Adrian Murzac, Author at efectRO
Trei piloni ai continuității organizației: digitalizare, cloud & externalizare

Trei piloni ai continuității organizației: digitalizare, cloud & externalizare

Trei piloni ai continuității organizației: digitalizare, cloud & externalizare

Siguranța automobilelor este testată cu ajutorul testelor de impact; produsele electrice trec prin teste de înaltă tensiune; ce testează siguranța infrastructurii unei organizații, în special a infrastructurii IT? În mod normal, un audit. În situații excepționale, o fac (brutal și fără menajamente) situațiile de criză. Pandemia și efectele ei are și darul de a ne pune în fața rezultatelor unei testări de siguranță neanunțate: modul în care gândim (sau nu gândim), cum reacționăm, ce prioritizăm.

Având în spate peste 17 ani de experiență în domeniul infrastructurii și serviciilor IT, am decis să oferim câteva repere solide organizațiilor care doresc să ia decizii informate, realiste și aplicabile în această perioadă tulbure. În acest blog post ne propunem să analizăm modul în care digitalizarea, cloud-ul și o politică de externalizare a serviciilor IT pot crește semnificativ gradul de continuitate a organizației.

Când Digitalizare + Cloud = succes?

„Când Digitalizare + cloud = succes?” - titlul prezentării efectRO în cadrul evenimentului de lansare a DIH4Society, Cluj-Napoca, 28 februarie 2020

În luna februarie am primit din partea Cluj IT Cluster, o invitație să participăm cu o prezentare la lansarea DIH4Society, un Hub de inovație digitală.

Titlul evenimentului era, retrospectiv privind, de-a dreptul profetic: „Transformarea digitală – Oportunitate, alternativă sau necesitate imperativă?”. Țineți cont de faptul că evenimentul a avut loc în 28 februarie, cu vreo zece zile înaintea declanșării stării de urgență în România. Am discutat despre statisticile care arată poziția codașă a României la acest capitol, despre prioritățile nou-înființatei Autoritate pentru Digitalizarea României, despre oportunitățile oferite de abordări de tip smart city, telemedicină, industrie 4.0, monitorizarea de la distanță a utilităților publice ș.a.m.d. Personal, cel mai mult mi-a rămas în minte atenționarea d-lui Alexandru Tulai referitoare la  pericolele confundării transferului de proceduri birocratice de pe suport hârtie pe suport digital, cu digitalizarea propriu-zisă. Revenim ciclic la venerabilul principiu de „garbage in, garbage out” din IT.

Contribuția noastră la acest eveniment a fost de a prezenta câteva studii de caz legate de digitalizare și cloud. Imediat ce am primit invitația, ne-am adunat în sala noastră de conferințe și am stabilit care vor fi studiile de caz pe care doream să le abordăm; până la urmă, cei 17 ani de activitate efectRO trebuiau să își spună cuvântul. Titlul, însă, ne-a dat ceva bătăi de cap, pentru că doream ca acesta să ofere o promisiune clară audienței, promisiune, de care să ne putem ține prin concluziile pe care le avea să le oferim la sfârșitul prezentării. Până la urmă am convenit asupra unei întrebări: „Când Digitalizare + Cloud = Succes?

Implicită în titlul nostru este ideea că nu întotdeauna digitalizarea și migrarea în cloud a diverselor componente critice ale unei organizații este un succes. Iar promisiunea noastră era că vom identifica în studiile noastre de caz care sunt factorii care contribuie – uneori decisiv! – la succesul procesului de digitalizare și migrare în cloud.

Care sunt factorii de succes care fac ca migrarea în cloud & digitalizarea să contribuie la succesul unei organizații? Experiența acumulată ne-a ajutat să identificăm cel puțin câțiva dintre ei:

  • Asumarea investirii de timp și efort în audit și consultanță, anterior oricăror decizii majore.
  • Creionarea unei viziuni pe termen mediu și lung cu privire la componentele infrastructurii:  scalarea oricărui subsistem & grad sporit de flexibilitate în integrarea unor componente noi
  • Integrarea de principiu a tuturor sistemelor IT, așa încât toate sistemele IT să poată fi monitorizate, accesate, controlate de la distanță, iar parametrii de funcționare să fie garantați contractual & raportați periodic.
  • Strategie robustă menită să asigurare continuitatea activității, adică redundanțe multiple, backup de date, securitatea & integritatea datelor.
  • Stabilirea costului total de exploatare prin: abordarea costurilor din perspectiva ciclului de viață a echipamentelor & includerea costurilor & riscurilor legate de indisponibilitate.
  • Evaluarea corectă a mentenabilității infrastructurii IT: stabilirea parametrilor de funcționare garantați, monitorizare și raportare periodică, accent pe prevenție, îmbunătățirea continuă a calității serviciilor.

Prioritizarea resursei umane ca sursă primară de plus valoare, prin identificarea piedicilor în calea muncii colaborative și identificarea soluțiilor pentru eliminarea acestora.

Sumarul factorii de succes în digitalizare și implementarea unei infrastructuri cloud - prezentare efectRO în cadrul evenimentului de lansare a DIH4Society, Cluj-Napoca, 28 februarie 2020

Chiar și o simplă trecere în revistă a factorilor ne arată legătura strânsă între digitalizare și continuitatea activității. Organizațiile care au luat în serios provocarea digitalizării și au avut de partea lor cel puțin o parte a factorilor menționați mai sus, au crescut semnificativ reziliența infrastructurii lor IT (și, implict, a organizației).

Pandemia nu face decât să aducă în prim plan nevoia acută de soluții bazate pe cloud:

  • Acces securizat, de tip remote, al tuturor sistemelor critice pentru organizație în vederea continuității, dar și a activităților normale în organizație
  • Colaborarea, utilizarea centralizată și partajarea tuturor documentelor organizației printr-o singură interfață accesibilă de pe orice dispozitiv și din orice locație
  • Mobilizarea serviciilor de notificare pentru a determina dacă partenerii, furnizorii, clienții sunt afectați și pentru a putea oferi asistență și ajutor echipelor de intervenție
  • Utilizarea partenerilor externi pentru monitorizarea și administrarea infrastructurii IT așa încât organizația să se poată focaliza pe restabilirea operațiunilor normale cât mai rapidă

Totuși, nu vreau să vă las cu impresia falsă că digitalizarea este un soi de proces ghidat de principiul „totul sau nimic”. Viața reală este caracterizată de complexitate, iar aceasta se manifestă printr-o multitudine de constrângeri și priorități care intră în conflict. Procesul digitalizării poate fi un succes și atunci când este implementat gradual, așa cum voi arăta în exemplul parteneriatului între efectRO și Panemar.

Panemar: constanță în investiții legate de digitalizare & cloud

Digitalizare în ritmul clientului – Studiu de caz Panemar | efectRO

Astăzi, Panemar este unul dintre brandurile cunoscute în România. Dar în 1993 era doar o afacere de familie împinsă înainte mai mult de know-how decât de infrastructură de producție, mai mult de entuziasm decât de un plan de business riguros.

Am reușit să îl surprind plăcut pe dl. Nicușor Chiorean cu amintirile mele, în calitate de cumpărător, legate de pâinea de Panemar vândută la ghereta lor din cartierul Mănăștur, de modul în care vecinii și rudele „descopereau” această nouă pâine, de cozile care se formau și erau acceptate drept ceva inevitabil, doar era pâine „așe cum trăbă” și mai și era „pâine cu gust de pâine”.

Acest soi de succes organic, dar și responsabilitatea pe care o resimțeau față de cumpărătorii care plecau frustrați din fața gheretelor, pentru că pâinea se epuiza repede, i-a împins să facă planuri de extindere: magazine Panemar în fiecare cartier din Cluj. Și dacă tot au pornit pe acest drum, erau determinați să ofere o experiență cât mai plăcută cumpărătorului. Au investit vizibil și consistent în partea de design, branding, ambianță.

Și, crucial, au investit în partea care se vede mai puțin – o infrastructură IT care să poată absorbi, fără efort suplimentar, noi magazine deschise și noi sisteme pe care și le-ar putea dori pe viitor. O infrastructură gândită pe termen mediu și lung, care proiectează costurile nu doar de achiziție și implementare, ci și costuri de mentenanță pe întreaga durată de viață a echipamentelor. O infrastructură care să poată să crească odată cu Panemar.

De-a lungul anilor, echipa noastră a tot extins infrastructura IT Panemar cu noi servere virtuale pentru găzduirea aplicațiilor și bazelor de date care îi ajută să gestioneze producția, transportul, logistica, personalul, sisteme de supraveghere video, sistem de telefonie IP, rețele securizate, sisteme de tip point of sale, monitorizare fabrică, sistem de pager-e pentru comenzi, sistem de pontaj angajați etc. Am integrat noile magazine în aceeași infrastructură. Mai mult, am crescut și nivelul de disponibilitate și suport pe care îl oferim pentru fiecare dintre aceste sisteme.

Am făcut toate acestea fără o creștere proporțională a prețului serviciilor, fără întreruperi ale activității și cu niște timpi de implementare care niciodată nu au impus constrângeri în ritmul extinderii Panemar. Motivul? Aderarea la o viziune comună, elaborată împreună cu echipa de management Panemar, bazată pe principii solide și pe o cunoaștere detaliată a nevoilor clientului nostru.

Telemunca, Remote și Cloud – cuvinte cheie căutate masiv în perioada carantinei

Ultimele două săptămâni au generat un număr remarcabil de meme legate direct sau indirect de pandemie având drept ținte lucruri diverse, începând de la hârtie igienică, drojdie, alcool sanitar, până la abonamente Netflix sau programe de fitness și dietă.

Datele publice oferite de Google Trends pot fi (și sunt!) utilizate pe larg de către analiști din diverse domenii pentru a explora diverse subiecte prin prisma comportamentului de căutare în motorul de căutare Google.

În cele ce urmează, voi încerca să exemplific, într-o formă cât de poate de modestă, utilizarea Google Trends pentru a explora câteva lucruri pe care le relevă căutările din ultima perioadă despre gradul de pregătire al organizațiilor, despre ce ne indică aceste căutări cu privire la  infrastructura IT și despre motivele probabile pentru care suntem în acest punct în România.

Să începem prin a examina care sunt cuvintele-cheie legate de serviciile IT, ale căror frecvență de căutare a crescut (de la simțitor, până la uimitor), ca urmare a carantinei impuse de pandemie. Evident, trebuie specificat din start, setul de date disponibile la nivelul țării noastre este mult mai mic și nu oferă, din păcate, aceeași rezoluție de care beneficiază seturile de date din SUA sau țările din Europa de vest.

Căutările din ultima perioadă (în special luna martie) indică o creștere spectaculoasă de căutări care conțin cuvinte-cheie legate de IT. Nu am pretenția că dezvălui ceva spectaculos spunând că izolarea socială a forțat majoritatea organizațiilor, dar și a indivizilor, să-și revizuiască atitudinea și disponibilitatea cu privire la munca de la distanță. Spre exemplu, putem vedea un vârf impresionant de căutări în luna martie pentru „Telemuncă” (vezi mai jos).

Căutări pentru cuvintele cheie „Telemuncă”, pe teritoriul României, ultimele 90 de zile (via Google Trends).

În aceeași perioadă se poate vedea o creștere mare a numărului de căutări legate de „cloud” și „remote” – elemente care s-au dovedit indispensabile pentru majoritatea organizațiilor în asigurarea continuității activității în condițiile carantinei.

Căutările legate de soluții „remote” ating un vârf în jurul datei de 18 martie, adică la începutul declarării stării de urgență prin decret prezidențial. Căutările legate de „cloud” merg în paralel cu acestea, dar spre sfârșitul lunii martie le depășesc și ajung la un maxim abia de curând, la începutul lunii aprilie.

Putem specula motivele din spatele acestor tendințe – odată cu trecerea timpului, tot mai multe persoane realizează că răspunsul la nevoile lor sunt legate mai puțin de metoda de accesare a aplicațiilor sau a conținutului, cât, mai ales de tipul de infrastructură care poate oferi un fundament solid pentru telemuncă.

Comparație căutări pentru „Cloud” și „Remote” pe teritoriul României, ultimele 30 de zile (via Google Trends).

Merită observată și distribuția regională pentru aceste căutări: creșterea căutărilor pentru acești termeni este prezentă și în județele care și-au format deja o reputație în domeniul digitalizării, dar nu este la fel de remarcabilă/impresionantă ca în județele care nu s-au remarcat prin prea multe inițiative pe acest plan.

Altfel spus, cloud și soluții remote se caută acolo unde acestea nu prea au fost implementate până acum (vezi mai jos):

Comparație căutări pentru „Cloud” și „Remote” pe județele României, ultimele 30 de zile (via Google Trends).

Exemplul transformării efectRO în 2008:  cloud, acces remote, telemuncă

Simt în acest punct nevoia să ofer o scurtă clarificare, sper demistificatoare, a conceptului „cloud”.

Celor ce lucrează în IT le este familiară butada „Cloud-ul este serverul altcuiva” pentru că exprimă succint esența conceptului: servere ce conțin aplicații, baze de date, platforme care pot fi accesate via internet. Aceste servere sunt localizate fizic în centre de date, dar accesibile virtual de oriunde.

Procesul de externalizare în urma căruia plătim un serviciu dar ne debarasăm de responsabilitatea întreținerii infrastructurii care face posibil serviciul vă este cunoscut tuturor, fără excepție. Vrem apă când deschidem robinetul, nu vrem să avem grijă de decantarea, purificarea și controlul microbiologic al apei. Vrem curent electric, nu grija transformatoarelor și releelor. Vrem convorbiri telefonice, nu vrem să avem grijă de turnuri de emisie.

Similar, vrem acces la email, fără să ne batem capul cu c umpărarea și setarea un server, licențe Microsoft Exchange, setare domenii, backup de date etc. Vrem acces la toate fișierele noastre de lucru oricând și de oriunde avem nevoie, fără să setăm servere de stocare redundante, politici de acces și securitate etc.

Motivul principal pentru care majoritatea organizațiilor optează pentru cloud, sau, altfel spus, externalizează acest serviciu către un furnizor, ține de utilitate și comoditate: nu mai ai grija administrării și mentenanței acelor servere.

Un alt motiv important este capacitatea crescută de a administra și a face mentenanță.

Centrul de comandă efectRO monitorizează în timp real toate componentele infrastructurii noastre IT și a clienților cărora le oferim servicii de mentenanță.

Centrul de comandă efectRO monitorizează în timp real toate componentele infrastructurii noastre IT și a clienților cărora le oferim servicii de mentenanță.

Vă ofer un exemplu din istoria noastră, a celor de la efectRO. La începutul anilor 2000, când am început activitatea, eram o firmă care oferea strict servicii de mentenanță IT: administrare calculatoare, rețele, servere locale și mentenanță pentru echipamente conexe. Cu timpul, clienții noștri au început să ceară și alte componente pe care să le integreze în infrastructura lor: servicii de backup, instalare UPS-uri și mentenanța lor periodică, instalare de camere IP pentru monitorizare video plus stocarea înregistrărilor pe un server aflat la distanta, servicii de securizare și monitorizare a rețelelor.

Nu ne-a luat mult timp să realizăm că nu putem (și nici nu vrem) să creștem forța de muncă în același ritm în care creșteam numărul de sisteme pe care le administram, ofeream suport și făceam mentenanță periodică. Singura cale rațională era să integrăm și să digitalizăm cât mai mult toate sistemele.

Ne-am propus să proiectăm în așa fel infrastructura IT a clienților noștri încât să putem monitoriza în timp real toate echipamentele lor, fie că vorbim despre camere IP, routere, servere, sisteme de telefonie sau orice alte dispozitive sau sisteme. Ne era foarte clar că serverele, spre exemplu, pot fi întreținute și monitorizate mult mai eficient într-un mediu atent controlat, unde poți crea redundanțe multiple (alimentare cu curent, furnizori multipli de internet, stocare, conexiuni și climatizare redundante). Motiv pentru care am accesat fonduri europene și ne-am construit în 2008 propriul nostru centru de date, pe care l-am tot extins de atunci.

Secretul nostru? Astăzi suntem în stare să oferim servicii de înaltă disponibilitate pentru că oricare dintre aceste sisteme utilizează o infrastructură proiectată pentru acest lucru. Niciunul dintre clienții noștri nu a avut de suferit în momentul declarării stării de urgență: toate sistemele erau gândite din start să poate fi accesate remote, toate serviciile noastre erau în cloud.

efectRO oferă Externalizare IT, servicii Hosting și soluții IT susținute de un datacenter și o infrastructură modernă.

efectRO oferă Externalizare IT, servicii Hosting și soluții IT susținute de un datacenter și o infrastructură modernă.

Vrem soluții IT: utilizatorii caută VPN, video conferințe online, integrare verticală

Predictibil, numărul de căutări pentru soluții VPN (Virtual Private Network) a crescut simțitor. Este soluția care pare, de cele mai multe ori, a fi cea mai la îndemână pentru a stabili conexiuni cu un grad sporit de securitate către resursele informatice ale organizațiilor: acces la ERP-uri, documente stocate pe un server local, date stocate în cloud public sau privat etc. Bineînțeles, nu toate soluțiile VPN sunt create egale, nici ca nivel de securitate, nici ca UX (termenul deja consacrat pentru uzabilitate) și nici în termeni de cost – fapt ușor de descoperit chiar și la o căutare simplă.

În orice caz, atât în România, cât și în Regatul Unit, volumul de căutări atinge cota cea mai înaltă pe la mijlocului lunii martie (vezi mai jos):

Comparație căutări pentru „VPN” pe teritoriul României vs. teritoriul Regatului Unit, ultimele 30 de zile (via Google Trends).

La fel de predictibilă a fost și creșterea căutărilor pentru soluții de organizare a video conferințelor. Majoritatea dintre noi preferăm să ne vedem față în față. Ședințele din birouri, clarificările de care ai nevoie de la un alt coleg, întâlnirile de lucru cu clienți existenți sau potențiali – toate aceste interacțiuni au trebuit să își găsească alternative virtuale.

Spre exemplu, mai jos puteți vizualiza evoluția numărului de căutări pentru aplicațiile Skype și Zoom în România comparativ cu Regatul Unit. Zoom este, de departe, căutarea preferată, chiar dacă și Skype își are adepții săi (vezi mai jos).

Comparație căutări pentru aplicațiile „Skype” și „Zoom” pe teritoriul României vs. teritoriul Regatului Unit, ultimele 30 de zile (via Google Trends).

Dacă excludem din reprezentarea grafică căutările legate de Zoom, vom observa că „bătălia” se dă, în special, între Teams și Slack plus Webex. Cert este că, la fel ca în cazurile prezentate mai sus, și aici se poate observa răspunsul organizațiilor și a indivizilor la provocările create de pandemie de la mijlocul lunii martie.

Comparație căutări pentru aplicațiile „Microsoft Teams”, „Slack”, „Cisco Webex”, „Google Hangouts”, „GoToMeeting” pe teritoriul României, ultimele 30 de zile (via Google Trends).

De ce este Teams atât de căutat? Din cauza integrării.

Dincolo de factori care țin de branding, marketing, poziționare strategică pe piață, așa cum arătam mai sus, este mult mai ușor să administrezi un singur sistem față de mai multe sisteme. Un scenariu plauzibil este că o bună parte din companiile care utilizau până acum doar Office 365 să fi fost nevoite să adopte Teams drept soluția care le oferă cea mai bună integrare verticală și cele mai puține bătăi de cap legate de mentenanță și suport (toate fiind parte a ecosistemului Microsoft).

Integrarea este o pârghie importantă pentru orice companie. Ca să ilustrez, vreau să vă descriu mai jos un exemplu care arată avantajele integrării în domeniul infrastructurii IT.

Ecolor: sisteme în producție integrate într-o infrastructură IT

Ecolor a luat ființă în România în 2005 și este, fără îndoială, una dintre poveștile de succes în industria producătorilor de mobilă. Ne-au făcut o impresie foarte bună, atunci când ne-am intersectat cu ei în 2010. Am văzut un model de viziune în acțiune:  căutau noi metode și tehnologii care să le permită să devină un partener ideal în ecosistemul lor. De-a lungul timpului am văzut, an după an, investițiile lor în organizarea halelor de producție, în special în roboți industriali.

Decizia lor de a investi în sisteme robotice a avut din start niște implicații: generau date, care trebuiau stocate și procesate în SAP; flux de lucru, care trebuia monitorizat în timp real; asigurarea securității la locul de muncă; personal care să se ocupe de administrarea unui număr tot mai mare de sisteme IT, ca să menționăm doar câteva.

Monitorizarea fluxului de lucru și a siguranței la locul de muncă sublinia nevoia unui sistem de supraveghere video. Dar cum anume: un sistem separat sau un sistem video integrat în infrastructura IT? Cum vor fi accesate și de către cine? Unde vor stoca datele? Vom putea face monitorizarea sistemelor de la distanță pentru a minimiza accesul personalului auxiliar în hala de producție? Care sunt costurile soluției pe întreaga durată de viață a echipamentelor, inclusiv mentenanța? Întrebări de acest gen duc la realizarea unui sistem integrat care își dovedește în timp fiabilitatea și reziliența.

Nu mulțimea sistemelor este cheia. În 2005 încărcam un camion pe zi. Astăzi încărcăm 15-20 de camioane cu marfă pe zi. Pentru noi, întregul a devenit mai mult decât simpla sumă a părților componente.” 

Tiberiu Bărăian

Director adjunct, Ecolor

În al doilea rând, oricine analizează o fabrică modernă din punct de vedere a sistemelor realizează că automatizarea și digitalizarea aduc și vulnerabilități. Datele Ecolor trebuie să ajungă către servere și de la servere către fabrică, fără întârzieri, fără să fie interceptate și fără să fie alterate. Or, acest lucru implică automat latențe foarte mici și lățimi de bandă generoase, dar și conectivitate redundantă.

În al treilea rând, viziunea lor are implicații cu privire la politica legată de personalul IT. O fabrică modernă reclamă un nivel de expertiză IT destul de ridicat. Spre exemplu, Ecolor a început cu o mașină virtuală pe un server, iar astăzi au nevoie de 11. Ecolor a avut de ales între a angaja personal IT redundant (i.e., să poate acoperi trei schimburi, plus situațiile imprevizibile de tipul concediilor sau plecărilor).

Acestea au fost câteva dintre motivele pentru care Ecolor a decis în 2010 să externalizeze administrarea şi mentenanța infrastructurii lor IT către efectRO şi să mute cât mai multe sisteme IT în cloud, în centrul nostru de date.

Digitalizare în producție – Studiu de caz Ecolor | efectRO

„Planul de continuitate” – o problemă cronică devine acută odată cu carantina

Îndrăznesc să afirm că creșterea căutărilor legate de „planul de continuitate” (atât în România, cât și în Regatul Unit) este elementul cel mai indicativ cu privire la capacitatea limitată a organizațiilor de a face față unei crize în mod sistematic și deliberat.

Practic, aceste seturi de date ne arată că la începutul lui martie 2020 o mulțime de utilizatori caută și „descoperă” sau re-descoperă Planul de continuitate (vezi mai jos):

Comparație căutări pentru cuvintele-cheie „plan continuitate” pe teritoriul României vs. „continuity plan” pe teritoriul Regatului Unit, ultimele 12 de luni (via Google Trends).

Planul de continuitate a activității, cunoscut și ca planul de continuitate a afacerii, sau PCA (în eng. Business Continuity Plan / BCA) reprezintă o serie de proceduri documentate care ghidează organizațiile în vederea recuperării, reluării și restabilirii unui nivel predefinit al operațiunilor în urma unei întreruperi a activității. Este important să înțelegem că PCA este parte a unui proces mai cuprinzător – managementul continuității afacerii, și nu doar unul dintre multele documente impuse de birocrația modernă.

O simplă parcurgere a elementelor care compun un PCA ne arată că acest document se vrea a fi rezultatul unui proces de analiză de durată, planificare și decizii asumate:

  • analiza riscurilor potențiale cu care se poate confrunta o organizație,
  • identificare componentelor critice pentru organizație în vederea prioritizării lor,
  • identificare rolurilor și responsabilităților,
  • condițiile de activare și dezactivare,
  • mijloacele de comunicare,
  • modul în care vor fi gestionate incidentele,
  • resursele necesare recuperării etc.

Prezența unui număr mare de căutări legate de acest subiect la începutul lui martie indică faptul că multe organizații au neglijat sau scurtcircuitat procesul de elaborare a unui plan de continuitate care să poate face față măsurilor de izolare socială. Ținând cont de toate trend-urile de căutări evidențiate mai sus (nevoia de cloud, acces de tip remote, VPN, soluții pentru conferințe video etc.) putem îngusta și mai mult aria problemei: planurile de continuitate s-au dovedit a fi incapabile să țină cont de asigurarea continuității infrastructurii IT.

Ați putea să îmi reproșați că este absurdă cerința ca organizațiile să se pregătească pentru o pandemie imposibil de prezis; pe această logică, de ce să nu încropim planuri pentru izbucnirea unui super-vulcan, război nuclear, lovitura unui asteroid etc.? Răspunsul ar fi că planul de continuitate nu ține atât de mult de scenarii specifice (cum ar fi, spre exemplu, carantina în cazul unei pandemii), ci mai mult de gândirea unor proceduri și infrastructuri care pot oferi un grad ridicat de certitudine în legătură cu continuitatea activității, indiferent de scenariu. 

Pandemia evidențiază că infrastructura IT fie nu este o prioritate, fie este implementată necorespunzător. În mod normal, procesul de elaborare a PCA ar fi trebuit să evidențieze că majoritatea organizațiilor din ziua de azi depind în mod critic de infrastructura IT. Ar fi trebuit ca organizațiile să înceapă să pună întrebări simple, de tipul: ne putem desfășura activitatea dacă nu merge serviciul de email? Dacă furnizorul nostru de internet nu poate presta servicii? Dacă trebuie să accesăm ERP-ul din altă locație decât de la birou? Dacă trebuie să avem o ședință cu persoane care nu sunt / nu pot fi în aceeași locație?

Conducerea organizațiilor ar fi trebuit să interogheze fie persoanele responsabile de IT din cadrul companiei, fie companiile cărora le-au încredințat prin contract serviciile de mentenanță IT cu privire la vulnerabilitățile evidențiate de auditul infrastructurii IT, dacă au soluții la aceste scenarii, care ar fi costurile și durata de implementare ș.a.m.d.

VDI pentru Blue Projects sau cum poate fi asigurată continuitatea prin design

Blue Projects este o companie multinațională fondată în 2007. Domeniul lor de expertiză este furnizarea de servicii de consultanță, proiectare și management de proiect în domeniul construcțiilor industriale și comerciale. Prin 2015, chiar de la începutul relațiilor noastre cu ei, ne-am dat seama că avem valori similare.

Blue Projects punea accent serios pe înțelegerea nevoilor specifice ale clienților lor, ceea ce ne propuneam și noi. Îi vedeam că abordează cu maximă seriozitate valoarea expertizei, atât în propria lor echipă, cât și la colaboratorii lor, printre care ne număram și noi. Doreau să ofere soluții integrate clienților lor – exact strategia pe care le-o propuneam și noi pe partea de infrastructură IT. Menționez acest episod doar ca să exemplific un adevăr bine știut – este mult mai ușor să lucrezi cu cineva care știe ce vrea sau, cel puțin, are aceleași valori și principii.

Și acum exemplul promis.

În domeniul proiectării proceselor industriale, Blue Projects are nevoie de trei ingrediente: un software de proiectare 3D, un inginer proiectant bine pregătit, o stație de lucru care să aibă resursele necesare pentru a rula acest software.

Blue Projects are prezență internațională, prin urmare are birouri și echipe de proiectanți în mai multe orașe. Până de curând acest lucru nu prezenta o problemă. Câtă vreme proiectanții sunt în aceeași locație, latențele între stațiile de lucru sunt foarte mici. Modificările introduse de oricare dintre proiectanți pot fi văzute în timp real de ceilalți colaboratori. Exemplul nostru are de a face cu dificultățile introduse de un al patrulea ingredient: capacitatea de a conlucra în timp real cu alți ingineri pe același proiect 3D.

Anul trecut, partenerii noștri de la Blue Projects au contractat proiecte pentru rezolvarea cărora se impunea colaborarea proiectanților din mai multe centre – Cluj, București și Varșovia. Și nu orice tip de colaborare, ci colaborare în timp real. Sigur, există soluții să te poți conecta de la distanță pe stația de lucru a colegului tău, dar munca devine foarte frustrantă: tinde să devină secvențială sau chiar se blochează.

Soluția? În primă instanță, achiziționarea de stații de lucru suplimentare și transport & cazarea proiectanților către acea locație. Evident, o soluție costisitoare și nu tocmai eficientă, nu doar în termeni financiari, ci mai ales în termeni de presiune asupra vieții personale și familiale pentru toți cei implicați. Un proiect, treacă-meargă. Ce faci când îți dai seama că vor mai veni proiecte de același fel și că avantajul tău competitiv este tocmai capacitatea de a oferi o soluție care depinde de această muncă colaborativă?

Noi le-am propus să testeze o soluție de tip VDI (Virtual Desktop Interface). Practic, virtualizăm o stație de lucru – sistem de operare + aplicații, în special software-ul lor de proiectare 3D – și o găzduim pe un server performant. Astfel, stația de lucru devină disponibilă oricui are datele de acces necesare, oricând, de pe orice dispozitiv conectat la internet.

Am implementat rapid un VDI pilot și le-am dat datele de acces ca să îl testeze. Ne amintim și acum cu plăcere de momentul în care au accesat soluția, pentru că am văzut satisfacția lor atunci când au văzut că aplicația de proiectare rulează chiar mai bine în VDI decât pe o stație de lucru, iar prezența colaboratorilor activi pe același proiect nici nu constituie un impediment. Ne-am simțit un pic magicieni atunci când le-am explicat că putem scala soluția instantaneu în funcție de resursele de care au nevoie și le putem oferi un SLA foarte competitiv pentru că soluția VDI „moștenește” toate redundanțele, securitatea și setările de backup pe care le are infrastructura care găzduiește soluția VDI.

Munca colaborativă via VDI – Studiu de caz Blue Projects | efectRO

De ce spuneam că soluțiile de tip VDI au cerințe de continuitate incorporate din proiectare? Deoarece oferă elementele critice unui bun plan de continuitate:  Flexibilitate, Vizibilitate,  Colaborare.

– Clientul nostru are flexibilitate pentru că îl putem asigura contractual de acces la informații & aplicații critice pentru activitatea sa din orice locații sau locații multiple. În același timp, permite ca documente sau proiecte critice pentru organizație să poată fi arhivate redundant, și apoi accesate, într-o singură locație centralizată.

– Oferim clientului nostru vizibilitate: îi putem pune la dispoziție o interfață centralizatoare prezentate în timp real despre fluxul informațional legat de serviciul VDI, iar în cazul în care are loc un incident care afectează în vreun fel procesul, putem reface stația de lucru virtuală imediat.

– Cel mai important pentru clientul nostru este asigurarea colaborării: schimbul de informații între angajați, echipa de management sau colaboratori externi este mult mai puțin dependent de factori externi și mult mai eficient.

Chiar dacă scenariul la care am răspuns inițial este total diferit de limitările actuale impuse de carantină, soluția s-a dovedit la fel de aplicabilă, asigurând continuitatea activității companiei.

Digitalizarea și etica responsabilității față de angajați, parteneri & colaboratori

Cererea crescută pentru o serie întreagă de servicii IT înregistrată de la începutul declarării stării de urgență în România indică o nevoie reală legată de digitalizare, care nu mai poate fi ignorată. Telemunca, accesul remote și transferul multor componente critice ale organizațiilor în cloud sunt fenomene inevitabile, nu doar pentru că sunt mai eficiente, ci și pentru că oferă un grad sporit de anduranță organizațiilor, fie că vorbim despre organizații publice, private, non-profit sau bazate pe profit. Integrarea sistemelor IT este atât un avantaj, cât și o necesitate din punct de vedere a uzabilității și a mentenabilității.

În majoritatea cazurilor, organizațiile nu sunt eficiente încercând să dezvolte propriul bazin de resurse umane și expertiză în domeniul IT care să poată suplini aceste nevoi. Acest lucru face ca identificarea unor parteneri externi pentru monitorizarea și administrarea infrastructurii IT și consultanță IT să fie una dintre prioritățile de bază pentru organizațiile care doresc să rămână competitive.

Pandemia ne mai arată și faptul că ideea de continuitate a activității și planul de continuitate, ca expresie al acesteia, sunt rezultatul unor investiții de timp și analiză și nu pot fi implementate fără a se ține cont de componenta infrastructurii IT.  În fapt, planul de continuitate duce inevitabil spre digitalizare și cloud. Fie în mijlocul crizei, fie în perioadă de funcționare normală, orice organizație care nu se află într-un proces de digitalizare și îmbunătățire continuă a infrastructurii sale IT, își crește gradul de risc.

Or, „creșterea gradului de risc” nu este doar o expresie din manualul de management, ci este, în ultimă instanță o problemă de etică. Neglijența în acest domeniu poate avea repercursiuni cât se poate de reale pentru angajați, parteneri, furnizori.

Cum să lucrezi eficient & fără frustrări zilnice pe platforma Fișiere.ro

Cum să lucrezi eficient & fără frustrări zilnice pe platforma Fișiere.ro

Cum să lucrezi eficient & fără frustrări zilnice pe platforma Fișiere.ro

Cum poți lucra eficient & fără frustrări zilnice pe platforma Fișiere.ro

Ce este și ce face Fișiere.ro?

Fișiere.ro este un serviciu de stocare a fișierelor în cloud (i.e. cloud file sharing).

În esență, Fișiere.ro oferă utilizatorilor o metodă simplă de a stoca, accesa, sincroniza și partaja (i.e. share) fișiere, cu alți oameni și cu alte dispozitive. Sistemul permite să lucrezi cu orice tip de fișiere: Word, Excel, imagini, video etc. Fișierele pot fi accesate de oriunde și de pe aproape orice dispozitiv conectat la internet.

Majoritatea utilizatorilor sunt atrași de posibilitatea de a lucra simultan cu alte persoane pe aceleași fișier. Astfel, fișierele în cauză pot fi distribuite către alte persoane, oferindu-le colaboratorilor dreptul de a le vizualiza sau chiar de a le modifica /edita.

Pentru companii, avantajele utilizării unui sistem de cloud file-sharing sunt legate în primul rând de productivitate, securitate și reducerea costurilor

Motivul #1 pentru care clienții aleg Fișiere.ro: prețul imbatabil

Fișiere.ro nu este singurul furnizor al serviciilor de acest tip. Alte servicii de stocare a fișierelor în cloud sunt chiar mai bine cunoscute. Aproape sigur ai auzit despre: Google Drive, Dropbox, Box, iCloud, OneDrive, Egnyte, ShareFile.

Indiscutabil, giganți precum Google, Apple sau Microsoft sunt capabili să ofere servicii de file-sharing mai complexe și mai cizelate. Dar când vine vorba de preț, veți constata destul de repede că Fișiere.ro este pur și simplu imbatabil.

Spre deosebire de toți competitorii menționați mai sus, Fișiere.ro nu taxează serviciile sale după numărul de utilizatori. Ești taxat doar după spațiul de stocare de care ai nevoie. Astfel, la un număr mic de utilizatori, s-ar putea să găsești un preț echivalent cu cel cerut de Fișiere.ro; însă cu cât numărul de utilizatori crește, cu atât va crește diferența dintre oferta competitorilor vs. oferta Fișiere.ro.

Dacă tragem linie: pentru vasta majoritate a companiilor, prețul Fișiere.ro este imbatabil.

Top frustrări legate de utilizarea platformei fișiere.ro: fișiere editate local de mai multe persoane concomitent

Oferim Fișiere.ro și suport clienților care utilizează această platformă de file-sharing de circa doi ani. Fiind în “prima linie”, am putut observa care sunt problemele și frustrările utilizatorilor legate de platforma Fișiere.ro.

De departe, frustrarea cea mai mare a utilizatorilor este legată de dificultatea colaborării cu alte persoane în editarea unui fișier, atunci când acest fișier este deschis și editat local.

La ce ne referim?

Fișiere.ro permite deschiderea fișierelor în două moduri distincte:

  1. Metoda 1: accesarea fișierelor local, pe desktop / laptop. În acest caz utilizatorul descarcă și își instalează aplicația pentru PC; odată instalată și configurată, utilizatorul își poate vizualiza și accesa fișierele direct din This PC, pe Windows, sau Finder, pe MacOS. Fișiere.ro apare sub forma unui disk virtual).
  2. Metoda 2: accesarea fișierelor în aplicația web. Astfel, utilizatorul se loghează pe platforma Fișiere.ro în browser-ul său preferat: Chrome, Firefox, Safari etc.

Indiscutabil, majoritatea utilizatorilor preferă metoda 1, adică accesarea fișierelor în modul Local, adică pe PC, pentru că această metodă este mai ușoară. În plus, dacă ne bazăm pe numărul de tichete de suport înregistrate de noi, șansele să dai de probleme sunt minime dacă fișierul este accesat / editat de către o singură persoană (deci, excludem scenariul colaborării concomitente pe același fișier), indiferent dacă o faci în aplicația web sau local.   

Rezumând:

  • în utilizarea platformei Fișiere.ro problemele apar atunci când utilizatorii, obișnuiți deja să acceseze fișierele local, încearcă să colaboreze la editarea / modificarea unui fișier, accesându-l local și concomitent (adică Metoda 1)
  • Colaborarea în vederea editării unui fișier (document Word sau Excel) nu întâmpină probleme atunci când are loc în cadrul aplicației web (adică Metoda 2)

De ce apar probleme atunci când utilizatorii încearcă să colaboreze la editarea unui fișier, accesând-ul direct de pe un dispozitiv local?

Ca să explicăm de ce apar probleme atunci când mai mult de un utilizator editează același fișier pe un dispozitiv local (Metoda 1), hai să replicăm scenariul și să vedem ce se întâmplă.

Atât eu, cât și colegul meu Mihai avem acces la Fișiere.ro. În plus, ambii avem instalată aplicația care permite accesarea fișierelor direct pe dispozitivul local (laptop în cazul meu și PC în cazul colegului meu).

Pasul 1. Accesare & editare locală: Crearea și accesarea unui document Excel aflat în cloud pe platforma Fișiere.ro

Având instalată aplicația Fișiere.exe, pot accesa partiția cloud a companiei efectRO direct din Windows Explorer. Partiția Fișiere.ro (U:) apare în lista partițiilor disponibile, sub Local Disk (C:) și Local Disk (D:) și este disponibilă cât timp am acces la internet (vezi imaginea de mai jos).

Am creat local, pe laptopul meu, un folder numit „Test fișiere.ro” în care am creat un fișier Excel pe care l-am numit „Exemplu 1”.

Cum arată un folder și un fișier Excel pe partiția cloud Fișiere.ro pe un PC, după ce este instalată aplicația Fișiere.exe.

Partiția U: este o partiție virtuală. Este ușor să uit acest aspect pentru că fișierele se comportă ca și cum ar fi direct pe laptopul meu: dacă dau dublu click pe fișierul Excel, acesta se deschide la fel ca orice alt fișier Excel.

Pasul 2. Accesare & editare locală: Două sau mai multe persoane accesează & modifică concomitent documentul

Să presupunem că lucrez la un set de date important pentru compania mea.

Exemplu de document Excel, aflat în cloud pe platforma Fișiere.ro, deschis local pe PC-ul meu.

Până aici, totul este perfect. Ce se întâmplă dacă am nevoie de contribuția colegului meu? Din moment ce platforma Fișiere.ro îmi permite atât mie, cât și colegului meu să accesăm acest document, de ce nu am putea lucra ambii concomitent? Zis și făcut! Îl rog pe Mihai să acceseze documentul și să lucreze împreună cu mine.

Prima problemă cu care ne confruntăm dacă lucrăm local (Metoda 1) este că nici eu și nici el nu vede ce modificări face celălalt! Documentul meu Excel arata la fel, chiar dacă Mihai adaugă coloane noi de date, face calcule, re-organizează datele etc.

Singurul indiciu pe care îl am că mai este o persoană care modifică fișierul meu este o notificare care apare pentru câteva secunde în colțul dreapta jos al ecranului meu (vezi imaginea de mai jos).

Notificarea din partea aplicației Fișiere.ro conform căreia fișierul meu a fost accesat & modificat de către un alt utilizator care are acces la fișier.

Pasul 3. Accesare & editare locală: Unul dintre utilizatori dorește să salveze modificările făcute în fișier și ajunge să șteargă ce a lucrat celălalt

Dacă ignor sau nu observ notificarea și încerc să salvez documentul meu Excel după ce am primit o astfel de notificare, Fișiere.ro mă avertizează că un alt utilizator a accesat și modificat între timp fișierul pe care lucrez și, deci, ar trebui să salvez documentul sub un alt nume pentru a nu pierde modificările făcute.

Aplicația Fișiere.ro mă avertizează că un alt utilizator a accesat și modificat fișierul pe care lucrez și, deci, ar trebui să salvez documentul sub un alt nume pentru a nu pierde modificările făcute.

Mulți utilizatori ignoră această notificare; pentru că nu poate fi închisă această fereastră, mulți o trag în partea de jos a ecranului pentru a nu-i deranja. Este foarte important să nu faci asta!

De ce? Pentru că în acest moment există două versiuni ale aceluiași document Excel. Dacă atât eu cât și colegul meu continuăm să lucrăm pe versiunile noastre ale documentului riscăm ca unul dintre noi să piardă tot ce lucrează.

Accesare & editare locală: explicații și concluzii

De ce ajung utilizatorii frustrați atunci când încearcă să acceseze local și să  colaboreze la editarea unui document?

Răspunsul scurt: utilizatorul care decide să salveze documentul pe care lucrează va suprascrie modificările sale peste modificările celuilalt utilizator.

Ce poți face?

Soluția pe moment: dacă ai ajuns în situația pe care am descris-o mai sus, trebuie să îți salvezi imediat versiunea ta a fișierului sub alt nume! Evident, soluția nu este una ideală pentru că dacă dorești să păstrezi munca depusă de toți utilizatorii implicați, va trebui să analizezi ulterior cele două versiuni și să le combini.

Fișierele care sunt accesate și modificate de mai multe persoane trebuie salvate sub un alt nume pentru a nu se pierde modificările făcute.

Soluția pe termen lung, recomandată de efectRO: Atât platforma Fișiere.ro, cât și Microsoft Excel nu au fost proiectate să fie folosite pentru editarea documentelor în colaborare pe aplicația desktop (adică, local). Acesta este motivul pentru care colaborarea în vederea editării documentelor trebuie făcută pe aplicația web a platformei Fișiere.ro. 

Aplicația web Fișiere.ro este metoda recomandată de a edita documente în colaborare

Am arătat mai sus un scenariu concret, frecvent raportat, în care lucrul cu Fișiere.ro duce la frustrări și probleme. Să vedem acum scenariul alternativ în care utilizăm aplicația web Fișiere.ro.

Pasul 1. Accesare & editare în aplicația web: Accesarea unui document Excel

Pentru a accesa aplicația web, tot ce trebuie să fac este să deschid un web browser. Spre exemplu, Chrome, Firefox sau Safari.

În fereastra de căutarea a browser-ului scriu adresa platformei: www.fisiere.ro. Odată ce mi se încarcă pagina principală, navighez în bara de meniu și apăs pe „Login” (vezi imaginea de mai jos).

Accesarea aplicației web Fișiere.ro are nevoie doar de un browser (e.g. Chrome, Firefox sau Safari) și conexiune la internet.

Pentru a mă autentifica (i.e. Log In) introduc numele meu de utilizator (în majoritatea cazurilor acesta va fi sub forma unei adrese de email) și parola mea.

Pagina de Login pentru accesarea aplicației web Fișiere.ro

Odată autentificat în aplicația web pot face diverse operațiuni cu fișierele și folderele la care am acces. Spre exemplu, în imaginea de mai jos este afișat conținutul folderului “Test Fișiere.ro”.

Exemplu de folder deschis în aplicația web Fișiere.ro.

Deschiderea fișierelor în aplicația web este la fel de simplă ca și deschiderea fișierelor pe laptop. Singurul lucru de care trebuie să ții cont este că inițial aplicația web deschide fișierele în modul Read-Only, adică doar pentru vizualizare. Pentru a putea edita fișierul trebuie apeși butonul „Edit in Browser”.

Inițial, aplicația web Fișiere.ro deschide fișierele în modul Read-Only; pentru a putea începe editarea, dă click pe Edit in Browser.

Să presupunem că lucrez la documentul Excel Exemplu 1. După o perioadă de timp de lucru, mi se declanșează reflexul de a apăsa tastele Ctrl+S pentru a salva munca. Descopăr că, de fapt, nu este nevoie.

Modificările mele se salvează automat; bara de sus mă informează despre acest lucru în permanență: lângă numele fișierului meu apare scris “Saved”. În partea stângă a barei de sus, mi se spune că acest fișier este în cloud, pe „FileStorage”, iar în partea dreaptă a barei de sus, programul îmi aduce aminte că sunt autentificat cu numele de utilizator adrian.murzac{at}efect{dot}ro.

Pe platforma Fișiere.ro, modificările efectuate în cadrul unui fișier sunt salvate automat fără să fie nevoie de vreo comandă manuală.

Pasul 2. Accesare & editare în aplicația web: Două sau mai multe persoane accesează & modifică concomitent documentul

Ce se întâmplă dacă am nevoie de contribuția colegului meu?

Din moment ce platforma Fișiere.ro îmi permite atât mie, cât și colegului meu să accesăm acest document, de ce nu am putea lucra ambii concomitent? Zis și făcut! Îl rog pe colegul meu Mihai să acceseze documentul și să lucreze împreună cu mine.

Primul avantaj pe care îl remarc imediat este că atunci când utilizez aplicația web văd imediat, în bara din meniu, că Mihai a deschis și editează fișierul în cauză; pot vedea inclusiv celula din tabel în care lucrează în acest moment (vezi imaginea de mai jos):

Un fișier Excel, deschis de către mine și editat concomitent de încă o persoană.

Pasul 3. Accesare & editare în aplicația web: Ce se întâmplă dacă colaboratul trebuie să ia o pauză?

Să presupunem că lucrăm ambii jumătate de oră pe acest document. La un moment data, colegul meu își ia o pauză sau este nevoit să rezolvă o sarcină mai presantă. Îmi lasă chiar și un comentariu prin care mă anunță că va reveni în jumătate de oră.

Un fișier Excel accesat concomitent de două persoană, una din care decide că are nevoie de o pauză.

În câteva minute voi observa că statutul colegului meu se schimbă în “Inactive”. Eu pot edita în continuare documentul fără dificultăți.

Statutul colegului meu se schimbă în “Inactive” după câteva minute.

Pasul 4. Accesare & editare în aplicația web: Ce se întâmplă dacă utilizatorul trebuie să ia o pauză?

Dacă eu, utilizatorul, îmi întrerup activitatea timp de aproximativ 15-20 minute, Fișiere.ro mă avertizează că sesiunea mea a expirat și că trebuie să reactualizez pagina.

Sesiune expirată la editarea unui fișier Excel.

Din nefericire, vei consta că în această situație platforma Fișiere.ro vă induce un pic în eroare: dacă apeși (inclusiv dacă o faci în mod repetat!) pe butonul Refresh, vei costata ca nu se întâmplă mare lucru. Fereastra va rămâne blocată pe reactualizare.

Dacă sesiunea ta de lucru pe aplicația web Fișiere.ro a expirat, soluția cea mai rapidă este să închizi fereastra și să te re-autentifici.

Soluția? Trebuie să închizi fereastra și să dai un nou Log In. De cele mai mule ori, nu va mai trebui să re-introduce parola pentru că platforma încă te ține minte. Documentul pe care lucrai înainte de expirarea sesiunii nu este afectat.

Accesare & editare în aplicația web: Ce se întâmplă dacă pierd conexiunea internet și/sau se blochează sincronizarea?

Ce se întâmplă atunci când, din varii motive, pierzi conexiunea internet?

Nu mare lucru: Excel Online te va informa că nu mai ești conectat la server și că tot ce ai făcut în document după pierderea conexiunii încă nu este salvat.

Aplicația web Fișiere.ro te informează dacă pierzi conexiunea internet în timpul unei sesiuni de lucru; odată restabilită conexiunea internet, sincronizarea va fi reluată automat.

În marea majoritate a cazurilor odată restabilită conexiunea, documentul va fi sincronizat automat și va fi salvat.

Pentru orice altă problemă nu ezita să contactezi echipa noastră la support [at] efect [dot] ro – (24/7). Alternativ, fă-ți rapid un cont pe efectRO HelpDesk și poți depune tichete de suport la care știi că primești prompt răspuns & suport.

Concluzii

Cum am răspunde, acum la final de articol la întrebarea implicită din titlul acestui articol: cum poți lucra eficient & fără frustrări pe platforma Fișiere.ro?

  1. Dacă dorești doar să accesezi documente aflate pe platforma Fișiere.ro, o poți face atât din aplicația web, cât și local, direct pe PC-ul tău.
  2. Dacă dorești să editezi documente (de unul singur) aflate pe platforma Fișiere.ro, o poți face atât local, cât și online în aplicația web.
  3. Dacă dorești să colaborezi cu alți utilizatori la editarea unui document aflat pe platforma Fișiere.ro, îți recomandăm insistent să o faci doar din aplicația web.

Pwned?! 3 pași ca să te asiguri că emailul și parola ta sunt din nou în siguranță

Pwned?! 3 pași ca să te asiguri că emailul și parola ta sunt din nou în siguranță

Pwned?! 3 pași ca să te asiguri că emailul și parola ta sunt din nou în siguranță

Trei pași ca să te asiguri că emailul & parola ta sunt din nou în siguranță

Sumar

Anul trecut a fost martorul unui număr impresionant de spargeri de baze de date. Devine din ce în ce mai clar că trebuie să ne învățăm să respectăm niște reguli de igienă digitală: modul în care generăm parole, modalități și unelte care ne pot ajuta să verificăm tăria parolelor, modul în care le schimbăm după o perioadă de timp, modul în care verificăm sursele care ne pot informa dacă avem conturi & parole compromise etc. În acest articol discutăm cât se poate de concret despre parole bune și parole proaste. Îți arătăm și câteva metode excelente de a genera parole puternice care să fie și ușor de ținut minte.

Pasul 1: Să începem cu… sfârșitul: Ia-ți 5 minute și verifică acum dacă ai conturi sparte

Începem cu sfârșitul, ca să zicem așa, pentru că… TL;DR. Sau poate ești grăbit.

Cum vreau să mă țin de promisiunea din titlu, încep prin a-ți spune de la început cum poți să îți verifici că email-ul și parola ta sunt (încă) sigure. Sau, dacă ar fi să fiu mai exact, că nu există dovezi (în diverse baze de date, forumuri, website-uri obscure de pe deep web etc.) că ar fi fost compromise.

Mergi pe https://haveibeenpwned.com/ . Arată așa:

Pagina principală a site-uliu HIBP, unde poți verifica dacă email-ul tău apare ca fiind compromis.

Introdu în căsuța de căutare unul din conturile tale de email și dă-i o căutare.

Nu știi ce înseamnă pwned? Ca să nu ne întrerupem, iată varianta scurtă: e un termen provenit probabil din argoul internetului, cu sensul de “te-am luat” sau “te-am aranjat”.

Dacă ești curios, mai jos ai niște explicații cu privire la originea și semnificația termenului.

Dacă nu ești curios în legătură cu originea termenului pwn / pwnd /pwnt, sari direct mai jos.

Paranteză: sensul & originea termenului pwned / pwnd / pwnt

Teoria provenienței în contextul șahului

Conform acestei teorii, originea termenului poate fi atribuită predilecției campionului mondial de șah (1927-1935, 1937-1946) de origine rusă Alexandr Alekhine de a utiliza pionii (în engleză “pawn”). Conform teoriei, înaintea unui meci cu Max Euwe, Alekhine, fiind băut, i-ar fi spus cum are de gând să îl bată – “I will pawn to your knight”.

Teoria proximătății pe tastatura QWERTY

Probabil cea mai simplă explicație oferită: pe tastatura QWERTY (aia pe care scrii și tu, da; dar să știi că există și alte aranjamente) literele p și o sunt învecinate și, în grabă, “own” poate fi scris greșit “pwn”. Briciul lui Ockham face restul…

Teoria provenienței din epoca “phone hacking”

Primii hackeri și-au folocalizat atenția asupra manipulării sistemelor telefonice. Mulți termeni din acea perioadă sunt formați prin înlocuirea literei “f” sau alăturarea literelor “ph” sau ”p” în fața unui alt cuvânt: phreaking, phishing etc. Ergo, pwned = phone owned.

Teoria provenienței din gaming / leetspeak

Leetspeak (1337speak) este o modalitate mai specială de a comunica (ține cont că apare la începuturile erei internet) în care literele sunt înlocuite cu cifre similare ca formă sau similare fonetic: 1 în loc de L, 3 în loc de E, 13 în loc de B, 5 în loc de S etc. Conform teoriei, termenul se referă la acțiunea de a obține privilegii de root / administrator.  Pwned = acces neautorizat cu drepturi de administrator de sistem.

Motorul de căutare încorporat în pagină verifică tot felul de baze de date sparte cunoscute în lumea securității cibernetice. Dacă vrei să știi mai mult, citește FAQ-ul site-ului HIBP; e un bun punct de plecare.

Spre exemplu, noi am verificat emailurile care țin de domeniul nostru, i.e. efect.ro. Rezultatul este de un verde relaxant și, deci, acest email NU apare pe niciuna din listele cunoscute. Arată așa:

Conform HIBP, acest email @efect.ro nu apare pe listele cunoscute de emailuri sparte.

Te sfătuiesc să verifici toate conturile tale de email.

Spre exemplu, unul dintre email-urile mele personale apare ca fiind compromis pe trei site-uri. Fiind un cont mai vechi pe Yahoo, nici nu e de mirare.

Exemplu de email compromis pe 3 site-uri, conform HIBP

<Pauză, în care ar fi bine să îți verifici conturile tale>

Gata? Ți-ai verificat emailurile? Ai vreunul cu probleme?

Dacă da, nu uita să mergi mai jos pe pagina HIBP, unde vei găsi informații în plus legate de sursa din care au fost “extrase” datele despre contul tău. Vei vedea ceva de genul acesta:

HIBP îți arată sursele din care au fost “extrase” datele despre contul tău.

Spre exemplu, în cazul meu, sursa originară este probabil serviciul de music streaming Last.fm unde mi-am făcut cont mai demult. Mi-au fost compromise adresa de email, numele cu care m-am înregistrat și parola.

Dacă deja ți-ai verificat conturile și ai descoperit conturi compromise poți merge direct la secțiunea despre ce ar fi bine să faci chiar acum.

Care sunt șansele ca tu să ai conturi compromise?

Te gândești la ceva de genul: „Nu mă afectează” sau “Nu îmi pasă prea mult”?
Ei, secțiunea asta este pentru tine! Ca să vezi de ce te afectează și de ce ar trebui să îți pese!

Știu, nu e domeniul tău de expertiză, dar este aproape imposibil să nu fi auzit de hackeri și furt de date. Poate te gândești la spart baze de date de la NASA, CIA, sau ce-o mai fi prin filme.

Uită!

Gândește-te la cineva care ar vrea să pună mâna pe adresa ta de email (fie personală, fie de business) și parola ta de la acel cont (sau conturi).

Cum face hacker-ul?

Șansele să te atace pe tine, direct, sunt minime. Nu că ai fi o țintă foarte dificilă, dar nu ar fi deloc eficient. Dacă e un tip inteligent (sau tipă inteligentă) își dă seama repede că i se merită mult mai mult să depună eforturi (ilegale) să pună mâna pe o bază de date care conține jdemii de intrări de date.

Proporțional, efortul este mult mai mic. Uneori, este chiar ridicol de mic. Și asta pentru că website-ul acela unde asculți muzică online personalizată, sau pizzeria aia de la care comanzi online, sau joculețele alea la care a fost musai să te înregistrezi ca să poți afișa scorul epic pe care l-ai atins etc., nu depun eforturi prea mari ca să securizeze datele tale.

Dar, evident, ție nu ți se poate întâmpla.

Doar că, până în prezent, site-ul CyberRiskAnalytics estimează că au fost expuse nu mai puțin de 24,6 mlrd de date individuale.

Este grav când are loc o spargere a unei baze de date. Totuși, și în acest caz mai ai o șansă ca securitatea datelor tale să nu fie compromisă.

Dacă baza de date (în care apar și datele tale) să fie criptată, se numește că ai noroc. Specialiștii numesc asta “secure breach”, deoarece, cel mai probabil, datele furate nu vor putea fi valorificate. Noroc destul de chior, dacă ții cont de faptul că doar ~ 4% din bazele de date sparte sunt criptate. Deci, nu te baza pe asta.

Să revenim la anul 2018:

  • Facebook a admis că datele a vreo 90 de milioane de utilizatori au fost expuse.
  • În luna iunie, WIRED scria scandalul Exactis: Vinny Troia, un expert în domeniul securității cibernetice, a descoperit că ~ 340 de milioane de conturi au fost expuse grație neglijenței acestei companii de marketing din Florida.
  • Alte ~150 de milioane de conturi ale clienților UnderArmour au fost expuse în luna martie.
  • Am aflat în luna mai că un “bug” în stocarea identităților utilizatorilor Twitter ar fi compromis conturile a ~330 de milioane de utilizatori.

Și tot așa.

Dacă tragem linie după primele șase luni ale anului 2018, avem documentată compromiterea a 4.5 miliarde de date individuale. Atenție, din ce știm doar!

Te-am pus pe gânduri? Eu zic să te duci totuși să verifici conturile tale pe HIPB.

Pasul 2: Ce să faci dacă ai un cont de email compromis? Schimbă parola acum, dar fă-o inteligent!

Ok, în situația în care ai un cont de email compromis, este evident că va trebui să îți schimbi parola (și/sau întrebarea de verificare, dacă e cazul).

Dar mai stai doar un minut!

Când schimbi parola trebuie să o faci – sper că ești de acord, nu? – „cu cap”.

Schimbă parola, dar nu o recicla!

În primul rând, dacă vrei să schimbi parola, nu o recicla!

Dacă știi deja ce înseamnă reciclarea parolelor și nu ai nevoie de muncă de convingere cu privire la răul cosmic care derivă din această practică, sari direct aici.

Ce este “reciclarea parolelor”?

Pe scurt, re-utilizarea unei parole mai vechi.

Credeai cumva că ești singura persoană care are dificultăți în a ține minte o listă de parole? Nu, nu ești.

Cercetătorii în domeniul securității de la LogMeIn au efectuat un sondaj de opinie pe un lot de circa 2000 de persoane din SUA, UE și Australia vizavi de securitatea informațională. Aruncă un ochi peste rezultate și gândește-te dacă te surprind:

  • Circa 91% dintre cei intervievați erau conștienți de riscurile serioase la care se expun prin reciclarea parolelor.
  • Cu toate că știu la ce se expun, 59% dintre aceștia continuă să utilizeze aceeași parolă pentru toate conturile!
  • 47% din participanții la acest studiu spun că, atunci când își stabilesc parolele, nu fac diferență între conturile personale și conturile ce țin de serviciu sau afaceri.
  • 62% recunosc că folosesc aceeași parolă atât pentru conturile personale și pentru conturile de serviciu sau afaceri.

Cireașa de pe tort e că utilizatorii recunosc că folosesc parola unică pe perioade îndelungate de timp și că nu ar schimba-o dacă nu ar fi forțați de proceduri, administratori de sistem, sau ca urmare a unor evenimente care indică faptul că parola nu mai este sigură.

De ce reciclăm parolele? Ne e teamă că le uităm!

Pe șleau: reciclăm parole pentru că ne este frică că le vom uita.

Conform aceluiași studiu, 61% din cei intervievați spun că fac asta pentru că le este teamă că le vor uita.

Dacă e ceva de mirare în această cifră, este că prea puțini recunosc că au dificultăți la acest capitol. Sau, poate că au un singur cont de mail?!

Explicația mult mai probabilă pentru lipsa de stres pentru ceilalți 39%, zic eu, este că:

1) folosesc o parolă unică

2) reciclează parolele, dacă chiar sunt forțați de împrejurări.

De ce este riscantă reciclarea parolelor, mai ales pentru conturile de serviciu / afaceri?

Mă lași?! E un amărât de cont “de unică folosință”. Să-l țină hacker-ii sănătoși!”

Ești adult și vaccinat (presupun) și, în timpul tău liber, poți face ce vrei. Se presupune că știi și îți asumi riscurile la care te expui (chiar dacă, în practică, majoritatea au doar o vagă idee) atunci când te abonezi la newsletter-e, jocuri, muzică etc.

Ce se întâmplă dacă folosești aceeași parolă și în activitatea ta profesională?

Hai să luăm cazul meu: eu am vrut doar să ascult muzică, dar pentru că cei de la Last.fm și nu m-am gândit că cei de la Last.fm vor ajunge să aibă baza lor de date spartă. La un moment dat nici nu mai foloseam serviciul lor și am cam uitat de el. Ei, eu lucrez în marketing și am zeci de conturi.

Imaginează-ți, deci, că la locul meu de muncă aș fi folosit acea parolă cu care mă autentificam pe Last.fm, pentru că, nu-i așa, e mai simplu de ținut minte. Pentru contul de email de serviciu, pentru conturile de social media, pentru conturile de Google Analytics, Tag Manager, Search Console, cPanel, WordPress, Facebook, Twitter, Mailchimp etc. Toate ar fi fost potențial compromise.

Acesta este riscul – major, să știi! – la care îți expui compania ta atunci când folosești aceeași parolă și pentru conturile de email de serviciu. Dacă ar ști șeful tău la ce risc îl expui, ce crezi că ar face? Iar dacă faci asta și tu ești șeful, dă-mi voie să îți spun că problema e sistemică și îți bați singur cuie în talpă…

Ok, deci vrei (sau, trebuie) să îți schimbi parola. Totuși, înainte să o schimbi, îți recomand să mai faci ceva.

Înainte să îți schimbi parola, verifică dacă nu este deja cunoscută

În al doilea rând, verifică nu cumva noua parolă este deja listată în bazele de date care conțin parole sparte sau cunoscute.
O poți face tot HIBP, pe pagina Pwned Passwords. Arată așa:

HIBP îți arată dacă parola tastată de tine apare în listele de date personale compromise.

Spre exemplu, în imaginea de mai sus am introdus parola “qsefthuko;[\”. Pare o parolă mișto, nu? 12 caractere, conține litere și semne de punctuație.
Ei, dar vreau să observi că e foarte bine cunoscută hackerilor.

Știi de ce? De fapt, nu e ceva secret: foarte mulți utilizatori re-descoperă, spre marea lor satisfacție, metoda “genială” de a genera parole puternice prin metoda mersului în zigzag pe tastatură (vezi imaginea de mai jos).

Metodă pseudo-inteligentă de a genera o parolă.

Deci las-o baltă!

Nu este o metodă genială. Și nici nu este o parolă bună. Chiar dacă folosești metoda în altă direcție / cu alt punct de pornire etc. Și chiar dacă o introduci în HIBP și îți spune că e ok. Pentru că metoda este cunoscută și ușor identificabilă.

Important: HIBP nu îți arată că parola ta sau contul tău este sigur, ci doar că apare sau nu apare în niște liste de conturi și parole sparte / cunoscute. Care, apropo, sunt doar acele liste care au ajuns să fie făcute publice într-o formă sau alta.

Cum verifici că ai generat o parolă greu de spart prin metoda brute force?

HowSecureIsMyPassword.net estimează parola mea formată din 11 litere&cifre ca fiind slabă; 1 lună pentru a o sparge prin metoda brute force

O parolă puternică este dificil de spart. Ce înseamnă acest lucru?

Un mod de a vizualiza tăria unei parole, este de a calcula cât timp i-ar lua unui computer să încerce toate variantele până ajunge să îți identifice parola.

Spre exemplu, mergi pe HowSecureIsMyPassword. Dacă introduci o parolă în fereastra lor de căutare, vei căpăta o estimare a timpului necesar spargerii parolei prin metoda brute force.

Eu am introdus o parolă de 11 caractere, formată din cifre și litere: „1q2w3e4r5t6”. La fel ca în exemplul de mai sus, este formată prin metoda mersului în zigzag. Rezultatul poate fi văzut în imaginea de mai sus.

Dacă adaug un singur caracter și ajung la 12 caractere, parola este estimată ca fiind de tărie medie.

HowSecureIsMyPassword.net estimează parola mea formată din 12 litere&cifre ca fiind de tărie medie; 55 de ani pentru a o sparge prin metoda brute force.

Pentru a avea o parolă tare, ai nevoie de litere, cifre, semne de punctuație, caractere mari & mici. Am introdus o astfel de parolă formată din 11 caractere și estimarea a crescut la jumătate din vârsta estimată a planetei noastre.

HowSecureIsMyPassword.net estimează parola mea formată din 11 litere, cifre, punctuație ca fiind de tărie medie; 2 mlrd de ani pentru a o sparge prin metoda brute force.

Atenție, toate aceste estimări sunt făcute strict din punct de vedere al numărului de variante pe care trebuie să le verifice un computer bun. Estimarea poate fi redusa foarte mult dacă s-ar utiliza un computer mai bun. Sau, alternativ, dacă am avea o bază de date cu parole cunoscute și parola noastră ar fi listată în acea bază de date.

Exemplul meu de mai sus, cel cu parola „1q2w3e4r5t6” arată ca o parolă bună nu se reduce la numărul de caractere și la includerea unor numere. Pentru că ne temem că le vom uita, căutam metode de generare a parolelor care să ne permită “reconstruirea” lor. Evitați tentația.

Dacă vrei să scapi de această tentație (sau dacă ai pe cineva apropiat care are nevoie de intervenție), citește secțiunea de mai jos.

Dacă vrei câteva sfaturi practice legate cum poți întări parola ta, plus câteva dintre cele mai populare metode de generare a parolelor, sari direct la următoarea secțiune.

[Bonus!] Metoda simplă care te “imunizează” împotriva tentației de a genera parole proaste

Metodă simplă și rapidă de “imunizare” împotriva tentației de a pune parole slabe

Metoda nu este, evident, garantată 100%. Totuși, din experiența mea, în majoritatea cazurilor are efect. Cu o condiție: procedura trebuie reînnoită la fel ca la un vaccin antigripal.

Te asigur că e foarte simplu și (din nou) durează doar câteva minute. Tot ce trebuie să faci este să citești. Și poate să încerci să ghicești cam cum au gândit creatorii acestor parole.

Ce parole, mă întrebi? Topul parolelor idioate ale anului 2018, compilat anual de către cei de la SplashData, din care vă arăt doar primele 25:

 

Top # Parola “genială” Comentariu
1 123456 campion multiplu de câțiva ani
2 password campion multiplu, aparent, eternul loc secund
3 123456789 avansează de pe locul 6; va detrona campionii?!
4 12345678 fostul loc trei; o stea apusă?
5 12345 tenacitate fenomenală, rămâne pe aceeași poziție!
6 111111 apare subit în 2018; un pretendent neașteptat
7 1234567 Avazează de pe locul 8; fiind cu 7, e legitim, nu?
8 sunshine nou-venit 2018
9 qwerty cade de pe #4; totuși, un clasic în viață
10 iloveyou neschimbat de anul trecut; narcisism sau masochism?
11 princess nou-venit 2018; posibil, se înmulțesc casele regale…
12 admin cade de pe #11; o altă legendă care persistă…
13 welcome cade de pe #12; nu există dubii, asta e masochism!
14 666666 nou! cine ar putea sparge parola această creativă?! 
15 abc123 neschimbat; să fie numărul preșcolarilor constant?
16 football cade spectaculor 7 poziții; nu există explicații cunoscute…
17 123123 neschimbat; micuță, dar aprigă parola asta!
18 monkey în cădere de pe #13; nici tu nu ai vrea să stai pe #13…
19 654321 nou-nouț! o inversiune magnifică!
20 !@#$%^&amp;* NOU! bulină roșie pentru inspirație
21 charlie nou; aproape sigur, o apariție meteorică…
22 aa123456 nou; o incursiune periculosă în alfabet
23 donald nou; politica, bat-o vina!
24 password1 nou; o incursiune în lumea cifrelor?
25 qwerty123 nou; un văr de-a lu’ qwerty, îl știi?

Top 25 parole proaste ale anului 2018 | via SplashData

 

Eu mă opresc la top #25 parole idioate, dar, pentru imunizare mai temeinică vă recomand să parcurgeți întreaga listă, inclusiv 50-100.

P.S. Păcat că nu există o inițiativă de acest gen în Ro, nu?

Pasul 3: 5±2 ingrediente clasice ale unei parole puternice: metoda clasică, recapitulată

5 ingrediente clasice de care trebuie să ții cont dacă vrei să creezi o parolă bună

Frecvent ni se spune să ne creăm parole. De cele mai multe ori, cererea de a a-ți crea un cont & parolă sunt însoțite de câteva indicații prețioase referitoare la tăria parolei.

Care sunt ingredientele unei parole bune?

  1. lungimea sau numărul total de caractere;
  2. numărul majusculelor (litere mari);
  3. numărul minusculelor (litere mici);
  4. numărul cifrelor (e.g. 1234…);
  5. numărul simbolurilor & caracterelor speciale (e.g. !@#$%…).

Cele cinci ingrediente menționate mai sus sunt acceptate de toată lumea. La acestea se mai adaugă două cerințe care încep să fie acceptate din ce în ce mai mult:

  1. numărul de caractere care se repetă să fie minim (i.e. ideal, niciun caracter care să se repete)
  2. numărul consecutiv de caractere de un anumite tip să fie minim (i.e. ideal, litera să fie urmată de cifră sau de un simbol, etc.)

În esență, deci, contează numărul total al caracterelor și varietatea lor.

Top platforme online: recomandările actuale pentru o parolă minim viabilă

Eu mă iau după marii jucători online: câte caractere recomandă atâtea pun!

Hai să examinăm cerințele impuse la crearea parolelor pe către platformele marilor jucători în domeniul online pentru a vedea care este consensul cu privire la ce constituie o parolă minim viabilă.

După cum poți observa în tabelul de mai jos, recomandările sunt undeva între 6-8 caractere și majoritatea cer includerea cifrelor & majusculelor & simbolurilor.

Platformă

Cerințe minimale pentru parolă

Google

8 caractere (litere & numere & simboluri)

Facebook

6 caractere (numere & litere & semne de punctuație)

Amazon

6 caractere

Twitter

6 caractere

Linkdin

6 caractere

Ebay

6 caractere (1 cifră & 1 simbol)

Reddit

6 caractere

WordPress

6 caractere (sau parolă generată automat – 15 caractere)

StackOverflow

8 caractere (litere & cifre)

Microsoft

8 caractere (majuscule & minuscule & cifre & simboluri)

Comparație între cerințele minimale pentru crearea de parole pe principalele platforme online (februarie 2019).

Experții în domeniul securității: diferența între o parolă minim viabilă și o parolă bună

Dacă jucătorii mari nu cer mai mult, de ce m-aș chinui eu cu parole mai lungi și mai complexe?

Nu uita: ce vezi mai sus sunt cerințele minimale!

Mai mult, de-a lungul timpului se poate observa o tendință evidentă ca recomandările referitoare la numărul de caractere & varietatea acestora să crească.

Jucătorii pomeniți mai sus trebuie să țină în echilibru două tendințe contradictorii: pe de o parte, vor să maximizeze numărul utilizatorilor care le folosesc serviciile, iar pe de altă parte, vor să mențină securitatea conturilor la un nivel acceptabil. Motiv pentru care nu insistă atât de mult ca utilizatorii să utilizeze parole puternice.

Majoritatea experților în domeniul securității susțin, în schimb, că aceste cerințe sunt depășite și că o parolă viabilă trebuie să fie semnificativ mai complexă decât cerințele minime prezentate în tabelul de mai sus:

  • Numărul total de caractere recomandat: minim 12-15
  • Obligatorie includerea literelor mari & mici
  • Obligatorie includerea simbolurilor
  • Obligatorie includerea cifrelor

O strategie simplă ar fi, spre exemplu, să examinăm top 5 rezultate Google pentru fraza cheie “password generator”, să deschidem aceste pagini și să vedem care sunt recomandările paginilor de top pentru generarea unei parole bune.

Top 5 rezultate în motorul de căutare Google pentru fraza ”password generator”.

Primul rezultat din lista noastră – https://passwordsgenerator.net/  – este ilustrativ. Ne sugerează din start o parolă de 16 caractere care să conțină simboluri, cifre, litere mari & mici și să excludă caractere care se aseamănă.

Pagina de top afișată la căutarea unei generator de parole pe Google: exemplu de parolă recomandată de 16 caractere (cu simboluri & numere & litere mari și mici).

Te întrebi cumva: “Cum să țin minte așa ceva?!”.  Și eu mă întreb, nu ești singur.

Chiar dacă acest generator de parole ne oferă inclusiv o metodă de memorizare (vezi mai sus în imagine), eu personal nu sunt deloc sigur că o voi putea folosi cu succes… Mai mult, chiar dacă – să zicem! – aș depune acest efort, aș mai avea nevoie de încă nu știu câte parole din astea!

Deci, ce mă fac?

Soluții sugerate sunt destule: începând de la – surpriză? – carnețelul de parole, la instalarea de aplicații de gestionare a parolelor, la utilizarea de metode alternative de autentificare.

Update: În timp ce finalizam acest post, echipa ISE (companie de consultanță în domeniul securității cibernetice) publica o analiză foarte interesantă a modului în care aplicațiile de gestionare a parolelor eșuează în protecția parolei primare (master password), făcând posibilă extragerea acestea de către o persoană neautorizată.

Evident, asta nu înseamnă că aceste aplicații de gestionare trebuie demonizate sau ignorate, ci doar că există limite ale securității oferite de acestea de care trebuie să fii informat și să ții cont.

Înainte de a da a lehamite din mână, lasă-mă să îți arăt câteva metode de generare a parolelor care te ajută să creezi parole tari dar și (relativ vorbind!) ușor de memorizat. Nu durează mult!

Extra: Patru metode alternative de a crea parole greu de spart, dar (relativ) ușor de ținut minte

Patru metode de a genera parole greu de spart & ușor de memorat

Problema generării de parole tari nu este nouă. De-a lungul timpului criteriile după care o parolă este evaluată ca fiind puternică s-au înăsprit treptat, iar acest lucru a ajuns să intre în conflict cu capacitatea noastră de a memora aceste parole, de a le genera în mod regulat și de a le gestiona.

Am discutat mai sus despre metoda clasică de a genera parole tari și nu vreau să mai revin. Mai jos vreau să îți arăt câteva metode alternative de generare a parolelor. Vei observa că elementul comun pentru toate aceste metode este că încearcă să țină cont de elementul uman, i.e. modul în care memorăm.

Metoda 1: Metoda passphrase

Ce este un passphrase? Simplu spus, o propoziție / frază utilizată pe post de parolă.

Sesam, deschide-te!” – este un celebru exemplu de passphrase 😀

Cum în vremurile străvechi (anii ’90) majoritatea (toate?) sistemelor nu acceptau spațiile și/sau semnele de punctuație în cadrul parolelor, parolele erau formate dintr-un singur cuvânt. În engleză fiind, deci, password. Și lumea s-a obișnuit așa mult timp: parola=cuvânt

Personal, am dat de ideea de passphrase întâmplător, fiind fan vechi al site-ului de benzi desenate xkcd. com.  

Din ce îmi pot da seama, prin 2011(?) Randall Munroe (autorul benzilor desenate) de  publica un comix întitulat “Password Strength” în care argumenta adoptarea unei alternative mai simple, adică metoda passphrase (fraza-parolă).

“Tăria Parolelor” - unul dintre cele mai cunoscute comics-uri publicate pe xkcd.com.

După cum se poate vedea din imaginea de mai sus, Munroe propunea alegerea a patru cuvinte aleatorii pentru care utilizatorul să-și construiască o imagine mintală coerentă care să îl ajute să o memoreze.

Fiind obișnuit cu parolele de un cuvânt, ideea mi s-a părut fenomenală. Din păcate, pe atunci, nu o putea aplica peste tot, așa că am rămas tot la numitorul comun al parolei-cuvânt.

Ulterior am aflat că utilizarea pe scară largă a “dicționarelor” (i.e. liste de parole cunoscute și/sau cuvintelor dintr-o limbă, etc), face ca această metodă să fie riscantă. Evaluatoarele de parole care se bazează pe calculul permutațiilor posibile (e.g. howsecureismypassword.net) îți vor spune că da, ai o parolă puternică sau foarte puternică, chiar dacă acest lucru nu este adevărat.

Metoda 2: Metoda Passphrase bazată pe Person Action Object (POA)

În 2013 Jeremiah Blocki publică în arxiv.org un articol intitulat “Naturally Rehearsing Passwords” în care folosește metoda mnemonică descrisă de Joshua Foer în cartea sa “Memoria inteligentă: arta și știința de a-ți aminti totul”.

Metoda se bazează pe combinarea a trei elemente: Persoană + Obiect + Acțiune și funcționează așa (exemplul descris în articolul lui Blocki):

  1. Imaginează-ți o persoană care îți este cunoscută: Bill Gates
  2. Imaginează-ți un loc aleatoriu, dar interesant pentru tine: un câmp de baseball.
  3. Imaginează-ți un obiect aleatoriu: o bicicletă
  4. Imaginează-ți o acțiune aleagorie: a înghiți.
  5. Combină-le: „Bill Gates înghite o bicicletă pe un câmp de baseball
  6. În baza combinației tale, poți crea o serie de parole prin alăturarea cuvintelor: e.g. “Gatesîngbicibase”

Avantajul metodei este că poți genera o familie întreagă de parole ținând minte doar o singură imagine ( e destul de greu să uiți imaginea mintală cu Gates înghițind o bicicletă pe un câmp de baseball!).

Dezavantajul, în schimb este că metoda nu este chiar atât de simplă. În plus, poți confunda între ei membrii unei familli de parole.

Ceea ce mă împinge către metoda mea preferată: metoda lui Schneier.

Metoda 3: Metoda Schneier

Prin 2008, expertul în securitate  Bruce Schneier publica pe blogul său (și, de asemenea,  în The Guardian, unde și în prezent) un articol – “Parolele nu sunt perimate, dar modul în care noi ni le alegem este”.

Articolul a ajuns foarte citat de-a lungul anilor, pentru că propunea o metodă nouă (pe atunci) de a genera parole. În ce constă metoda? În esență, transformarea unei fraze memorabile într-o parolă:

  1. Alege o frază memorabilă. Spre exemplu: “În 98, vecinul de la 4 cânta Andrii Popa când se pilea”. Ideal este ca fraza ta să conțină 1-2 numere și măcar un semn de punctuație.
  2. Ia prima literă din fiecare cuvânt, semnele de punctuație și cifrele (notate cu roșu): “În 98, vecinul de la 4 cânta Andrii Popa când se pilea”; rezultă, din start, o parolă puternică de 14 caractere: Î98,vdl4cAPcsp
  3. Dacă fraza ta este prea simplă, o poți asezona și cu alte semne de punctuație și/sau numere.

Avantajul metodei propuse de Schneier este că parolele generate nu sunt greu de reținut, chiar dacă se pot genera parole foarte puternice.

Cât de puternică este parola pe care am generat-o mai sus?

Ca să exemplific, voi utiliza evaluatorul excelent* propus de Passwordmeter.com.

Notă: Passwordmeter.com ar putea fi unul dintre cei mai buni evaluatori de parole pe care l-am găsit; ironia face că site-ul nu este securizat, din păcate.
Exemplu de evaluare a tăriei unei parole generate prin metoda Schneier pe www.passwordmeter.com

După cum se poate vedea în imaginea de mai sus, parola este evaluată ca fiind puternică.

Evident, ar putea fi și mai puternică dacă am elimina caracterele care se repetă, literele majuscule sau minuscule consecutive, dar cred că putem fi de acord cu toții că e foarte bună și așa.

P.S.: Noi, românii avem un avantaj serios, apropo. Pentru că, nu-i așa?, noi avem caractere speciale (ăîâșț), includerea cărora mărește considerabil numărul de permutații posibile. În concluzie: nu uitați să le folosiți!

Metoda 4: Metoda Landesman

Am dat peste această metodă îmbunătățire a metodei lui Bruce Schneier în timp ce scriam / mă documentam despre parole. Dai peste tot felul de articole; multe din ele sunt, pur și simplu, repetiții pe aceeași temă. Ei, Landesman mi s-a părut că aduce ceva în plus și am decis să adaug metoda ei pe listă.

  1. Landesman pornește de la metoda descrisă mai sus: utilizarea unei fraze (memorabile pentru utilizator) de circa 8 cuvinte din care acesta să extragă prima literă.
  2. Landesman recomandă apoi să substitui anumite litere cu cifre și/sau simboluri (e.g. i cu 1 sau bară verticală/pipe |, a înlocuit cu & etc).
    Eu nu recomand să faci asta, ci mai degrabă să ai deja cifre și câteva simboluri în fraza de la care pornești. Argumentul meu? Dacă tot vorbim despre avantajul de a porni de la o frază memorabilă pentru tine, de ce să adaugi încă un strat de complexitate prin aceste substituții?Oricum, cum spuneam, ești adult și vaccinat(ă) și decizia de a-ți complica viața îți aparține.

    Nimic nou până aici. Următorul pas este elementul inovativ și util introdus de Landesman: inserarea de grupuri de trei caractere atât pentru categoria, cât și pentru platforma pentru care a fost creată parola. Iată cum:

  3. Adaugă un grup de trei litere care să reprezinte categoria de utilizare pentru parola mea: email sau streaming sau mediile sociale, etc.
    Spre exemplu, dacă aș porni de la parola generată mai sus – Î98,vdl4cAPcsp – și aș vrea să o folosesc pentru un cont de email, aș adăuga ceva de genul – em/. Rezultatul final fiind – Î98,vdl4cAPcspem/
  4. Ultimul pas recomandat de Landesman este să adaugi un grup de trei litere care să reprezinte platforma pentru care a fost creată parola.
    Să presupunem că vreau să folosesc parola nou generată pentru un cont de email pe Gmail. Continuând cu parola de mai sus, aș adăuga ceva de genul – g0g. Pentru a obține în final: Î98,vdl4cAPcspem/g0g.
  5. Poți lua această parolă generată și să îi adaugi noi “extensii” pentru toate (sau o parte din) platformele tale. Rădăcina parolei este ușor de reconstituit pentru tine, la fel și extensia. Cel mult la 6 luni poți schimba rădăcina parolei, dar poți folosi aceleași extensii.

Eu mai adaug două comentarii:

  • Dacă ți se pare că parola este prea lungă, poți reduce lungimea frazei cu care pornești, la una care are doar 8 cuvinte, așa cum și recomandă Landesman. Eu am pornit în exemplul meu de la o frază de 12 cuvinte pentru că am exemplificat metoda lui Schneier.
  • Personal mi se pare (în majoritatea cazurilor) redundantă separația pe care o face Landesman între Categorie de utilizare și Platformă. La fel de bine ai putea să encodezi doar platforma ca să mai reduci din efort.

Concluzii

Este important să menții o igienă bună a parolelor tale. Cu ajutorul site-urilor de tipul HIBP poți verifica dacă ai conturi compromise și, în cazul în care răspunsul este pozitivi, să le schimbi cât poți de repede.

Atenție, totuși, la reciclarea parolelor și la modul în care generezi parole. Alege parole bune pentru a evita consecințele pot fi foarte neplăcute. Pentru a putea aprecia mai obiectiv tăria parolei generate, verifică-o cu ajutorul resurselor & uneltelor online; poți porni de la cele recomandate de noi.

Generarea de parole, schimbarea lor periodică poate fi un chin și o sarcină dificilă, motiv pentru care am listat câteva metode care îți pot face viața mult mai ușoară.

Comunicat: Upgrade planificat al datacenter-ului efectRO

Comunicat: Upgrade planificat al datacenter-ului efectRO
în week-end-ul din 26-27 Ianuarie

Sumar

În luna ianuarie cel mai important obiectiv pentru datacenter-ul efectRO este înlocuirea planificată a router-elor (network core router) și a switch-urilor. Motivul? Router-ele și switch-urile sunt componente foarte importante în orice rețea complexă (în special într-un datacenter) și determină în mod crucial indicatorii legați de traficul de date. Dorim să vă informăm din timp că:

  • Modificarea configurației va avea loc în week-end-ul 26-27 Ianuarie.
  • Odată cu implementarea noii configurații veți beneficia de acces la o infrastructură mai performantă.
  • Aceste modificări nu vor afecta disponibilitatea serviciilor noastre.

Ce îmbunătățiri planificăm pentru datacenter-ul efectRO

efectRO a achiziționat și va pune în funcțiune două routere de ultimă generație. Cele două routere vor funcționa în paralel pentru asigurarea redundanței și a unui maxim de fiabilitate.

Router-ele vin echipate cu procesoare de ultima generație si memorie DDR4 asigurând un throughput de circa 80Gbps.

De asemenea, vom înlocui switch-urile actuale cu noile switch-uri din gama Cisco Catalyst 4948E și Dell Networking S4810.

Care sunt beneficiile acestui upgrade?

Chiar dacă router-ele și switch-urile folosite de efectRO în ultimii ani au fost periodic upgradate și pot face față traficului de date actual, am dorit să investim proactiv pentru a putea pune la dispoziția clienților și partenerilor noștri o infrastructură capabilă să facă față chiar și exigențelor celor mai îndrăzneți visători.

La finalul acestui proces, datacenter-ul nostru își va mări capacitatea de switching de circa cinci ori: de la 560 Gbps la 2400 Gbps.

În același timp, dorim să reducem amprenta energetică a datacenter-ului efectRO. Echipamentele de ultimă generație au consum de circa patru ori mai redus în comparație cu echipamentele utilizate de efectRO până acum.

Cu toate că reducerea consumului de curent electric nu va fi direct sesizabilă pentru majoritatea clienților noștri, în cadrul companiei ne-am propus dintotdeauna să inculcăm un spirit de responsabilitate și o doză sănătoasă de frugalitate.

Când se vor produce aceste modificări & la ce te poți aștepta?

Noile componente ale rețelei au fost deja puse în funcție în paralel cu cele vechi, pentru a nu interfera cu activitatea clienților și partenerilor noștri. Testele arată că rețeaua noastră funcționează impecabil în noua configurație.

efectRO va trece definitiv la noua configurație în zilele de 26-27 ianuarie (în week-end).

Șansele să apară probleme care să ducă la întreruperea serviciilor noastre sunt aproape nule. În cazul în care acestea totuși vor apărea, echipa tehnică va putea trece oricând pe vechea configurație până la rezolvarea acestora. Nici în acest scenariu pesimist nu vor exista întreruperi mai mari de 3-5 minute.

Cu stimă,
Bogdan Ciotlăuș
Director executiv efectRO