LexDigital

Dzień hasła – zasady tworzenia i zarządzania hasłami

Dziś Światowy Dzień Hasła (World Password Day). Dzień ten obchodzony jest zawsze na początku maja i w bieżącym roku przypada na pierwszy czwartek tego miesiąca.

Dzień hasła – zasady tworzenia i zarządzania hasłami

Hasła to w dzisiejszych czasach bardzo powszechna sprawa – w ten sposób zabezpieczamy swój telefon, pocztę elektroniczną, internetowe konto bankowe czy konta w social mediach.

Światowy Dzień Hasła jest doskonałą okazją do tego, żeby przypomnieć sobie jakie są podstawowe zasady oraz dobre nawyki dotyczące tworzenia bezpiecznych haseł oraz jak ważne jest stosowanie silnych haseł.

Pomysł na obchodzenie takiego dnia powstał w firmie Intel, podczas spotkania dotyczącego uwrażliwienia ludzi na zabezpieczanie swoich danych. Idea Światowego Dnia Hasła została wsparta również przez takie marki jak McAfee, Acer, Microsoft, Samsung, Toshiba oraz innych światowych producentów.

Mając na względzie bezpieczeństwo informacji, w tym danych osobowych skorzystaliśmy z okazji jaką jest Światowy Dzień Hasła i przygotowaliśmy krótkie informacje o najważniejszych zasadach dotyczących bezpiecznych haseł, a także o narzędziach, które mogą nam pomóc w zarządzaniu naszymi hasłami.  Zapraszamy do lektury.   

 

password, cyberbezpieczeństwo, cybersecurity

Jak „silne” hasła stosujemy? 

Niektóre badania pokazują, że aż 90% haseł jest tak słaba, że można je złamać w ciągu kilkunastu sekund. Niestety wiele osób wciąż używa haseł takich jak: 12345678, password, qwerty, admin, abc123 czy np. daty swoich urodzin, imiona dzieci itp. Ponadto wielu użytkowników nie zmienia swoich haseł. Co piąta osoba przyznaje się, że używa tego samego hasła od 10 lat.  

 

Zasady tworzenia bezpiecznych haseł

Poniżej, w kilku punktach zawarliśmy najważniejsze zasady dotyczące tworzenia bezpiecznych haseł.

Hasło powinno być długie.   W zasadzie im dłuższe hasło tym lepiej. Wraz z każdym dodanym znakiem trudność złamania hasła rośnie. Przez wiele lat uważano, że 8-znakowe hasło alfanumeryczne, zawierające dodatkowo znaki interpunkcyjne jest w zupełności wystarczające. Niestety, tak już nie jest. Zamiast haseł 8-znakowych obecnie stosuje się hasła zawierające 14-15 znaków, a nawet takie 16-sto czy nawet 24-znakowe.

Należy stosować małe i duże litery oraz znaki specjalne i cyfry. 

Nie należy tworzyć haseł składających się tylko z samych liter lub cyfr. Przykłady takich haseł podaliśmy w akapicie „Jak silne hasła stosujemy?”. 

Tworząc hasło powinniśmy korzystać zamiennie z cyfr i znaków specjalnych. Dobrym sposobem na stworzenie silnego hasła, które będzie jednocześnie łatwe do zapamiętania jest zamiana liter na liczby i znaki specjalne np. @ zamiast „a”, 3 zamiast „e” lub 0 zamiast „o”.

Natomiast należy unikać dodawania dodatkowych znaków w popularnych wyrazach np. hasło typu “Anna18” czy “Agnieszka1986” nie spełniają wymogów bezpieczeństwa

Należy zrezygnować z używania w hasłach słów popularnych i uniwersalnych.

Bardzo złą metodą jest stosowanie wyrazów słownikowych, czyli występujących w encyklopediach, słownikach, a także używanie nazw państw i miast lub związanych z książkami filmami czy grami. 

Należy unikać używania znaczących imion, nazw i dat. 

Takie hasła są bardzo łatwe do złamania. 

Nie wolno zapamiętywać haseł w przeglądarce.

Zapamiętując hasła w przeglądarce ułatwiamy zadanie złodziejom internetowym. 

Należy pamiętać, że w dzisiejszych czasach wcale nie trzeba być ekspertem IT żeby łamać hasła. Wystarczy zakupić odpowiednie oprogramowanie do tego celu, bazę danych z hasłami lub poświęcić trochę czasu na poznanie osoby, której hasło chcemy złamać.

 

Jak dbać o swoje hasło

Po pierwsze hasło należy często zmieniać. Po drugie musimy używać innych haseł do różnych serwisów. Po trzecie powinniśmy zapamiętywać hasła i pod żadnym pozorem nie zapisywać ich, a już na pewno nie trzymać pod klawiaturą. 

Nikomu nie przekazujmy naszych haseł, nawet zaufanym osobom czy wieloletnim współpracownikom.

Warto też co jakiś czas sprawdzać czy adresy mailowe wraz hasłem do konta nie znajdują się na listach skradzionych przez hakerów z różnych serwisów i sklepów np. na stronie: https://haveibeenpwned.com/ 

 

Manedżery haseł

W obecnym świecie, każdy z nas potrzebuje wielu haseł. Stosowanie jednego hasła do wszystkich systemów, usług i serwisów internetowych jest nierozsądne. Wystarczy udany atak hakerów na jedno z kont, z którego korzystamy i internetowi przestępcy uzyskają dostęp do wszystkich naszych zasobów. Dlatego tak ważne jest, aby każdy dostęp użytkownika do różnych usług był chroniony innym, zawsze odpowiednio silnym hasłem. Na szczęście nie musimy ich wszystkich pamiętać, wystarczy utrwalić sobie jedno, odpowiednio silne, długie i skomplikowane hasło, a w pozostałych kwestiach może nas wyręczyć menedżer haseł.

Menedżer haseł to aplikacja przechowująca hasła, która wpisuje je w panel logowania do serwisu na  nasze żądanie (automatycznie podstawiając właściwe i często niewidoczne na ekranie hasło konkretnej usłudze). Wszystkie hasła są przechowywane w szyfrowanej bazie, zatem jest to dużo bezpieczniejsze niż  trzymanie haseł w pliku tekstowym na komputerze. 

Menedżer haseł ma za zadanie podstawiać odpowiednie hasła odpowiednim usługom. Złamanie bazy danych danego serwisu czy usługi spowoduje jedynie odtajnienie hasła stosowanego tylko w tej jednej usłudze, ale nie naruszy bezpieczeństwa samego menedżera. Ponadto niektóre menedżery haseł mogą korzystać z dodatkowej, biometrycznej warstwy uwierzytelniania np. przez odblokowywanie odciskiem palca użytkownika.  

Należy jednak pamiętać, że jest pewne ryzyko związane z zarządzaniem hasłami. Po pierwsze, jeśli ktoś  zapomni głównego hasła do bazy menedżera, to utraci wszystkie hasła. Po drugie, centralne bazy haseł mogą być popularnym celem ataków hakerów.  

Dostępne są różne grupy menedżerów działających w systemie Windows, iOS, Androidzie, a także funkcjonujących online.  Wśród najpopularniejszych programów złużących do zarządzania hasłami wymienia się LastPass Premium, 1Password, Password Manager Pro, KeePass czy Dashlane Premium. Warto pamiętać, że niektóre menedżery haseł dostępne są za darmo. 

 

Polityka haseł w organizacjach - czy są jakieś regulacje prawne dotyczące haseł? 

Do 25 maja 2018 roku obowiązywały w Polsce przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które precyzyjnie wskazywały, iż w sytuacji, gdy chociażby jedno urządzenie infrastruktury sieci lokalnej podłączone jest do sieci publicznej hasła dostępowe do takich systemów powinny składać się z co najmniej 8 znaków oraz być złożone z małych i dużych liter, cyfr lub znaków specjalnych. Dodatkowym wymogiem była częstotliwość zmiany tych haseł, tj.  nie rzadziej niż co 30 dni.

RODO (ogólne rozporządzenie o ochronie danych osobowych) wprowadziło nowe podejście w zakresie stosowanych haseł dostępowych. W rozporządzeniu zniesiono wymóg stosowania odpowiedniej złożoności haseł, ich minimalnej długości oraz co najistotniejsze – częstotliwości zmiany. 

Z punktu 84 preambuły RODO wynika, iż administrator danych musi dobrać odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia przetwarzanych danych osobowych na podstawie przeprowadzonej analizy ryzyka. Rzetelnie przeprowadzony proces ma za zadanie wskazać organizacji zagrożenia dla jej infrastruktury IT, oszacować potencjalne straty związane z naruszeniem bezpieczeństwa oraz zaproponować rozsądne rozwiązania ograniczające ryzyko incydentu. Innymi słowy, dzięki analizie ryzyka administrator ustala np. minimalną długość haseł lub częstotliwość zmiany hasła. Nie dziwi więc, że na gruncie obowiązywania RODO większość organizacji zdecydowało się na załagodzenie polityki haseł, zwłaszcza w aspekcie wydłużenia częstotliwości ich zmiany (najczęściej wybieranym okresem są 3 miesiące). 

Należy pamiętać również o dobrych praktykach, które wywodzą się z grupy standardów ISO dotyczących bezpieczeństwa informacji, tj. ISO 27001. Co prawda nie jest to zatwierdzony kodeks postępowania, o którym mowa w RODO, ale jest to zbiór zasad, które są uznawane na całym świecie. Zasady te mówią, że zmiana hasła powinna się odbywać nie rzadziej niż co 30 dni. Administrator po przeprowadzeniu analizy ryzyka może wskazać systemy o różnych poziomach ważności danych i  w ramach tak przyjętego podziału może wprowadzać różne okresy zmiany haseł.  

 

Kradzież haseł 

Niestety kradzież haseł jest dość powszechnym przestępstwem internetowym. Często podczas jednego ataku hakerzy potrafią przejąć tysiące haseł użytkowników. W Polsce w 2019 roku doszło do „złamania” ponad 350 000 haseł klientów jednego ze sklepów internetowych. Brak resetu haseł pozwolił atakującemu na dostęp do kont osób, które miały słabe hasła.  Co więcej, stosowanie przez klientów sklepu tego samego hasła w innych serwisach pozwoliło włamywaczowi na sprawdzenie, czy ofiara na podany w tym sklepie internetowym adres e-mail miała także założone konta w innych serwisach (np. Facebooku, Instagramie, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat, ale także w zależności od serwisu wykorzystać to konto do innych celów: oszustw, kradzieży lub wyłudzeń.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk