Jak na bezpečnou správu hesel k účtům klientů

Digichef

Znáte to. Každá digitální agentura potřebuje ke své práci spoustu přístupů do účtů klientů, ve kterých svoji práci odvádí. V dnešním článku se podíváme na to, jak spravujeme hesla našich klientů v Sunu – bezpečně, jednoduše, bez zbytečných nákladů.

Proč byste i vy neměli mít rádi sdílená hesla

Vyspělejší služby podporují nějakou formu víceuživatelského přístupu (Google Analytics, Google Tag Manager, Sklik) nebo zpřístupnění účtu klienta pro agenturu přes agenturní účet (Google AdWords MCC, Facebook Business Manager).

Bohužel, existuje ale i stále velké množství služeb, u kterých jedinou možností, jak k nim může přistupovat současně klient a současně specialisté agentury, je sdílení hesla. Tedy jednoduše řečeno, do služby se loguje klient a agentura (a všichni její specialisté, kteří na klientovi pracují) stejným přihlašovacím jménem a heslem. Příkladem jsou Heureka, Instagram, Twitter, YouTube a další.

image

Jsou vaše hesla v bezpečí?

Zatímco víceuživatelské přístupy a také účty zpřístupněné pro agenturu přes agenturní účet představují poměrně spolehlivé řešení, sdílení hesel je problém. Mimo jiné z těchto důvodů.

  • Sdílená hesla je třeba někde uchovávat, proto agentura musí implementovat nějaký systém omezující přístup ke sdíleným heslům, aby ke sdílenému heslu měli přístup jen ti, kteří ho skutečně potřebují. Bohužel nejsou výjimkou ani agentury, ve kterých jsou všechna hesla zapisována do jednoho dokumentu či přístupná všem přímo v zakázkovém systému. Pokud pak kterýkoliv specialista z agentury odejde, je třeba změnit všechna hesla, ke kterým měl přístup – a to i v případě, že je nikdy nepoužil. V našem případě to znamená nutnost měnit při odchodu specialisty okolo 100 hesel!
  • Důsledkem předchozího bodu jsou extrémně vysoké náklady na „bezpečnou“ správu sdílených hesel. O relativní bezpečnosti můžeme mluvit v případě, že při odchodu specialisty z agentury jsou změněna všechna sdílená hesla, ke kterým měl přístup. To ale znamená běžně i několik člověkohodin duchamorné práce a nutnost vše zabezpečit odpovídajícími procesy. V důsledku nepsaných zákonů agility je praktický výsledek ten, že řada agentur hesla nemění vůbec.
  • Pokud se všichni uživatelé přihlašují pod stejným přihlašovacím jménem a heslem, není možné zpětně vyhodnotit, kdo tu kterou změnu v systému provedl. Což se může hodit, například pokud spend kampaně s měsíčním rozpočtem 200 000 Kč tento spend realizuje již za týden :)
  • Obtěžování klientů s častými změnami hesla je pro obě strany celkem otrava. U agentury o pár lidech tento problém není tak častý, ale u větších agentur, kde je větší pravděpodobnost příchodů a odchodů nových specialistů, roste.
  • Problematický je i samotný fakt předávání hesla po e-mailech, což bohužel řada klientů neváhá udělat a řada agentur váhá odmítnout. V nezašifrovaném e-mailu nejsou hesla chráněná! Z nutnosti často měnit hesla pak vyplývá, že hesla po e-mailu putují tam a zpět i několikrát ročně.

Sdílená hesla – level 2

Během let jsme v Sunu vyzkoušeli několik řešení pro správu hesel, od interních dokumentů až po jednoduché aplikace v intranetu. Na začátku tohoto roku jsme se dozvěděli o - původem české - aplikaci pro správu hesel, o Portadi. Ta nám po létech útrap a zkoušení konečně přinesla to, co jsme hledali.

image

Homepage Portadi

Jak funguje Portadi

Portadi řeší naprostou většinu problémů, se kterými se při správě hesel setkáte, až na jednu výjimku i všechny výše uvedené. Přístupové údaje včetně sdílených hesel uvidíte pouze jednou, a to když je do Portadi vkládáte. Pomocí Portadi pak přidělujete konkrétním uživatelům přístupy k jednotlivým heslům, resp. službám. Uživatelé se pak na dané služby mohou přihlásit a účty ve službách plnohodnotně využívat, aniž by heslo znali.

To zajišťuje know-how Portadi - pluginy v prohlížečích, které před uživatelem hesla skrývají. Portadi v současnosti podporuje prohlížeče Chrome, Firefox a Safari. V nepodporovaných prohlížečích tak Portadi použít nemůžete, protože by nebylo možné ani automatické přihlášení na účet, ani heslo skrýt při přihlášení. Je třeba říci, že vývojáři se zkušeností s debuggingem JavaScriptu v prohlížečích hesla, ke kterým mají přes Portadi přístup, teoreticky zobrazit a získat i tak dokáží, ale i v tomto případě se zaprotokoluje, že uživatel k danému účtu přistoupil.

Jaké služby Portadi podporuje

Portadi nabízí více než 400 předdefinovaných služeb (v terminologii Portadi „aplikací“), u kterých je funkčnost přihlašovacího skriptu 2x denně kontrolována. Z pohledu české agentury zde najdete vše podstatné, včetně - z hlediska sdílení hesel - velmi problematických cenových srovnávačů, služeb Googlu, Seznamu, účty ve fotobankách, CMS systémy atd.

Protože ale určitě narazíte na služby, které v Portadi nejsou předdefinovány, oceníte i možnost vytvoření custom aplikace, takže si můžete uložit (a poté využívat!) přihlašovací údaje téměř k jakékoliv službě.

Portadi vás téměř vždy bude umět přihlásit. Nám se stalo pouze ve dvou případech, že custom aplikace přihlášení nezvládla. A i v tomto případě můžete požádat o doimplementování podpory pro vaši službu. S prémiovým supportem tahle změna obvykle netrvá více než pár hodin.

image

Přihlášení do účtů přes Portadi přímo ve vašem prohlížeči

Výhody plynoucí z používání Portadi

Používání Portadi má z našeho agenturního pohledu tyto výhody.

  • Specialisté přímo nemusí znát (a ani neznají) hesla k účtům klientů. Mají pouze jeden svůj účet v Portadi, přes který se do účtů klientů přihlašují.
  • Odpadá potřeba měnit hesla při odchodu specialistů z agentury. Stačí zrušit účet specialisty v Portadi. Změn hesel ušetříte i klienty. Podobně novému specialistovi snadno přidáte přístup ke všem potřebným účtům.
  • Přístupy k účtům klientů jsou protokolované. Víte, kdo se do toho kterého účtu kdy přihlásil.
  • Velmi nízké náklady na provoz Portadi. Kromě symbolického měsíčního paušálu za službu jsou náklady na práci s Portadi minimální, spočívají pouze v jednorázovém vkládání hesel při jejich získání od klientů.
  • Máte přehled o tom, které služby skutečně využíváte. Díky Portadi můžete získat přehled o tom, které služby, za které třeba i platíte, opravdu využíváte, případně jak frekventovaně. Spoluzakladatel Portadi Dušan Vítek mi k tomu řekl, že Portadi bude v tomto směru dále rozvíjeno tak, aby manažerům poskytovalo komplexní informace o využití cloudových služeb ve společnosti.
  • Nepotřebujete žádný další systém pro správu hesel.

Portadi tak má dnes vlastně pouze jednu výraznější slabinu. Tou je prvotní získávání hesel od klientů, které zatím stále probíhá konvenční cestou. Podle vyjádření druhého ze spoluzakladatelů Portadi, Tomáše Soukupa, je ale implementace funkce pro předávání hesel mezi firmami na roadmapě už blízko, takže se možná dočkáme ještě letos.

Pokud byste měli zájem Portadi vyzkoušet s prémiovým supportem, pošlete nám na portadi@sunmarketing.cz e-mail, na který jste si Portadi registrovali, necháme vám prémiovou podporu u Portadi aktivovat.

Stručné představení léku na paranoiu.

  • Celkový průměr hodnocení: 4.86 z 5
  • 4.86
  • 4.86
  • 4.86
  • 4.86
  • 4.86

21. října 2015