Czy musisz mieć politykę haseł?
Jak już wspomniałem, polityka haseł powinna być częścią większego dokumentu zwanego polityką bezpieczeństwa. W świetle nowych przepisów o Ochronie Danych Osobowych, taki dokument wymagany jest od każdej firmy, niezależnie od jej wielkości. Zacznij więc od niej. Polityka haseł, z kolei, ma pomóc zarządzać dostępami wśród pracowników, a co za tym idzie dbać o wyższe bezpieczeństwo przetwarzanych informacji.
W dokumencie powinny się znaleźć informacje o tym jakie są procedury zmiany haseł dla poszczególnych systemów. Te, które zawierają dane osobowe zobligowane są do wymuszania zmiany hasła co 30 dni. Dla reszty można ustawić dowolną wartość. Według badań przeprowadzonych przez rząd Stanów Zjednoczonych na własne potrzeby, zalecane jest by robić to co sześć do dwunastu miesięcy.
Kolejna procedura powinna dotyczyć uniemożliwienia wpisania aktualnego hasła podczas wymuszonej zmiany. Idealnie, jeśli wcześniej podane przez użytkownika hasła miały czas życia, przykładowo trzy miesiące. Oznacza to, że niemożliwym jest podanie tego samego hasła przed upływem tego okresu. Gorszym rozwiązaniem jest ustawienie limitu na ilość zmiany hasła zanim możliwe będzie ponowne wybranie tego samego.
Dalej, warto pamiętać o blokadzie konta, w przypadku wielokrotnego podania złego hasła zanim wpisze się poprawne. Uniemożliwi to ataki typu brute force, czyli nieskończenie wiele prób automatycznego odgadnięcia hasła poprzez jego zgadywanie. Odradzam w tym miejscu odblokowanie konta za pomocą tak zwanych pytań z wiedzy. Za łatwo odnaleźć można odpowiedzi na te standardowe pytania w sieci. Dużo lepszy jest email z linkiem resetującym hasło.