Jak zadbać o bezpieczeństwo haseł w małej firmie?

Czy musisz mieć politykę haseł?

Jak już wspomniałem, polityka haseł powinna być częścią większego dokumentu zwanego polityką bezpieczeństwa. W świetle nowych przepisów o Ochronie Danych Osobowych, taki dokument wymagany jest od każdej firmy, niezależnie od jej wielkości. Zacznij więc od niej. Polityka haseł, z kolei, ma pomóc zarządzać dostępami wśród pracowników, a co za tym idzie dbać o wyższe bezpieczeństwo przetwarzanych informacji.

W dokumencie powinny się znaleźć informacje o tym jakie są procedury zmiany haseł dla poszczególnych systemów. Te, które zawierają dane osobowe zobligowane są do wymuszania zmiany hasła co 30 dni. Dla reszty można ustawić dowolną wartość. Według badań przeprowadzonych przez rząd Stanów Zjednoczonych na własne potrzeby, zalecane jest by robić to co sześć do dwunastu miesięcy.

Kolejna procedura powinna dotyczyć uniemożliwienia wpisania aktualnego hasła podczas wymuszonej zmiany. Idealnie, jeśli wcześniej podane przez użytkownika hasła miały czas życia, przykładowo trzy miesiące. Oznacza to, że niemożliwym jest podanie tego samego hasła przed upływem tego okresu. Gorszym rozwiązaniem jest ustawienie limitu na ilość zmiany hasła zanim możliwe będzie ponowne wybranie tego samego.

Dalej, warto pamiętać o blokadzie konta, w przypadku wielokrotnego podania złego hasła zanim wpisze się poprawne. Uniemożliwi to ataki typu brute force, czyli nieskończenie wiele prób automatycznego odgadnięcia hasła poprzez jego zgadywanie. Odradzam w tym miejscu odblokowanie konta za pomocą tak zwanych pytań z wiedzy. Za łatwo odnaleźć można odpowiedzi na te standardowe pytania w sieci. Dużo lepszy jest email z linkiem resetującym hasło.

Bardzo ważne jest, żeby w polityce haseł zawrzeć dobre praktyki tworzenia i trzymania haseł. Najważniejsze jednak jest to, żeby uzmysłowić pracownikom, że to nie jest kara, ale coś niezwykle niezbędnego, jeśli chodzi o bezpieczeństwo danych. Ludzie są najsłabszym ogniwem każdej organizacji i dzięki silnej polityce haseł możesz ograniczyć ryzyko związane z tym aspektem.

Czym powinno się charakteryzować silne hasło

We wspomnianym wyżej badaniu rządu USA, pojawiło się stwierdzenie, że polityka haseł powinna być przyjazna i zachęcać do tworzenia długich, ale łatwych do zapamiętania haseł. Sęk w tym, żeby słowa miały ze sobą jak najmniej wspólnego. Dla przykładu orzechyFantastykaPrzyjacieleSheeran. To są słowa powiązane z tym co lubię. Przy tej długości hasła będzie ono bardzo trudne do złamania. Ważne, obecnie algorytmy są bardzo sprytne i nie ma dla nich za dużej różnicy czy będziemy mieć hasło Poduszka, czy P0du5k@.

Wciąż w wielu serwisach minimalna długość hasła to osiem znaków. Co więcej, niektóre mają ograniczenie na jego maksymalną długość na dwanaście czy szesnaście. Obecnie zaś dwanaście znaków to powinno być zdecydowane minimum. Im dłuższe tym lepsze. Choć nic nie stoi na przeszkodzie by używać cyfr i znaków specjalnych w hasłach, to nie są one wymagane, o ile hasło jest odpowiednio długie i składa się z większej ilości wyrazów. Tym bardziej, że wszelkie cyfry i znaki utrudniają zapamiętanie hasła.

Należy nadmienić, iż hasło administratora danego systemu powinno składać się z minimum czternastu znaków. Ten sam administrator powinien stworzyć słownik słów zakazanych. Chcesz użyć password, qwerty czy 123456? Sprawdzasz w słowniku i już wiesz, żeby tego robić. Tak samo jak nie używaj imion bliskich i zwierzaków, dat urodzin czy imienin. Generalnie żadnych informacji, którymi dzielisz się w Internecie i łatwo je zdobyć.

Problemy z tworzeniem i przechowywaniem haseł

Pracownicy powinni być wyczuleni, że nie mogą używać tego samego hasła do wszystkich serwisów. Idealnie byłoby, gdyby też nie kombinowali używając tego samego słowa i zmieniając tylko jeden znaku na końcu. Dla bezpieczeństwa wszystkich, hasła te powinny diametralnie się od siebie różnić. Należy im wytłumaczyć, że jeśli będą robić jak w dwóch opisanych przypadkach na początku tego akapitu, to jeśli ktoś pozna ich hasło uzyska dostęp do wszystkich kont.

Rozumiem, że spamiętać te hasła to kłopot. Nie mniej jednak zapisywanie ich na żółtych karteczkach i przyklejanie do monitora albo pod klawiaturą to bardzo zły pomysł. Zapisywanie ich w rocznym kalendarzu leżącym na biurku również. Czy zatem trzeba je wszystkie wyryć w pamięci? Nic z tych rzeczy. Polecam do tego pogramy typu „pęk do kluczy”, jak KeePass. Należy także pamiętać, aby w polityce haseł uwzględnić zakaz wysyłania haseł wiadomościami email.

Poziomy dostępu dla pracowników

Nawet jeśli mamy pełnię zaufania do pracowników nie możemy pozwolić by każdy miał dostęp do wszystkiego. Raz, że nie ma takiej potrzeby, a dwa, że po co narażać się na zbędne ryzyko. Chociaż możesz się zabezpieczyć na poziomie umowy o pracę przed konsekwencjami kradzieży danych, to lepiej i tak dwa razy się zastanowić nad przydzieleniem odpowiednich dostępów.

Nadaj dostęp do wyselekcjonowanych danych odpowiednim działom. Człowiek od mediów społecznościowych nie powinien mieć wglądu w dane finansowe. Osoba na magazynie nie może mieć uprawnień do robienia zmian na stronie WWW. Każdy ma mieć tylko tyle dostępów, żeby móc wykonywać swoją pracę. Absolutnie odradzamy podejście "może kiedyś się przyda." Jak będzie potrzeba to zawsze możecie nadać te uprawnienia, a po skończonym zadaniu odebrać.

Pamiętajcie o zapewnieniu dostępu przełożonemu do danych na jakich pracują jego podwładni, tak by mógł w przypadku ich nieobecności przejąć te działania, którym na co dzień oni się zajmują. W przypadku nieobecności przełożonego należy nadać upoważnienia jego zastępcy bądź samemu przejąć te obowiązki. Staraj się dawać dostępy jak najmniejszej ilości ludzi, tak by łatwo wykryć przecieki i w razie problemów szybciej reagować.

Warto wspomnieć, że wiele systemów umożliwia różny poziom interakcji z danymi. Warto z tego korzystać. Jedni pracownicy mogą mieć tylko wgląd, inni wprowadzać zmiany, wymagające akceptacji lub zostawiać komentarze, a jeszcze inni zatwierdzać zmiany i trwale edytować dane.

Koniecznie wszelkie informacje o tym, kto ma jakie dostępy, powinno się mieć zapisane w dokumencie i na bieżąco go aktualizować. W przypadku rozstania się z pracownikiem należy zablokować wszystkie jego konta. Jeśli jakieś jest potrzebne, chociażby skrzynka email, można je podpiąć pod konto kierownika bądź zmienić samemu hasło w systemie. Zostawienie dostępów komuś, z kim rozwiązaliśmy współpracę może być potencjalnie bardzo niebezpieczne i prowadzić do wycieku informacji czy danych, co przełożyć się może na ogromne straty finansowe.

Wsparcie dla bezpiecznego logowania

Wspominałem o programie KeePass, który jako jeden z przedstawicieli tego typu aplikacji, potrafi w bardzo bezpieczny sposób przechowywać informacje o hasłach do wielu kont. Wystarczy pamiętać jedno główne hasło do bazy danych i nie martwić się resztą. Sama baza jest bardzo mocno zaszyfrowana i praktycznie nie do złamania o ile użyjesz odpowiednio trudnego hasła do niej.

KeePass zezwala też na pracę zespołową. Można utworzyć grupy, do których dasz dostęp wybranym pracownikom. Nic nie stoi na przeszkodzie, by ci pracownicy mieli też swoją prywatną grupę haseł, widoczną tylko przez nich. Dzięki temu cała firma może logować się do jednej bazy, w której są setki haseł, a widzieć w niej wyselekcjonowane dla siebie rzeczy. Ułatwi to też pracę administratorom systemu.

Polecam również korzystanie z logowania za pomocą dwustopniowej weryfikacji. Jest to też świetny dodatek do opcji resetowania haseł. W przypadku, gdy logujesz się z nowego miejsca, oprócz hasła musisz podać losowo generowany, jednorazowy kod jak potwierdzenie swojej tożsamości. Kod ten może albo przyjść w postaci wiadomości email, smsa, a także wyświetlić się w generatorze kodów w aplikacji na smartfonie. Z tych trzech osobiście polecam drugie i trzecie.

Polityka haseł w dziesięciu krokach

Stwórz dokument, w którym będziesz zapisywał wszystkie ustalenia.

Spisz zasady tworzenia haseł, ile mają mieć znaków i co zawierać.

Sporządź reguły zmiany hasła oraz ograniczenia tego procesu.

Spisz słownik słów zakazanych.

Przygotuj listę dobrych praktyk.

Wszędzie, gdzie masz na to wpływ aktywuj weryfikację dwustopniową.

Stwórz bazę danych obecnie używanych kont w programie takim jak KeePass.

Ustal poziomy dostępów dla pracowników.