generovaná“ hesla nejsou ve výsledku příliš bezpečná = nikdo si je logicky nepamatuje, a tak skončí napsané někde na lístečku na monitoru, v poznámkovém bloku, apod.
- Bezpečné a velmi odolné heslo může být například i fráze „Růžová karkulka, potkala v modrém lese vlka, a sežrala ho i s babičkou“. Tj. nějaká relativně snadno zapamatovatelná fráze, která je dostatečně dlouhá, a dostatečně neodhadnutelná klasickým slovníkovým útokem
2) Nikdy si nelepit heslo na monitor, nedávat si lístek s PIN kódem do peněženky k platební kartě, apod.
- Heslo nalepené na monitoru už není bezpečné heslo = pak stačí nasdílet nějakou nevhodnou fotku (jako naše policie) a je vymalováno (a k tomu kolegové z kanceláře, uklízečky, návštěvy, apod.).
- PIN kód u platební karty v peněžence je také vtipná věc – když už má někdo děravou paměť, tak si ho alespoň napsat do mobilu, aby byl na jiném místě než fyzická karta (ani to není moc bezpečné; a hlavně se to nesmí týkat mobilu, se kterým se dá platit/kde máte uložené virtuální karty)
- Když už si hesla nepamatuje, tak si je nepiště na lístečky, do textových souborů v počítači nebo do excelovských tabulek (a už vůbec ne do souborů s názvem „hesla.xls“ apod.)
- Dají se použít tzv. správci hesel (password manager – například Dashlane, KeePassXC, Bitwarden, 1Password, LastPass, a mnoho dalších)
Heslo do policejního počítače „Policie123“
Před několika dny, měla policie prezentaci nového vybavení, které má sloužit pro rychlejší řešení nehod. O co přesně na prezentaci šlo, není až tak podstatná.
Při této prezentaci, byl použit počítač – viz fotka, kde je pod displejem nalepen papírek s heslem „Policie123“. A tohle pak policie zveřejnila na internetu – zatím stále to je i u nich na webu – viz zde.
Co na tom, že potom vysvětlovali, že pro prezentaci byl použit jen testovací počítač/testovací účet. Protože se účastnilo více policistů, tak jen pro tento účel dostali počítač s tímto jednoduchým heslem.
Jasně, chápu to. Účastnil jsem se řady školení ve firmách, nebo různých prezentací, kde se v testovacím prostředí používala podobě „silná“ hesla (která jsme také dostávali na papírku).
Pokud je to čistě školící/tréninkové prostředí, tak to asi ničemu nevadí (byť pokud si uživatel ze školení odnese zkušenost, že stačí primitivní heslo nalepené na papírku na monitoru, tak to asi také není OK).
Na druhou stranu, by si myslím policie měla pohlídat, co zveřejňuje na internetu. Na tohle stačilo 30 vteřin v jakémkoliv editoru fotek. Je to trivialita, ale že to publikovali na web jak to je, odráží určitou neprofesionalitu.
Přece jen policie je ta, která má být schopná chytat jenom běžné zlodějíčky, ale i sofistikované kyber zločince. Na to má ostatně i speciální oddělení. A na internetu rozdává rady, jak se chovat bezpečně. Kovářova kobyla, ale zřejmě chodí bosa ….
Takže už jen doporučení na závěr – až si budete příště někdy nastavovat nové heslo, tak hlavně nepoužívejte heslo „Policie123“ – to už je teď až moc profláknuté. Už ho obsahují všechny základní slovníky pro automatické „lámání“ hesel.