Z naszego poradnika dowiesz się, w jaki sposób utworzyć silne hasło oraz jakie praktyki stosować, aby Twoje konto i dane były odporne na ataki hakerów, włamania lub próby wyłudzenia.

Firmowa polityka bezpieczeństwa haseł i danych bazuje przede wszystkim na ograniczonym dostępie do zasobów. Zagrożenie wyciekiem danych stale rośnie, co wymusza wdrażanie nowych rozwiązań zabezpieczających. Te jednak okażą się skuteczne jedynie wówczas, jeżeli będą odpowiednio zastosowane, a użytkownicy systemów informatycznych zaczną przestrzegać określonych zasad.

Czym jest hasło dostępu

Hasło to unikatowy ciąg znaków, który po wpisaniu umożliwia użytkownikowi zalogowanie się na określonej witrynie i powinno być znane wyłącznie tej osobie, do której należy login. Ponadto wskazane jest, aby ze względów bezpieczeństwa, użytkownik ustanowił do każdej z odwiedzanych przez siebie witryn inne hasło.

Podstawowe zasady tworzenia haseł

Hasło musi być silne, czyli łatwe do zapamiętania dla nas, ale trudne do złamania dla hakera. Jeśli mu się powiedzie, może na przykład dokonać zakupów z naszego konta czy podpisać umowę kredytową. Dlatego hasło należy tworzyć, pamiętając o poniższych zasadach:

  • długość – hasło powinno się składać z co najmniej 8 znaków, a każdy dodatkowy zwiększa jego siłę,
  • spacje – jeżeli ich stosowanie jest dozwolone, należy to wykorzystać; dwu- lub kilkuwyrazowe hasło jest znacznie silniejsze,
  • różne znaki – hasło budujemy z małych i wielkich liter, cyfr i znaków specjalnych.

Tworząc hasło uważajmy, aby nie popełnić następujących błędów:

  • sekwencji znaków identycznej jak na klawiaturze, nie tylko wprost i wspak, ale także po skosie we wszystkie strony. Przykłady: qwerty, poiuyt, vgy7, 0okm, 1qaz, mju7,
  • zamiany znaków na podobne, np. a na @, 8 na &, S na $. Przykład: zamiast „sasanka” – $@$@nk@,
  • wykorzystywania własnego imienia, nazwiska lub nicku,
  • ustalania tego samego hasła do wszystkich witryn i serwisów.

Sprawdzanie siły hasła

W Internecie jest wiele darmowych skryptów, za pomocą których można ocenić, czy nasze hasło jest dostatecznie silne. Narzędzia te są bezpieczne, nie gromadzą, ani nie przesyłają dalej informacji o testowanym ciągu znaków. Jednak żaden skrypt nie jest w stanie ocenić ze stuprocentową pewnością mocy hasła. Co więcej, wyniki ocen poszczególnych skryptów będą się różnić.

Przykładowe testery siły hasła to:

  • The Password Meter – podpowiada, z jakich elementów powinno się składać mocne hasło, a wynik badania prezentuje w postaci paska z wartością bezpieczeństwa podaną w procentach. Ponadto wyświetla listę z elementami do poprawienia lub uzupełnienia, aby zwiększyć siłę hasła;
  • Narzędzie Microsoft – przedstawia ocenę w sposób graficzny podobny do powyższego, ale bez opisu. Podaje natomiast wskazówki tworzenia właściwego hasła;
  • GoodPassword.info – strona, będąca kompletnym poradnikiem w kwestii tworzenia, ochrony i sprawdzania siły hasła; zawiera linki do serwisów sprawdzających siłę, oraz – uwaga – ile czasu zajęłoby złamanie podanego hasła. Ponadto przyznawana jest punktacja za poszczególne elementy hasła: długość, użycie małych i wielkich liter, znaków specjalnych, cyfr – każdego rodzaju znaków z osobna i wszystkich razem.

Ochrona prywatnych danych dostępowych

Kiedy już nasze hasło zostało przyjęte przez system, musimy je odpowiednio chronić. Przede wszystkim nie wolno go nikomu udostępniać, ani podawać w wiadomościach e-mail, sms bądź w odpowiedzi na żądanie. Pamiętajmy, że żaden uczciwy podmiot nigdy nie zażąda od nas podania hasła poza panelem logowania!

Hasło należy regularnie zmieniać, najlepiej co 3-4 miesiące. Niektóre systemy same o tym przypominają. Wreszcie, jeżeli korzystamy z urządzenia, nad którym nie mamy kontroli (np. znajdującego się w miejscu publicznym), nigdy nie logujmy się do witryn, gdzie konieczne jest podanie hasła. Jeżeli natomiast stwierdzimy, że nasze hasło zostało złamane – np. dokonano operacji na naszym koncie bankowym, konieczne jest niezwłoczne powiadomienie administracji serwisu oraz policji.

Ochrona haseł firmowych – dobre praktyki

Przy korzystaniu z konta hostingowego stosuje się wiele różnych haseł: do konta głównego, kont FTP, baz danych, poczty, paneli zarządzania stroną. W przypadku, kiedy hasło ustawia się raz (np. dla bazy danych), może ono być długie i skomplikowane, bo w zasadzie nie trzeba go pamiętać. Natomiast tam, gdzie logujemy się często i musimy pamiętać hasło, może ono być krótsze, jednak stopień skomplikowania powinien być na tyle wysoki, aby maksymalnie utrudniał dostęp osób niepowołanych.  Oczywiście do każdej z usług ustalamy inne hasło, pamiętając, aby każde z nich składało się z minimum 8 znaków, w tym małych i wielkich liter, cyfr oraz znaków specjalnych.

5 koronnych zasad ochrony haseł firmowych:

  1. Hasła do firmowych narzędzi, z których korzystają wszyscy pracownicy, zmieniamy co jakiś czas w ramach profilaktyki i każdorazowo po zakończeniu współpracy z pracownikiem.
  2. Nigdy nie wysyłamy haseł w korespondencji mailowej, gdyż jest ona domyślnie wysyłana jako niezaszyfrowana. Nie wolno odpowiadać na korespondencję, w której zawarta jest prośba o podanie hasła w jakimkolwiek celu (jest to z pewnością phishing).
  3. Jeżeli nasza współpraca z innymi firmami odbywa się także przez Internet, nie udostępniajmy głównego konta, a twórzmy subkonta z dostępami. Jeśli dostęp do konta głównego jest niezbędny, powinien być wyłącznie tymczasowy i obwarowany odpowiednią umową dotyczącą jego ochrony, poufności i polityki haseł.
  4. Nie nadajemy uprawnień administratora, o ile nie jest to konieczne. Konto administratora powinno być przypisane jedynie do osoby (osób) zarządzającej firmą. Pracownikom przydzielamy uprawnienia ściśle powiązane z ich stanowiskiem i obowiązkami.
  5. Jeżeli zlecamy na zewnątrz usługę np. stworzenia strony internetowej, to po odebraniu wykonanego zlecenia ustalamy własne hasło. To samo dotyczy wdrożeń oprogramowania.

Tworzenie kopii zapasowych, backupów

Backup danych to innymi słowy tworzenie kopii zapasowej, aby w przypadku uszkodzenia lub utraty nośnika można było je odtworzyć. Odtworzenie danych z backupu umożliwia szybkie przywrócenie sprawności funkcjonowania strony, serwisu lub narzędzia.

Bezpieczeństwo infrastruktury IT wymaga wdrożenia procedury backupu – regularnego tworzenia kopii, archiwizacji i odtwarzania danych. Właśnie regularność ma tu kluczowe znaczenie z uwagi na ciągłą aktualizację informacji.

Rozróżniamy trzy zasadnicze rodzaje kopii zapasowych:

  • pełną (podstawową) – obejmującą wszystkie pliki, z dostępem do danych na tej samej zasadzie jak do oryginalnych,
  • różnicową – obejmującą tylko pliki, które zostały zmienione od czasu ostatniej kopii pełnej,
  • przyrostową – obejmującą jedynie te pliki, które zostały dodane do ostatniej kopii pełnej.

W jaki sposób tworzyć kopie zapasowe danych

Wykonywanie backupów można przeprowadzać w różny sposób. Warto jednak mieć na uwadze, że pamięć ludzka jest zawodna, wspomagajmy się zatem backupem automatycznym. Auto backup będzie tworzył kopie zapasowe systematycznie i regularnie.

Dobrym rozwiązaniem jest tworzenie backupu w firmowej chmurze. Ma ono szereg zalet, w tym dostęp do danych z dowolnego urządzenia oraz widoczność (dzięki synchronizacji) dla innych urządzeń i przeglądarek wszystkich zmian, wprowadzanych na jednym z komputerów. Ponadto backup w chmurze zapewnia wysoki poziom bezpieczeństwa danych bez wysokich nakładów inwestycyjnych.

Bardziej tradycyjnymi rozwiązaniami są urządzenia zewnętrzne – pendrive’y, dyski lub NAS (Network Attached Storage). Ta ostatnia metoda sprawdza się zwłaszcza w ośrodkach, gdzie gromadzone są dane z wielu źródeł, a jej najważniejszą zaletą jest automatyzacja. Oprócz tego NAS działa bezprzewodowo i współpracuje z urządzeniami mobilnymi.

Gdzie zapisywać wszystkie hasła

W czasach, kiedy nasze funkcjonowanie bez Internetu jest praktycznie niemożliwe, a haseł do różnych serwisów internetowych mamy co najmniej kilka, warto pomyśleć o ich bezpiecznym przechowywaniu i szyfrowaniu. Możemy wybrać spośród wielu darmowych aplikacji dostępnych w sieci. Są one mniej lub bardziej rozbudowane, w większości proste w obsłudze i niezwykle przydatne. Wiele z tych programów oferuje także możliwość zapisywania innych poufnych danych, jak numery kont bankowych, płatności, numery naszych kart kredytowych i PIN.

Programy do zarządzania hasłami:

  • Cyclonis Password Manager – wspomaga zarządzanie wieloma hasłami, przechowuje dane osobowe i wszelkie informacje niezbędne do logowania. Notatki prywatne można przechowywać w osobistym schowku, dostępnym w programie;
  • MSD Passwords – prosty program mogący pomieścić wszystkie nasze hasła i loginy w jednym miejsce, a dodatkowo przypisać je do różnych kategorii, co ułatwi ich odnalezienie. Po zainstalowaniu aplikacji będziemy musieli pamiętać tylko jedno hasło – właśnie do niej, które ustawimy podczas pierwszego uruchomienia. MSD ma wbudowany także generator haseł;
  • KeePassXC – stworzony do zarządzania hasłami w systemie Windows. Gromadzi loginy i hasła, a następnie automatycznie uzupełnia nimi panele podczas logowania;
  • SafeInCloud – jest dość rozbudowany, umożliwia przechowywanie loginów, haseł i innych danych wrażliwych, a także synchronizuje treść z innymi urządzeniami (tablet, smartfon), pracującymi w systemach Apple iOS i Android. Ma wbudowany generator haseł. Podobnie jak w przypadku MSD, prosi o utworzenie hasła po zainstalowaniu i od tej pory możemy pamiętać tylko to jedno hasło;
  • Dashlane – typowa aplikacja do przechowywania haseł, loginów, numerów kart płatniczych i kredytowych. Umożliwia pobranie ich wprost z przeglądarki.

Ochrona hasła a RODO

Od maja 2018 roku obowiązuje w Polsce rozporządzenie Unii Europejskiej o ochronie danych osobowych (RODO). Zostało stworzone z myślą o konsumentach, ale jednocześnie umacnia ochronę danych w instytucjach. Siłą rzeczy nakłada większą odpowiedzialność na podmioty, które gromadzą, przetwarzają i przechowują dane.

W dużym uproszczeniu, jeżeli nastąpi wyciek danych, sam fakt ich utraty nie będzie o tyle istotny, co jego przyczyna. Jeżeli podmiot, zobowiązany do przestrzegania RODO, wywiązał się z obowiązku zabezpieczenia danych, a mimo to wydostały się one na zewnątrz np. w skutek włamania hakera, konsekwencją będzie „łatanie dziury” w zabezpieczeniach lub ewentualnie ich wymiana. Natomiast jeżeli kontrola wykaże, że wyciek danych nastąpił w wyniku zaniedbań administratora, może to skutkować ogromną karą finansową. Maksymalna jej wysokość może wynieść 4 proc. rocznych obrotów firmy albo 20 mln euro. Dlatego bezpieczeństwo haseł, a co za tym idzie, bezpieczeństwo danych jest obecnie dla firm i instytucji zagadnieniem kluczowym.

Autor: Konrad Bielawski, specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.

Artykuł Ci się spodobał? Udostępnij!