Parole, conturi și acces: cea mai neglijată vulnerabilitate din IMM-uri

Marius | smartnix.ro

Există o ironie în modul în care firmele mici abordează securitatea IT: investesc în antivirus, firewall și poate chiar backup, dar lasă ușa principală deschisă cu o parolă de tipul firma2024 sau, mai rău, cu aceeași parolă folosită pentru tot.

Gestionarea parolelor și a accesurilor este cel mai puțin spectaculos aspect al securității IT — și cel mai frecvent ignorat. Este și cel care cauzează cele mai multe incidente.

Câteva cifre care pun lucrurile în perspectivă

Conform rapoartelor de securitate cibernetică, peste 80% dintre breșele de securitate implică parole compromise, slabe sau reutilizate. Nu vulnerabilități tehnice sofisticate, nu atacuri de tip „hacker în glugă neagră" — ci parole proaste sau gestionate neglijent.

Cel mai frecvent scenariu: un angajat folosește aceeași parolă pentru email-ul de serviciu și pentru un cont personal (un forum, un magazin online). Acel site extern este compromis, parola apare în baze de date de pe dark web, și cineva o folosește pentru a accesa email-ul firmei. Simplu, banal, devastator.

Greșelile clasice din firmele mici

Parole slabe și previzibile firma2024, admin, parola123, numele firmei, data înființării — toate acestea sunt primele încercări ale oricărui instrument automat de spargere a parolelor. O parolă slabă este spartă în secunde.

Aceeași parolă pentru mai multe servicii Dacă parola email-ului de serviciu este aceeași cu parola contului de Facebook al angajatului, o breșă la Facebook compromite automat email-ul firmei. Reutilizarea parolelor este una dintre cele mai periculoase practici.

Conturi partajate „Toți folosim același cont de admin pe server" sau „parola pentru contul de Instagram al firmei o știe toată lumea" — când ceva merge prost, nu știi cine a făcut ce. Și când un angajat pleacă, trebuie să schimbi parola și să o redistribui tuturor.

Parole trimise pe WhatsApp sau email O parolă trimisă pe WhatsApp există acum în istoricul conversației, pe telefoanele ambelor persoane, potențial în backup-uri cloud. Nu mai este o parolă privată.

Nicio expirare sau rotație Aceeași parolă de administrator folosită de 3 ani, de mai mulți angajați, unii dintre care au plecat deja din firmă.

Soluția 1: Parole puternice și unice — cu ajutorul unui manager de parole

Cerința de a folosi parole puternice și unice pentru fiecare serviciu pare imposibil de respectat în practică. Nimeni nu poate memora 50 de parole de tipul xK7#mP2@qL9!vN4.

Soluția este un manager de parole — o aplicație care generează și stochează parole complexe unice pentru fiecare cont, protejate de o singură parolă master puternică pe care o memorezi.

Avantaje concrete:

  • O singură parolă de memorat (cea master)
  • Parole unice, complexe pentru fiecare serviciu
  • Accesibil de pe orice dispozitiv
  • Detectează automat reutilizarea parolelor
  • Alertează când o parolă apare în baze de date compromise

Soluții recomandate pentru firme: Bitwarden (open source, poate fi self-hosted), 1Password Teams, KeePassXC (local, gratuit). Bitwarden are un plan gratuit generos și poate fi instalat pe propriul server pentru control total.

Soluția 2: Autentificarea în doi pași (2FA) — stratul care salvează situația

Chiar dacă o parolă este compromisă, autentificarea în doi pași (2FA) face contul inaccesibil fără un al doilea factor — de obicei un cod generat pe telefonul tău.

Funcționează simplu: introduci parola (ceva ce știi) + un cod din aplicație (ceva ce ai). Un atacator care are parola ta dar nu are telefonul tău fizic nu poate accesa contul.

2FA ar trebui activat obligatoriu pe:

  • Email-ul firmei
  • Orice sistem de acces remote (VPN, server)
  • Aplicații financiare și de facturare
  • Conturi de social media ale firmei
  • Orice serviciu cloud cu date sensibile

Implementarea 2FA costă zero — aplicații precum Google Authenticator, Aegis (Android) sau Raivo (iOS) sunt gratuite. Efortul de configurare este de câteva minute per cont.

Soluția 3: Conturi individuale, nu conturi partajate

Fiecare angajat trebuie să aibă propriul cont pentru fiecare sistem — server, email, aplicații interne. Nu conturi comune, nu parole partajate.

Beneficii imediate:

  • Auditabilitate — știi exact cine a accesat ce și când
  • Revocare simplă — când un angajat pleacă, dezactivezi un singur cont, nu schimbi parola și o redistribui tuturor
  • Responsabilitate clară — fiecare acțiune în sistem este atribuibilă unei persoane
  • Principiul privilegiului minim — fiecare cont are acces doar la ce are nevoie, nu la tot

Soluția 4: Politică clară de parole în firmă

O politică de parole nu trebuie să fie un document de 50 de pagini. Câteva reguli simple, comunicate și respectate:

  • Minimum 12 caractere pentru orice parolă de serviciu
  • Parole unice — nicio parolă folosită la mai multe servicii
  • Schimbare obligatorie la plecarea unui angajat care o cunoștea
  • Interzicerea transmiterii parolelor prin mesaje sau email
  • Manager de parole recomandat sau impus

Ce se întâmplă când un cont este compromis — și cum îți dai seama

Semnele că un cont a fost accesat neautorizat:

  • Email-uri trimise pe care nu le recunoști
  • Alerte de autentificare din locații sau dispozitive necunoscute
  • Modificări în setări sau documente pe care nu le-ai făcut tu
  • Parteneri sau clienți care primesc mesaje ciudate de la adresa ta

Dacă suspectezi că un cont a fost compromis:

  1. Schimbă parola imediat
  2. Revocă toate sesiunile active (opțiune disponibilă în majoritatea serviciilor)
  3. Activează 2FA dacă nu era activ
  4. Verifică ce a fost accesat sau modificat în perioada suspectă
  5. Notifică persoanele afectate dacă au fost trimise mesaje în numele tău

Implementare practică: de unde începi

Dacă totul de mai sus ți se pare copleșitor, iată ordinea priorităților:

Săptămâna 1: Activează 2FA pe email și pe orice sistem de acces remote.

Luna 1: Instalează un manager de parole și migrează parolele principale. Schimbă parolele slabe sau reutilizate.

Luna 2–3: Creează conturi individuale acolo unde există conturi partajate. Documentează ce acces are fiecare angajat.

Continuu: Instruiește angajații cu câteva reguli simple. Verifică periodic că procesul este respectat.

Concluzie

Securitatea IT nu începe cu firewall-uri și sisteme complexe. Începe cu parole. O parolă puternică și unică, protejată de autentificare în doi pași, pe un cont individual — aceasta este fundația pe care se construiește orice altă măsură de securitate.

Și este, totodată, măsura cu cel mai bun raport cost/beneficiu din tot arsenalul de securitate IT: costă practic zero și elimină cea mai frecventă cauză de breșe de securitate.

Ofer sesiuni de instruire în securitate IT pentru echipe și implementare de politici de acces și gestionare parole pentru firme mici și medii. Contactează-mă.