Proč používat generátor jiných hesel pro každou registraci: Kasuistika Nakladatelství Portál

Před pár dny jsem se registroval v eshopu nakladatelství Portál, docela seriózního českého nakladatelství, co vydává řadu odborné literatury a co vydalo i třeba skvělou Červenou knihu od C.G. Junga. Jaké bylo moje překvapení, když mé heslo, které jsem si při registraci zadal, mi hned na to přišlo v mailu s potvrzením registrace, a tento mail měl další mail nakladatelství Portál v kopii. Napsal jsem na tento mail, jestli je tomu opravdu tak, že ukládají hesla uživatelů v plaintextu a ještě si je v rámci firmy posílají vesele emaily s těmito hesly uživatelů. „Potěšila“ mě rychlá a velice upřímná reakce, kterou si dovolím citovat jako výstrahu všem, kteří stále používají stejné heslo na všechny registrace, do emailových schránek a nedejbože i na Paypal či Amazon, kam zadali údaje o své kreditní kartě.

„Dobrý den pane Malec,
Hesla skutečně ukládáme v databázi ve formě čistého textu. Přístup k heslům zákazníků mají v naší firmě jen odpovědní pracovníci. Volba hesla je záležitost každého zákazníka jako odpovědné osoby. Nedovolili bychom si nikomu radit, jak si má uspořádat vlastní informační bezpečnost. Ale z Vašeho mailu usuzuji, že Vás zajímá především to, jak zacházíme přímo s Vaším heslem:
Heslo se spolu s dalšími registračními údaji uloží do lokálně databáze e-shopu a zákazníkovi se odešle potvrzovací e-mail. Přístup k serveru a této databázi má pouze vedoucí IT a programátor e-shopu. Mail, na který jste odpověděl, dochází do schránky mně a kolegyni, která má na starosti věrnostní program. Děkujeme za Váš zájem.

S pozdravem

Jan Kanclíř
obchodní referent“

Apel pro všechny: Okamžitě přestaňte používat jedno heslo nebo jen s nepatrnými obměnami na všech registracích. Stáhněte si např. KeePass nebo jiný správce hesel, a nechávejte si generovat náhodná nová hesla ke každé službě. Propojte si tuto klíčenku s webovým prohlížečem, ať vám hesla zadává do políček automaticky. Použijte silné centrální heslo, které si ale pamatujete a nikde jinde jej nepoužíváte. Zálohujte denně a pokud možno automaticky soubor s klíčenkou na několik míst, případně důvěřujte nějakému cloudovému úložišti kam se to bude nahrávat jakmile soubor s klíčenkou obohatíte o nové heslo. A dejte obchodníkům najevo, že se vám praxe ukládání nezašifrovaných hesel vůbec nelíbí.

Autor

Martin

Pracuji jako ajťák a grafik na volné noze, zejména ale pro brněnskou firmu vyrábějící ekodrogerii. Dále působím v brněnském systému místní směny Rozleťse, Českém zahrádkářském svazu, České psychedelické společnosti, spolku Archetypal a Mezinárodní komunitě dzogčhenu. Chcete mě podpořit? BTC: 37mf2FJR26Ce3DxMkocukJDgB1eVjasnZB, příp. PGP podepsané adresy dalších kryptoměn.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *