Miesięcznik informatyków i menedżerów IT sektora publicznego

Marek Krupa

Dobre praktyki zarządzania hasłami

Hasło jest nadal najpopularniejszym zabezpieczeniem dostępu do naszych aktywów informatycznych. Pokazujemy, co zrobić, aby ten sposób zabezpieczenia dostępu do systemów, kont pocztowych czy bankowych był jak najbardziej bezpieczny.

W domyślnej zasadzie domeny (default domain policy) konfiguruje się ustawienia dotyczące haseł kont wszystkich użytkowników. Ustawienia znajdują się w ścieżce: Computer Configuration | Policies | Windows Settings | Security Settings | Password Policy.

Parafrazując Winstona Churchilla, można powiedzieć, że hasło nie jest najlepszym zabezpieczeniem, ale na razie człowiek nic lepszego nie wymyślił. Może nie jest tak do końca, ponieważ powstały już lepsze rozwiązania, ale są one albo droższe, albo trudniejsze do zaimplementowania w codziennym życiu.

Każdy system informatyczny musi uwierzytelnić użytkownika tak, aby w kolejnym kroku ocenić, jakie uprawnienia posiada osoba próbująca uzyskać dostęp. Podczas procesu uwierzytelniania musimy w jakiś sposób udowodnić, że my to my. Możemy to zrobić, wskazując dwie różne informacje, przy czym jedna z nich powinna być znana tylko osobie uwierzytelniającej. Najprostszym i zarazem najczęściej wykorzystywanym rozwiązaniem jest podanie dwóch informacji: identyfikatora użytkownika oraz hasła. Identyfikator użytkownika to nic innego, jak określenie, za jaką osobę się podajemy, hasło zaś jest dowodem na to, że jesteśmy tą osobą.

Czy hasło jest bezpieczne

Niestety, w tym systemie najsłabszym ogniwem bywa zwykle człowiek. Co prawda, większość administratorów dysponuje rozwiązaniami, które wymuszają na użytkownikach stosowanie bezpiecznych haseł, ale nie są one w pełni skuteczne. Do podstawowych atrybutów bezpiecznego hasła zaliczamy: długość (min. 8 znaków), złożoność (małe i duże litery, cyfra i znak specjalny) oraz maksymalny okres ważności hasła (najczęściej 30 dni). Same atrybuty, a także ich wartości są konsekwencją matematyki: jeżeli hasło będzie krótkie, np. 6-znakowe, to włamywacz metodą siłową złamie je w ciągu kilku godzin.

Szybkość złamania hasła zależy oczywiście od jego długości i złożoności. Dużo szybciej złamie się hasło typu mojehaslo niż hasło MojeHaslo. Frazę ochronną można jeszcze bardziej skomplikować, zmieniając o na 0 i a na @; powstanie wtedy hasło M0jeH@slo. Hasło spełnia wszystkie wymogi, o których wspomniano wcześniej, ale nie można go uznać za bezpieczne. Po pierwsze jest to zlepek dwóch słów tzw. słownikowych, po drugie zastosowano bardzo powszechną podmianę określonych znaków (por. leet speak). Crackerzy też o tym wiedzą, należy więc uczulić użytkowników, aby do tworzenia haseł nie używali nie tylko imion swoich i bliskich, ale również słów słownikowych – kombinacja znaków specjalnych na niewiele się przyda.

Jedno hasło do wielu zastosowań

Kolejnym problemem jest stosowanie przez użytkowników tych samych haseł w wielu systemach i usługach. Niestety, taka praktyka zdarza się dosyć często i to samo hasło, które pracownik ustawił sobie na swoim koncie służbowym, jest wykorzystywane podczas logowania do prywatnej skrzynki e-mail, konta bankowego czy portali społecznościowych. Jeżeli hasło zostanie wykradzione z któregoś z systemów, np. do poczty elektronicznej, włamywacze bez problemu przejmą dostęp do pozostałych usług, w tym uzyskają nieautoryzowany dostęp do naszej sieci wewnętrznej.

[...]

Autor jest niezależnym konsultantem oraz szkoleniowcem w zakresie zarządzania systemami informatycznymi oraz ochrony danych osobowych. Prelegent na licznych konferencjach, właściciel wielu certyfikatów Microsoft. Dwukrotnie uhonorowany tytułem MVP w kategorii Enterprise Mobility.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej