Dzień hasła – zasady tworzenia i zarządzania hasłami
Dziś Światowy Dzień Hasła (World Password Day). Dzień ten obchodzony jest zawsze na początku maja i w bieżącym roku przypada na pierwszy czwartek tego miesiąca.
Hasła to w dzisiejszych czasach bardzo powszechna sprawa – w ten sposób zabezpieczamy swój telefon, pocztę elektroniczną, internetowe konto bankowe czy konta w social mediach.
Światowy Dzień Hasła jest doskonałą okazją do tego, żeby przypomnieć sobie jakie są podstawowe zasady oraz dobre nawyki dotyczące tworzenia bezpiecznych haseł oraz jak ważne jest stosowanie silnych haseł.
Pomysł na obchodzenie takiego dnia powstał w firmie Intel, podczas spotkania dotyczącego uwrażliwienia ludzi na zabezpieczanie swoich danych. Idea Światowego Dnia Hasła została wsparta również przez takie marki jak McAfee, Acer, Microsoft, Samsung, Toshiba oraz innych światowych producentów.
Mając na względzie bezpieczeństwo informacji, w tym danych osobowych skorzystaliśmy z okazji jaką jest Światowy Dzień Hasła i przygotowaliśmy krótkie informacje o najważniejszych zasadach dotyczących bezpiecznych haseł, a także o narzędziach, które mogą nam pomóc w zarządzaniu naszymi hasłami. Zapraszamy do lektury.
Jak „silne” hasła stosujemy?
Niektóre badania pokazują, że aż 90% haseł jest tak słaba, że można je złamać w ciągu kilkunastu sekund. Niestety wiele osób wciąż używa haseł takich jak: 12345678, password, qwerty, admin, abc123 czy np. daty swoich urodzin, imiona dzieci itp. Ponadto wielu użytkowników nie zmienia swoich haseł. Co piąta osoba przyznaje się, że używa tego samego hasła od 10 lat.
Zasady tworzenia bezpiecznych haseł
Poniżej, w kilku punktach zawarliśmy najważniejsze zasady dotyczące tworzenia bezpiecznych haseł.
Hasło powinno być długie. W zasadzie im dłuższe hasło tym lepiej. Wraz z każdym dodanym znakiem trudność złamania hasła rośnie. Przez wiele lat uważano, że 8-znakowe hasło alfanumeryczne, zawierające dodatkowo znaki interpunkcyjne jest w zupełności wystarczające. Niestety, tak już nie jest. Zamiast haseł 8-znakowych obecnie stosuje się hasła zawierające 14-15 znaków, a nawet takie 16-sto czy nawet 24-znakowe.
Należy stosować małe i duże litery oraz znaki specjalne i cyfry.
Nie należy tworzyć haseł składających się tylko z samych liter lub cyfr. Przykłady takich haseł podaliśmy w akapicie „Jak silne hasła stosujemy?”.
Tworząc hasło powinniśmy korzystać zamiennie z cyfr i znaków specjalnych. Dobrym sposobem na stworzenie silnego hasła, które będzie jednocześnie łatwe do zapamiętania jest zamiana liter na liczby i znaki specjalne np. @ zamiast „a”, 3 zamiast „e” lub 0 zamiast „o”.
Natomiast należy unikać dodawania dodatkowych znaków w popularnych wyrazach np. hasło typu “Anna18” czy “Agnieszka1986” nie spełniają wymogów bezpieczeństwa
Należy zrezygnować z używania w hasłach słów popularnych i uniwersalnych.
Bardzo złą metodą jest stosowanie wyrazów słownikowych, czyli występujących w encyklopediach, słownikach, a także używanie nazw państw i miast lub związanych z książkami filmami czy grami.
Należy unikać używania znaczących imion, nazw i dat.
Takie hasła są bardzo łatwe do złamania.
Nie wolno zapamiętywać haseł w przeglądarce.
Zapamiętując hasła w przeglądarce ułatwiamy zadanie złodziejom internetowym.
Należy pamiętać, że w dzisiejszych czasach wcale nie trzeba być ekspertem IT żeby łamać hasła. Wystarczy zakupić odpowiednie oprogramowanie do tego celu, bazę danych z hasłami lub poświęcić trochę czasu na poznanie osoby, której hasło chcemy złamać.
Jak dbać o swoje hasło
Po pierwsze hasło należy często zmieniać. Po drugie musimy używać innych haseł do różnych serwisów. Po trzecie powinniśmy zapamiętywać hasła i pod żadnym pozorem nie zapisywać ich, a już na pewno nie trzymać pod klawiaturą.
Nikomu nie przekazujmy naszych haseł, nawet zaufanym osobom czy wieloletnim współpracownikom.
Warto też co jakiś czas sprawdzać czy adresy mailowe wraz hasłem do konta nie znajdują się na listach skradzionych przez hakerów z różnych serwisów i sklepów np. na stronie: https://haveibeenpwned.com/
Manedżery haseł
W obecnym świecie, każdy z nas potrzebuje wielu haseł. Stosowanie jednego hasła do wszystkich systemów, usług i serwisów internetowych jest nierozsądne. Wystarczy udany atak hakerów na jedno z kont, z którego korzystamy i internetowi przestępcy uzyskają dostęp do wszystkich naszych zasobów. Dlatego tak ważne jest, aby każdy dostęp użytkownika do różnych usług był chroniony innym, zawsze odpowiednio silnym hasłem. Na szczęście nie musimy ich wszystkich pamiętać, wystarczy utrwalić sobie jedno, odpowiednio silne, długie i skomplikowane hasło, a w pozostałych kwestiach może nas wyręczyć menedżer haseł.
Menedżer haseł to aplikacja przechowująca hasła, która wpisuje je w panel logowania do serwisu na nasze żądanie (automatycznie podstawiając właściwe i często niewidoczne na ekranie hasło konkretnej usłudze). Wszystkie hasła są przechowywane w szyfrowanej bazie, zatem jest to dużo bezpieczniejsze niż trzymanie haseł w pliku tekstowym na komputerze.
Menedżer haseł ma za zadanie podstawiać odpowiednie hasła odpowiednim usługom. Złamanie bazy danych danego serwisu czy usługi spowoduje jedynie odtajnienie hasła stosowanego tylko w tej jednej usłudze, ale nie naruszy bezpieczeństwa samego menedżera. Ponadto niektóre menedżery haseł mogą korzystać z dodatkowej, biometrycznej warstwy uwierzytelniania np. przez odblokowywanie odciskiem palca użytkownika.
Należy jednak pamiętać, że jest pewne ryzyko związane z zarządzaniem hasłami. Po pierwsze, jeśli ktoś zapomni głównego hasła do bazy menedżera, to utraci wszystkie hasła. Po drugie, centralne bazy haseł mogą być popularnym celem ataków hakerów.
Dostępne są różne grupy menedżerów działających w systemie Windows, iOS, Androidzie, a także funkcjonujących online. Wśród najpopularniejszych programów złużących do zarządzania hasłami wymienia się LastPass Premium, 1Password, Password Manager Pro, KeePass czy Dashlane Premium. Warto pamiętać, że niektóre menedżery haseł dostępne są za darmo.
Polityka haseł w organizacjach - czy są jakieś regulacje prawne dotyczące haseł?
Do 25 maja 2018 roku obowiązywały w Polsce przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które precyzyjnie wskazywały, iż w sytuacji, gdy chociażby jedno urządzenie infrastruktury sieci lokalnej podłączone jest do sieci publicznej hasła dostępowe do takich systemów powinny składać się z co najmniej 8 znaków oraz być złożone z małych i dużych liter, cyfr lub znaków specjalnych. Dodatkowym wymogiem była częstotliwość zmiany tych haseł, tj. nie rzadziej niż co 30 dni.
RODO (ogólne rozporządzenie o ochronie danych osobowych) wprowadziło nowe podejście w zakresie stosowanych haseł dostępowych. W rozporządzeniu zniesiono wymóg stosowania odpowiedniej złożoności haseł, ich minimalnej długości oraz co najistotniejsze – częstotliwości zmiany.
Z punktu 84 preambuły RODO wynika, iż administrator danych musi dobrać odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia przetwarzanych danych osobowych na podstawie przeprowadzonej analizy ryzyka. Rzetelnie przeprowadzony proces ma za zadanie wskazać organizacji zagrożenia dla jej infrastruktury IT, oszacować potencjalne straty związane z naruszeniem bezpieczeństwa oraz zaproponować rozsądne rozwiązania ograniczające ryzyko incydentu. Innymi słowy, dzięki analizie ryzyka administrator ustala np. minimalną długość haseł lub częstotliwość zmiany hasła. Nie dziwi więc, że na gruncie obowiązywania RODO większość organizacji zdecydowało się na załagodzenie polityki haseł, zwłaszcza w aspekcie wydłużenia częstotliwości ich zmiany (najczęściej wybieranym okresem są 3 miesiące).
Należy pamiętać również o dobrych praktykach, które wywodzą się z grupy standardów ISO dotyczących bezpieczeństwa informacji, tj. ISO 27001. Co prawda nie jest to zatwierdzony kodeks postępowania, o którym mowa w RODO, ale jest to zbiór zasad, które są uznawane na całym świecie. Zasady te mówią, że zmiana hasła powinna się odbywać nie rzadziej niż co 30 dni. Administrator po przeprowadzeniu analizy ryzyka może wskazać systemy o różnych poziomach ważności danych i w ramach tak przyjętego podziału może wprowadzać różne okresy zmiany haseł.
Kradzież haseł
Niestety kradzież haseł jest dość powszechnym przestępstwem internetowym. Często podczas jednego ataku hakerzy potrafią przejąć tysiące haseł użytkowników. W Polsce w 2019 roku doszło do „złamania” ponad 350 000 haseł klientów jednego ze sklepów internetowych. Brak resetu haseł pozwolił atakującemu na dostęp do kont osób, które miały słabe hasła. Co więcej, stosowanie przez klientów sklepu tego samego hasła w innych serwisach pozwoliło włamywaczowi na sprawdzenie, czy ofiara na podany w tym sklepie internetowym adres e-mail miała także założone konta w innych serwisach (np. Facebooku, Instagramie, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat, ale także w zależności od serwisu wykorzystać to konto do innych celów: oszustw, kradzieży lub wyłudzeń.