Sprawdź jak wdrożyć RODO w twojej organizacji
Po pierwsze: edukacja i świadomość
Wdrożenie dwuskładnikowego logowania (opisanego w poprzednim artykule), nie zwalnia z dodatkowych zasad zarządzania hasłami. Użytkownikom powinno się regularnie przypominać
o konieczności zachowania haseł służbowych w tajemnicy (także przed bliskimi), separacji haseł służbowych od haseł prywatnych czy stosowaniu zasady, że jeden system to jedno hasło. Menadżer haseł, poprawnie używany i skonfigurowany, zapewnia zgodność z powyższymi zasadami.
Po drugie: do czego służy menadżer haseł?
Menadżer haseł to aplikacja, w której możemy zapisywać dane logowania do dowolnej ilości systemów. Dodatkowe ikony i symbole pozwalają łączyć hasła z grupy, co ułatwia pracę. Zapisane dane mogą być kopiowane do przeglądarek lub systemów, co z kolei zwalnia użytkownika z konieczności pamiętania hasła. Dużą zaletą tego typu programów jest możliwość stworzenia nowego hasła
o dowolnej długości i dowolnie skomplikowanego poprzez wbudowany generator (duże, małe litery, cyfry znaki specjalne, nawiasy, etc.). Ponieważ takiego hasła nie trzeba pamiętać, nie musi ono być żadnym logicznym ciągiem słów, a to znacząco utrudnia złamanie takiego hasła tzw. metodą słownikową.
Po trzecie: jaką wersję wybrać?
Wszyscy, którzy chcą korzystać z programów wspierających przechowywanie i zapamiętywanie haseł, mają do wyboru dwa rodzaje oprogramowania: wersję, gdzie baza danych zapisana jest w chmurze oraz wersję, gdzie baza danych zapisana jest lokalnie na dysku komputera lub dysku przenośnym.
Pod koniec 2022 roku miało miejsce włamanie do infrastruktury IT jednego z producentów menadżera haseł, który zapewnia przechowywanie bazy danych w chmurze – taka konfiguracja pozwala używać programu z wielu komputerów oraz zapewnia automatyczną kopię zapasową. To wydarzenie wywołało falę spekulacji na temat bezpieczeństwa bazy danych przechowywanej w chmurze.
Z kolei w lipcu 2023 roku opublikowano w sieci Internet informacje na temat poważnej podatności, która pozwala potencjalnie dostać się do lokalnej bazy danych z hasłami.
Mimo wszystko, bardziej bezpiecznym i racjonalnym rozwiązaniem wydaje się wersja, w której baza danych z zapisanymi hasłami znajduje się na lokalnym komputerze lub dysku zewnętrznym, bo nie jest zależna od zewnętrznego dostawcy.
Po czwarte: jak zabezpieczyć i skonfigurować menadżera haseł?
Pierwszym i podstawowym zabezpieczeniem, jakie należy skonfigurować, jest hasło dostępowe do bazy danych z hasłami. Musi być długie, skomplikowane, najlepiej nie mniej niż 16 znaków, co utrudnia odszyfrowanie bazy w racjonalnym czasie. Warto dodać także drugi składnik uwierzytelnienia w postaci pliku z kluczem, wymaganego do zalogowania się do środka programu. Jeśli taki plik znajdzie się dodatkowo na zewnętrznym nośniku, to prawdopodobieństwo przełamania zabezpieczeń znacząco się obniża.
Kolejnym krokiem w celu zwiększenia bezpieczeństwa bazy menadżera jest ustawienie czasu
(w sekundach), po jakim schowek, do którego trafia kopia hasła, zostanie opróżniony.
Warto skonfigurować także opcję automatycznej blokady po określonym czasie bezczynności aplikacji – w celu ponownego zalogowania wymagane jest ponowne wprowadzenie hasła.
Kolejnym bardzo istotnym elementem jest zapewnienie kopii zapasowej. Kiedy baza haseł stale się powiększa, niezbędnym staje się dodatkowe zabezpieczenie, aby nie utracić dostępów. W sieciach korporacyjnych wszystkie powyższe opcje powinny być wymuszone i wdrożone pod kontrolą zespołów IT, aby zapewnić maksymalny poziom bezpieczeństwa i dostępności.
Czy warto stosować menadżery haseł?
Przy obecnym poziomie zaawansowania programów, które łamią hasła, ich długość powinna być zdecydowanie wydłużona. Osiem znaków to obecnie zbyt mało, żeby zapewnić dostateczny poziom bezpieczeństwa dostępu do aplikacji i systemów. Przy coraz większej ilości haseł, które trzeba dodatkowo wydłużać, menadżer to jedyna alternatywa. Automatycznie generowane, losowe, mocne i unikalne hasła dają dodatkową gwarancję ochrony danych osobowych.