LexDigital

Dzień hasła - zasady tworzenia i zarządzania hasłami

Dziś Światowy Dzień Hasła (World Password Day). Dzień ten obchodzony jest zawsze na początku maja i w bieżącym roku przypada na pierwszy czwartek tego miesiąca.

Dzień hasła - zasady tworzenia i zarządzania hasłami

Hasła to w dzisiejszych czasach bardzo powszechna sprawa – w ten sposób zabezpieczamy swój telefon, pocztę elektroniczną, internetowe konto bankowe czy konta w social mediach.

Światowy Dzień Hasła jest doskonałą okazją do tego, żeby przypomnieć sobie jakie są podstawowe zasady oraz dobre nawyki dotyczące tworzenia bezpiecznych haseł oraz jak ważne jest stosowanie silnych haseł.

Pomysł na obchodzenie takiego dnia powstał w firmie Intel, podczas spotkania dotyczącego uwrażliwienia ludzi na zabezpieczanie swoich danych. Idea Światowego Dnia Hasła została wsparta również przez takie marki jak McAfee, Acer, Microsoft, Samsung, Toshiba oraz innych światowych producentów.

Mając na względzie bezpieczeństwo informacji, w tym danych osobowych skorzystaliśmy z okazji jaką jest Światowy Dzień Hasła i przygotowaliśmy krótkie informacje o najważniejszych zasadach dotyczących bezpiecznych haseł, a także o narzędziach, które mogą nam pomóc w zarządzaniu naszymi hasłami.  Zapraszamy do lektury.   

 

Jak „silne” hasła stosujemy? 

Niektóre badania pokazują, że aż 90% haseł jest tak słaba, że można je złamać w ciągu kilkunastu sekund. Niestety wiele osób wciąż używa haseł takich jak: 12345678, password, qwerty, admin, abc123 czy np. daty swoich urodzin, imiona dzieci itp. Ponadto wielu użytkowników nie zmienia swoich haseł. Co piąta osoba przyznaje się, że używa tego samego hasła od 10 lat.  

 

Zasady tworzenia bezpiecznych haseł

Poniżej, w kilku punktach zawarliśmy najważniejsze zasady dotyczące tworzenia bezpiecznych haseł.

Hasło powinno być długie.   W zasadzie im dłuższe hasło tym lepiej. Wraz z każdym dodanym znakiem trudność złamania hasła rośnie. Przez wiele lat uważano, że 8-znakowe hasło alfanumeryczne, zawierające dodatkowo znaki interpunkcyjne jest w zupełności wystarczające. Niestety, tak już nie jest. Zamiast haseł 8-znakowych obecnie stosuje się hasła zawierające 14-15 znaków, a nawet takie 16-sto czy nawet 24-znakowe.

Należy stosować małe i duże litery oraz znaki specjalne i cyfry. 

Nie należy tworzyć haseł składających się tylko z samych liter lub cyfr. Przykłady takich haseł podaliśmy w akapicie „Jak silne hasła stosujemy?”. 

Tworząc hasło powinniśmy korzystać zamiennie z cyfr i znaków specjalnych. Dobrym sposobem na stworzenie silnego hasła, które będzie jednocześnie łatwe do zapamiętania jest zamiana liter na liczby i znaki specjalne np. @ zamiast „a”, 3 zamiast „e” lub 0 zamiast „o”.

Natomiast należy unikać dodawania dodatkowych znaków w popularnych wyrazach np. hasło typu “Anna18” czy “Agnieszka1986” nie spełniają wymogów bezpieczeństwa

Należy zrezygnować z używania w hasłach słów popularnych i uniwersalnych.

Bardzo złą metodą jest stosowanie wyrazów słownikowych, czyli występujących w encyklopediach, słownikach, a także używanie nazw państw i miast lub związanych z książkami filmami czy grami. 

Należy unikać używania znaczących imion, nazw i dat. 

Takie hasła są bardzo łatwe do złamania. 

Nie wolno zapamiętywać haseł w przeglądarce.

Zapamiętując hasła w przeglądarce ułatwiamy zadanie złodziejom internetowym. 

Należy pamiętać, że w dzisiejszych czasach wcale nie trzeba być ekspertem IT żeby łamać hasła. Wystarczy zakupić odpowiednie oprogramowanie do tego celu, bazę danych z hasłami lub poświęcić trochę czasu na poznanie osoby, której hasło chcemy złamać.

 

Jak dbać o swoje hasło

Po pierwsze hasło należy często zmieniać. Po drugie musimy używać innych haseł do różnych serwisów. Po trzecie powinniśmy zapamiętywać hasła i pod żadnym pozorem nie zapisywać ich, a już na pewno nie trzymać pod klawiaturą. 

Nikomu nie przekazujmy naszych haseł, nawet zaufanym osobom czy wieloletnim współpracownikom.

Warto też co jakiś czas sprawdzać czy adresy mailowe wraz hasłem do konta nie znajdują się na listach skradzionych przez hakerów z różnych serwisów i sklepów np. na stronie: https://haveibeenpwned.com/ 

 

Manedżery haseł

W obecnym świecie, każdy z nas potrzebuje wielu haseł. Stosowanie jednego hasła do wszystkich systemów, usług i serwisów internetowych jest nierozsądne. Wystarczy udany atak hakerów na jedno z kont, z którego korzystamy i internetowi przestępcy uzyskają dostęp do wszystkich naszych zasobów. Dlatego tak ważne jest, aby każdy dostęp użytkownika do różnych usług był chroniony innym, zawsze odpowiednio silnym hasłem. Na szczęście nie musimy ich wszystkich pamiętać, wystarczy utrwalić sobie jedno, odpowiednio silne, długie i skomplikowane hasło, a w pozostałych kwestiach może nas wyręczyć menedżer haseł.

Menedżer haseł to aplikacja przechowująca hasła, która wpisuje je w panel logowania do serwisu na  nasze żądanie (automatycznie podstawiając właściwe i często niewidoczne na ekranie hasło konkretnej usłudze). Wszystkie hasła są przechowywane w szyfrowanej bazie, zatem jest to dużo bezpieczniejsze niż  trzymanie haseł w pliku tekstowym na komputerze. 

Menedżer haseł ma za zadanie podstawiać odpowiednie hasła odpowiednim usługom. Złamanie bazy danych danego serwisu czy usługi spowoduje jedynie odtajnienie hasła stosowanego tylko w tej jednej usłudze, ale nie naruszy bezpieczeństwa samego menedżera. Ponadto niektóre menedżery haseł mogą korzystać z dodatkowej, biometrycznej warstwy uwierzytelniania np. przez odblokowywanie odciskiem palca użytkownika.  

Należy jednak pamiętać, że jest pewne ryzyko związane z zarządzaniem hasłami. Po pierwsze, jeśli ktoś  zapomni głównego hasła do bazy menedżera, to utraci wszystkie hasła. Po drugie, centralne bazy haseł mogą być popularnym celem ataków hakerów.  

Dostępne są różne grupy menedżerów działających w systemie Windows, iOS, Androidzie, a także funkcjonujących online.  Wśród najpopularniejszych programów złużących do zarządzania hasłami wymienia się LastPass Premium, 1Password, Password Manager Pro, KeePass czy Dashlane Premium. Warto pamiętać, że niektóre menedżery haseł dostępne są za darmo. 

 

Polityka haseł w organizacjach - czy są jakieś regulacje prawne dotyczące haseł? 

Do 25 maja 2018 roku obowiązywały w Polsce przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które precyzyjnie wskazywały, iż w sytuacji, gdy chociażby jedno urządzenie infrastruktury sieci lokalnej podłączone jest do sieci publicznej hasła dostępowe do takich systemów powinny składać się z co najmniej 8 znaków oraz być złożone z małych i dużych liter, cyfr lub znaków specjalnych. Dodatkowym wymogiem była częstotliwość zmiany tych haseł, tj.  nie rzadziej niż co 30 dni.

RODO (ogólne rozporządzenie o ochronie danych osobowych) wprowadziło nowe podejście w zakresie stosowanych haseł dostępowych. W rozporządzeniu zniesiono wymóg stosowania odpowiedniej złożoności haseł, ich minimalnej długości oraz co najistotniejsze – częstotliwości zmiany. 

Z punktu 84 preambuły RODO wynika, iż administrator danych musi dobrać odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia przetwarzanych danych osobowych na podstawie przeprowadzonej analizy ryzyka. Rzetelnie przeprowadzony proces ma za zadanie wskazać organizacji zagrożenia dla jej infrastruktury IT, oszacować potencjalne straty związane z naruszeniem bezpieczeństwa oraz zaproponować rozsądne rozwiązania ograniczające ryzyko incydentu. Innymi słowy, dzięki analizie ryzyka administrator ustala np. minimalną długość haseł lub częstotliwość zmiany hasła. Nie dziwi więc, że na gruncie obowiązywania RODO większość organizacji zdecydowało się na załagodzenie polityki haseł, zwłaszcza w aspekcie wydłużenia częstotliwości ich zmiany (najczęściej wybieranym okresem są 3 miesiące). 

Należy pamiętać również o dobrych praktykach, które wywodzą się z grupy standardów ISO dotyczących bezpieczeństwa informacji, tj. ISO 27001. Co prawda nie jest to zatwierdzony kodeks postępowania, o którym mowa w RODO, ale jest to zbiór zasad, które są uznawane na całym świecie. Zasady te mówią, że zmiana hasła powinna się odbywać nie rzadziej niż co 30 dni. Administrator po przeprowadzeniu analizy ryzyka może wskazać systemy o różnych poziomach ważności danych i  w ramach tak przyjętego podziału może wprowadzać różne okresy zmiany haseł.  

 

Kradzież haseł 

Niestety kradzież haseł jest dość powszechnym przestępstwem internetowym. Często podczas jednego ataku hakerzy potrafią przejąć tysiące haseł użytkowników. W Polsce w 2019 roku doszło do „złamania” ponad 350 000 haseł klientów jednego ze sklepów internetowych. Brak resetu haseł pozwolił atakującemu na dostęp do kont osób, które miały słabe hasła.  Co więcej, stosowanie przez klientów sklepu tego samego hasła w innych serwisach pozwoliło włamywaczowi na sprawdzenie, czy ofiara na podany w tym sklepie internetowym adres e-mail miała także założone konta w innych serwisach (np. Facebooku, Instagramie, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat, ale także w zależności od serwisu wykorzystać to konto do innych celów: oszustw, kradzieży lub wyłudzeń.

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.