Před pár dny jsem se registroval v eshopu nakladatelství Portál, docela seriózního českého nakladatelství, co vydává řadu odborné literatury a co vydalo i třeba skvělou Červenou knihu od C.G. Junga. Jaké bylo moje překvapení, když mé heslo, které jsem si při registraci zadal, mi hned na to přišlo v mailu s potvrzením registrace, a tento mail měl další mail nakladatelství Portál v kopii. Napsal jsem na tento mail, jestli je tomu opravdu tak, že ukládají hesla uživatelů v plaintextu a ještě si je v rámci firmy posílají vesele emaily s těmito hesly uživatelů. „Potěšila“ mě rychlá a velice upřímná reakce, kterou si dovolím citovat jako výstrahu všem, kteří stále používají stejné heslo na všechny registrace, do emailových schránek a nedejbože i na Paypal či Amazon, kam zadali údaje o své kreditní kartě.
„Dobrý den pane Malec,
Hesla skutečně ukládáme v databázi ve formě čistého textu. Přístup k heslům zákazníků mají v naší firmě jen odpovědní pracovníci. Volba hesla je záležitost každého zákazníka jako odpovědné osoby. Nedovolili bychom si nikomu radit, jak si má uspořádat vlastní informační bezpečnost. Ale z Vašeho mailu usuzuji, že Vás zajímá především to, jak zacházíme přímo s Vaším heslem:
Heslo se spolu s dalšími registračními údaji uloží do lokálně databáze e-shopu a zákazníkovi se odešle potvrzovací e-mail. Přístup k serveru a této databázi má pouze vedoucí IT a programátor e-shopu. Mail, na který jste odpověděl, dochází do schránky mně a kolegyni, která má na starosti věrnostní program. Děkujeme za Váš zájem.
S pozdravem
Jan Kanclíř
obchodní referent“
Apel pro všechny: Okamžitě přestaňte používat jedno heslo nebo jen s nepatrnými obměnami na všech registracích. Stáhněte si např. KeePass nebo jiný správce hesel, a nechávejte si generovat náhodná nová hesla ke každé službě. Propojte si tuto klíčenku s webovým prohlížečem, ať vám hesla zadává do políček automaticky. Použijte silné centrální heslo, které si ale pamatujete a nikde jinde jej nepoužíváte. Zálohujte denně a pokud možno automaticky soubor s klíčenkou na několik míst, případně důvěřujte nějakému cloudovému úložišti kam se to bude nahrávat jakmile soubor s klíčenkou obohatíte o nové heslo. A dejte obchodníkům najevo, že se vám praxe ukládání nezašifrovaných hesel vůbec nelíbí.