Sprawdź jak wdrożyć RODO w twojej organizacji
„Przyzwyczajenie jest drugą naturą człowieka”
Jako zespół, który na co dzień zajmuje się ochroną danych (także wewnątrz grupy RK Legal), odbyliśmy setki rozmów z użytkownikami systemów. Pytaliśmy ich o przyzwyczajenia, sposoby na radzenie sobie z coraz większą ilością haseł. Następie, wielokrotnie podczas warsztatów i szkoleń prowadzonych dla naszych klientów, potwierdziliśmy, że znacząca większość pracowników, którzy muszą stosować ośmioznakowe hasło i zmieniać je co 30 dni, działa według następującego schematu:
- Wybiera jedno słowo jako trzon hasła i każdego miesiąca obudowuje je cyframi, np.: Warszawa1!, Warszawa2!, etc.
- Działa według logicznego schematu, np.: Styczen23!, Luty2023!, Marzec23!, etc.
- Stosuje zamkniętą zasadę konstrukcji hasła: duża litera jako pierwszy znak, cyfra jako siódmy znak, znak specjalny jako ósmy znak.
Stosowanie takich sposobów na pewno ułatwia zapamiętanie hasła, ale znacząco obniża jego siłę. Po przełamaniu takiego hasła, hakerzy mogą zalogować się do systemu i utrzymać dostęp przez znacznie dłuższy czas – łamane jest nie tylko hasło, ale także zasada jego tworzenia co może pomóc odgadnąć kolejne hasło po wymuszonej zmianie.
Obecne rekomendacje dotyczące haseł
Dla kont zwykłych użytkowników (kont nieposiadających wysokich uprawnień w systemach) rekomendowane jest wydłużenie hasła do minimum 12 znaków. Przy tej zasadzie zawsze należy pamiętać, że im dłuższe hasło, tym trudniej je złamać.
Niezbędnym i dodatkowym zabezpieczeniem, jakie należy wdrożyć, jest logowanie dwuskładnikowe. W tym obszarze mamy kilka opcji do wyboru, np.: jednorazowy kod sms lub email, potwierdzenie logowania w aplikacji na telefonie czy wszelkiego rodzaju tokeny fizyczne, które muszą być podłączone do urządzenia, które loguje się do systemu.
Po wdrożeniu dwuskładnikowego uwierzytelnienia rekomendowane jest wydłużenie czasu okresowej zmiany hasła nawet do 90 dni.
Jak i dlaczego badać jakość haseł użytkowników?
W celu weryfikacji jakości haseł stosowanych przez użytkowników rekomendujemy wdrożenie dodatkowych narzędzi, które pozwalają m.in.:
- Weryfikować, czy podobne bądź analogiczne hasła nie są stosowane przez kilku użytkowników;
- Decydować o stosowaniu lub niestosowaniu zasady skomplikowania hasła (np.: hasła
o długości powyżej 15 znaków nie muszą posiadać znaków specjalnych i cyfr); - Zabraniać używania haseł ze słownika stworzonego przez dział IT;
- Zabraniać stosowania podobnych haseł na podstawie zasady „normalizacji”.
Zainstalowanie takiego oprogramowania na kontrolerze domeny (centralny serwer zarządzający kontami użytkowników) pozwala analizować działom IT jakość haseł. Analiza odbywa się bez konieczności znajomości haseł przez administratorów IT. Każde hasło zapisane na kontrolerze domeny przechowywane jest w postaci zaszyfrowanej jako wynik działania operacji matematycznej, zwany „hashem hasła”. Dzięki takiej operacji administrator nie wie, jakie hasło ustawił użytkownik, ale może porównać je z innymi zapisanymi analogicznie hasłami. System potrafi także „w locie” analizować aktualne i nowe hasło użytkownika, a następnie w przypadku, gdy nowe hasło nieznacznie różni się od obecnego, zablokować możliwość zmiany. Analogicznie działa też zasada blokady haseł ze słownika skonfigurowanego przez administratora IT lub próby tworzenia nowego hasła poprzez zastąpienie liter cyframi lub innymi znakami (np. Password – P@$$w0rd).
Wdrożenie takiego rozwiązania pozwala skłonić użytkowników to zastosowania nowego, wcześniej nie używanego hasła, co ma bardzo duże znaczenie w kontekście zapewnienia bezpieczeństwa danych
w systemach IT.
Czy można zmieniać hasło rzadziej?
Rozwój mechanizmów bezpieczeństwa spowodował pojawienie się dodatkowych metod logowania (jak wspomniane powyżej logowanie dwuskładnikowe czy fizyczne tokeny). Administratorzy IT otrzymali także przydatne narzędzia pozwalające ograniczyć możliwość powtarzania haseł przez użytkowników. Przy zastosowaniu powyższych środków można znacząco wydłużyć czas ważności haseł nawet do 90 dni bez zwiększania ryzyka utraty poziomu bezpieczeństwa danych przechowywanych
w systemach informatycznych. To z kolei jest dużym ułatwieniem dla użytkowników.