Hasła – dobre praktyki

Wszyscy wielokrotnie w ciągu dnia używamy haseł, pinów, tokenów zabezpieczających. Między innymi w Internecie, podczas autoryzacji transakcji bankowych, w trakcie logowania do systemów, aplikacji, skrzynki e-mail w pracy, czy w telefonie do serwisów społecznościowych. Większość z nas sądzi, że nasze hasła są nie do złamania i korzystamy z nich w prawidłowy sposób. Mimo to można było przeczytać w 2019 roku o możliwości zakupu na forach hackerskich bazy „Collection #1”, która zawierała 773 mln adresów e-mail oraz 21 mln haseł pochodzących z ponad 2000 serwisów (w tym również polskich), zaktualizowana baza kosztowała jedyne 45 dolarów. Więc na pewno bardzo duża liczba osób zainteresowanych ją kupiła. Dobrze, aby nie znalazły się w takiej bazie nasze dane do logowań do serwisów, co groziłoby możliwością podszycia się pod naszą osobę. Czym się zatem kierować i jakie są zasady tworzenia prawidłowych haseł?: 

1. Długość hasła, to wg powszechnie obowiązujących przepisów i przekonania: 8 znaków. Warto tu przypomnieć że, im więcej znaków, tym lepiej. Zalecamy minimum 12 znaków.

2. Hasło winno składać się z kombinacji, a więc małych i wielkich liter, – cyfr, – znaków specjalnych.

3. Hasło powinno składać się ze znaków wybieranych z całej klawiatury (trudniej je dostrzec osobie obserwującej naszą klawiaturę – najlepiej abyśmy wpisywali je dwoma rękoma.)

4. Hasło nie powinno składać się z klawiszy sąsiadujących (nawet gdy pozornie spełnia stopień komplikacji); #edc$rfv, 9i8u7y.

5. Hasło nie powinno zawierać danych związanych z Twoja osobą, takich jak: imię, nazwisko, powszechnie znane fakty z Twojego życia czy otoczenia, np.: Tomek123, gruby!@#

6. W haśle nie należy używać słów, które tworzą znane wszystkim kolokacje, powiedzenia, tytuły, cytaty, teksty piosenek, ponieważ nie jest to przypadkowy ciąg wyrazów. Pamiętaj, iż istnieje tzw. metoda brute force – technika łamania haseł lub kluczy kryptograficznych polegająca na sprawdzeniu wszystkich możliwych kombinacji.

7. Każde hasło winno być zmienne w czasie. Zaleca się, aby zmieniać hasło co najmniej raz w miesiącu (w zależności od stopnia trudności hasła lub zalecanych wymagań producenta aplikacji, systemu z którego korzystamy)

8. Hasło powinno być odrzucane przez systemy komputerowe za każdym razem gdy ich zmiana jest niewielka np.: w styczniu ustawiono = hasło1, w lutym = hasło2 oraz nie dopuszczać możliwości stosowania tego samego hasła co najmniej przez rok.

9. Nie należy posługiwać się jednym hasłem w wielu miejscach, to samo dotyczy loginu, np.: portale społecznościowe, sklepy internetowe, systemy w pracy, dostęp do skrzynki e-mail.

10. Nie powinno się zapisywać haseł w miejscach ogólnodostępnych np.; w pracy na monitorze, pod klawiaturą, na kartce umieszczonej w portfelu, torbie. Takie hasła mogą być znalezione przez personel zewnętrzny, trafić w ręce złodzieja, jak również innych osób podczas zgubienia np. portfela, torby. Haseł nie powinno się przysyłać również mailem, ani innymi komunikatorami.

11. Koniecznie należy zmieniać hasła domyślne (tzw.: default password) dla urządzeń, które instalujesz w domu np.: routerów, modemów. Listy haseł dla tych urządzeń są powszechnie dostępne, gdyż służą do logowania się w przypadkach zagubienia dokumentacji technicznej. 

12. Używaj haseł losowo frazowych (niepowiązanych ze sobą w sposób logiczny) z wymiennością znaków, np.: W3r0ni^k@!, z@b_@Wk@^p_@uLi

13. Często tworząc hasło do konta w celu jego zresetowania wymagane jest udzielenie odpowiedzi na wybrane pytanie należy wówczas pamiętać, aby odpowiedź nie zawierała danych, które tak naprawdę można o nas uzyskać w sieci (np. z portali społecznościowych) lub są łatwe do odgadnięcia, tutaj także zaleca się użycie silnego hasła w odpowiedzi na pytanie pozwalające na zresetowanie hasła do naszego konta. Jeżeli jest taka możliwość, warto też ustawić i korzystać z Authenticatora generującego odpowiedni kod dostępu.

14. Coraz większą popularnością cieszą się zarówno komercyjne (płatne) jak i darmowe generatory haseł. Warto z nich skorzystać.

15. Jeżeli dalej masz problem z ustawieniem silnego hasła, które powinno mieć odpowiednią trudność, skorzystaj z linków aby sprawdzić czy jest wystarczająco dobre; https://howsecureismypassword.net/, http://www.passwordmeter.com/

Przepisy przewidują odpowiedzialność karną za udostępnianie haseł lub za bezprawne uzyskanie informacji:

Art. 267. KK

Bezprawne uzyskanie informacji

§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

(…)

§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.

(…)

a także:

Art. 269b KK. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch, zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)).

Należy wspomnieć, że w przewodniku zabezpieczeń Windowsa 10, w ramach minimalizacji ryzyka zaleca się  aby nie można było powtórzyć ostatnich 24 haseł. Zaleca się również aby weryfikacja za pomocą hasła była wymagana przy wzbudzaniu komputera ze stanu uśpienia. Należy edukować użytkowników odnośnie zasad używania haseł. Podnoszenie świadomości wśród użytkowników odnośnie ochrony tożsamości wpływa znacząco na bezpieczeństwo całego systemu. 

Jeżeli chciałbyś się dowiedzieć więcej na temat szkolenia i stworzenia dokumentacji dot. m.in. wprowadzenia polityki haseł, stworzenia Instrukcji Zarządzania Systemem Informatycznym,  to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.