restoration test

Polityka haseł: Klucz do ochrony przed nieautoryzowanym dostępem

Written by

restorator

in

Polityka haseł: ochrona przed nieautoryzowanym dostępem

Od tysięcy lat ludzkość ceniła sobie sekrety. Szyfrowanie na przestrzeni wieków nabierało znaczenia, szczególnie w czasach konfliktów zbrojnych, gdzie utrzymanie tajemnicy nierzadko decydowało o wyniku starć i przyszłości całych cywilizacji. Historia obfituje w momenty, w których ujawnienie sekretu miało dramatyczny wpływ na bieg wydarzeń.

Przykładem może być odszyfrowanie Telegramu Zimmermanna w trakcie I Wojny Światowej. Ta zręczna operacja kryptograficzna ujawniła niemiecką propozycję sojuszu skierowaną do Meksyku, co w efekcie przyspieszyło decyzję Stanów Zjednoczonych o przystąpieniu do wojny. Z kolei, II Wojna Światowa przyniosła epicką rywalizację kryptografów niemieckich, pracujących nad Enigmą, oraz polskich i brytyjskich analityków, którzy podjęli wyzwanie złamania jej kodu. Szyfry i sekrety, jednak, znajdowały zastosowanie również w sferach mniej wzniosłych. Już starożytna Kamasutra zalecała kobietom umiejętność posługiwania się mlecchita-vikalpa, czyli sekretnym pismem, jako jedną z sześćdziesięciu czterech sztuk, pozwalającą na dyskretne prowadzenie miłosnych intryg.

Wraz z nastaniem ery komputerów, kryptologia i zaawansowane techniki szyfrowania oparte na matematycznych algorytmach wkroczyły w nową fazę rozwoju. Dziś, użytkownik nowoczesnych technologii nie musi być biegłym w dziedzinie algorytmów, aby skutecznie chronić swoje dane. Mechanizmy szyfrowania są integralną częścią aplikacji i systemów operacyjnych, a dostęp do nich jest chroniony hasłem.

Uwierzytelnianie i autoryzacja – dwa kluczowe pojęcia

W kontekście cyberbezpieczeństwa, kluczowe jest precyzyjne rozróżnienie pomiędzy uwierzytelnianiem a autoryzacją.

Uwierzytelnianie
to proces weryfikacji tożsamości użytkownika w systemie informatycznym. Przykładowo, podanie loginu i hasła jest formą uwierzytelniania, potwierdzającą, że użytkownik jest tym, za kogo się podaje.
Autoryzacja
natomiast, to proces sprawdzania, czy uwierzytelniony użytkownik posiada adekwatne uprawnienia do korzystania z określonych zasobów i funkcji systemu. Innymi słowy, autoryzacja (patrz: Tabela 1 poniżej) decyduje o tym, co dany użytkownik może robić po pomyślnym uwierzytelnieniu.

Zrozumienie różnicy pomiędzy tymi dwoma pojęciami jest fundamentalne dla budowania skutecznych mechanizmów bezpieczeństwa.

Porównanie procesów: Uwierzytelnianie vs. Autoryzacja
Kryterium Uwierzytelnianie Autoryzacja
Cel procesu Potwierdzenie tożsamości użytkownika Weryfikacja uprawnień dostępu
Odpowiada na pytanie „Kim jesteś?” „Co możesz zrobić?”
Konieczność Zawsze wymagane przed autoryzacją Następuje po uwierzytelnieniu, aby regulować dostęp
Przykłady Logowanie hasłem, skan biometryczny Uprawnienia do folderów, role użytkowników
Tabela 1: Podstawowe różnice między uwierzytelnianiem i autoryzacją. Źródło: Opracowanie własne.

Metody uwierzytelniania

Proces uwierzytelniania może być realizowany w oparciu o różnorodne metody. Możemy wyróżnić kilka podstawowych kategorii, bazujących na:

Wiedzy
coś, co użytkownik zna, np. hasło, PIN, odpowiedź na tajne pytanie.
Cechach biometrycznych
coś, czym użytkownik jest, np. odcisk palca, skan tęczówki oka, rozpoznawanie twarzy.
Posiadaniu
coś, co użytkownik posiada, np. karta elektroniczna, token sprzętowy, aplikacja mobilna z kodem jednorazowym.
Lokalizacji
gdzie użytkownik się znajduje, fizycznie lub logicznie, co może stanowić dodatkowe potwierdzenie wcześniejszej weryfikacji. Na przykład, logowanie z zaufanej sieci firmowej.

Należy podkreślić, że w praktyce metody uwierzytelniania są często łączone, tworząc uwierzytelnianie wieloskładnikowe (MFA). To podejście znacząco podnosi poziom bezpieczeństwa, ponieważ wymaga spełnienia więcej niż jednego warunku w celu potwierdzenia tożsamości użytkownika. Przykładowo, oprócz hasła, system może żądać kodu SMS wysłanego na telefon użytkownika lub potwierdzenia logowania w aplikacji mobilnej.

Najbardziej rozpowszechnioną i zarazem najstarszą metodą uwierzytelniania pozostaje hasło. Używamy haseł na co dzień, logując się do komputerów, poczty elektronicznej, bankowości internetowej, bankomatów i wielu innych systemów. Mimo pojawienia się nowocześniejszych technik, hasła wciąż stanowią fundament bezpieczeństwa w cyberprzestrzeni.

Jak wybrać właściwe hasło?

Aby skutecznie tworzyć bezpieczne hasła, kluczowe jest zrozumienie technik, które cyberprzestępcy wykorzystują do ich łamania. Jedną z najbardziej podstawowych metod jest atak siłowy (brute force).

Atak siłowy polega na systematycznym sprawdzaniu wszystkich możliwych kombinacji znaków, aż do odnalezienia poprawnego hasła.”

Podręcznik Cyberbezpieczeństwa, CEG, 2024

Skuteczność ataku siłowego bezpośrednio zależy od dwóch czynników: długości hasła i złożoności hasła, czyli liczby dostępnych znaków, które mogą być użyte w haśle. Matematycznie, liczbę kombinacji można przedstawić wzorem NM, gdzie N to liczba znaków, a M to długość hasła. Dla haseł 8-znakowych, wykorzystujących litery i cyfry, atak siłowy jest zazwyczaj nieefektywny, ze względu na ogromną liczbę potencjalnych kombinacji.

Drugą, popularną techniką jest atak słownikowy. Wielu użytkowników, świadomie lub nie, wybiera proste hasła, składające się z łatwych do zapamiętania słów, imion, dat itp. Atak słownikowy wykorzystuje obszerne listy słów (tzw. słowniki) w różnych językach, listy imion, popularnych nazwisk oraz haseł, które wyciekły w przeszłości. Zaawansowane oprogramowanie do łamania haseł może modyfikować atak słownikowy, dodając cyfry, znaki specjalne na początku lub końcu hasła, lub sprawdzając hasło od tyłu.

W praktyce, atak słownikowy jest bardzo skuteczny i często wykorzystywany przez cyberprzestępców, szczególnie w przypadku kont o słabszych zabezpieczeniach. Dlatego kluczowe jest unikanie haseł słownikowych i stosowanie haseł losowych lub pseudolosowych, które są odporne na tego typu ataki.

Polityka haseł a przepisy prawne w Polsce

W procesie wdrażania polityki haseł w systemach IT, niezbędne jest uwzględnienie wymogów międzynarodowych norm i obowiązujących przepisów prawa polskiego. Przepisy prawa określają minimalne standardy bezpieczeństwa w zakresie ochrony danych osobowych i informacji poufnych, w tym wymagania dotyczące polityki haseł.

Polityka haseł w kontekście ochrony danych osobowych

Wymagania dotyczące polityki haseł w systemach przetwarzających dane osobowe w Polsce reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku, wydane na mocy Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Rozporządzenie to wprowadza trzy poziomy bezpieczeństwa systemów IT, uwzględniające rodzaj przetwarzanych danych i połączenie z siecią publiczną:

  1. Poziom podstawowy:
    • system nie przetwarza danych wrażliwych (art. 27 ustawy, np. dane o pochodzeniu rasowym, poglądach politycznych, zdrowiu itp.)
    • system nie jest połączony z siecią publiczną.
  2. Poziom podwyższony:
    • system przetwarza dane wrażliwe
    • system nie jest połączony z siecią publiczną.
  3. Poziom wysoki:
    • przynajmniej jedno urządzenie systemu przetwarzającego dane osobowe jest połączone z siecią publiczną (Internet).

W praktyce, większość systemów IT przetwarzających dane osobowe klasyfikuje się jako systemy o poziomie wysokim, ze względu na powszechny dostęp do Internetu na stacjach roboczych użytkowników. To implikuje konieczność stosowania bardziej rygorystycznych wymagań w zakresie polityki haseł.

Dla każdego poziomu bezpieczeństwa określone są minimalne wymagania dotyczące haseł, które przedstawia poniższa tabela (patrz: Tabela 2):

Minimalne wymagania dotyczące haseł w zależności od poziomu bezpieczeństwa
Poziom bezpieczeństwa Wymagania dotyczące hasła
Minimalna długość Częstotliwość zmiany
Poziom podstawowy 6 znaków Co najmniej co 30 dni
Poziom podwyższony i wysoki 8 znaków, zawierające małe i wielkie litery, cyfry lub znaki specjalne Co najmniej co 30 dni
Tabela 2: Minimalne wymagania dla polityki haseł. Źródło: Rozporządzenie MSWiA z 2004 r.

Wszystkie systemy przetwarzające dane osobowe w organizacji powinny obligatoryjnie spełniać te wymogi. Większość nowoczesnych systemów informatycznych umożliwia zdefiniowanie polityki haseł i wymuszenie stosowania silnych haseł przez użytkowników. Jeśli system nie oferuje takich wbudowanych funkcji, konieczne jest wprowadzenie regulacji organizacyjnych, które zapewnią zgodność z przepisami.

Jak wymyślić bezpieczne i łatwe do zapamiętania hasło?

Stworzenie hasła, które jest zarówno bezpieczne, jak i łatwe do zapamiętania, może wydawać się paradoksem. Jednak istnieje kilka skutecznych metod, które ułatwiają ten proces, pozwalając na generowanie haseł zgodnych z polityką bezpieczeństwa, a jednocześnie przyjaznych ludzkiej pamięci:

Połączenie słów
Zamiast pojedynczego słowa, użyj kombinacji kilku słów, tworząc w ten sposób dłuższe i trudniejsze do złamania hasło. Dodatkowo, wzbogać hasło o cyfry i znaki specjalne, np. 10majagramWszachy:), pije9razyJem2razy!. Kombinacja słów może być związana z Twoimi zainteresowaniami lub łatwymi do skojarzenia frazami.
Wstawianie słów
Ta metoda polega na wstawianiu jednego słowa w środek drugiego słowa. To tworzy hasło, które jest trudniejsze do odgadnięcia słownikowo, ale wciąż stosunkowo łatwe do zapamiętania. Przykład: poliautotyka2* („politechnika” + „auto”).
Błędy i zamiany
Celowe zrobienie błędu w pisowni lub zamiana znaków może skutecznie utrudnić ataki słownikowe. Przykładowo, zamiast „samochód”, można użyć 1samohud&. Ta niewielka modyfikacja znacząco zwiększa bezpieczeństwo.
Akronimy
Wykorzystaj pierwsze litery zdań, ulubionych piosenek, przysłów lub ważnych fraz. Na przykład: „Dzisiaj o 8 rano usłyszałem wieść o nowej Koalicji, na szczęście był To tylko sen.” Hasło: Do8ruwonK,nsbTts. Akronimy tworzą długie i złożone hasła, które są trudne do złamania.

Należy jednak pamiętać, że te metody nie są idealne, a hasło generowane losowo byłoby statystycznie bezpieczniejsze. Jednak w praktyce hasła losowetrudne do zapamiętania i często prowadzą do niebezpiecznych praktyk, takich jak zapisywanie ich na karteczkach.

Zapisywanie haseł – tak czy nie?

Fundamentalna zasada zarządzania hasłami brzmi kategorycznie: haseł nie należy nigdzie zapisywać – ani w formie cyfrowej (pliki tekstowe, dokumenty), ani na papierze (karteczki, tablice). Powszechny niestety, lecz bardzo ryzykowny zwyczaj, to karteczki z hasłami przypięte do monitora lub ukryte pod klawiaturą. Zasada ta dotyczy przede wszystkim haseł użytkowników.

Wyjątkiem, potwierdzającym regułę, są hasła administracyjne. Dla zapewnienia ciągłości działania systemu, hasło administratora powinno być zapisane i odpowiednio zabezpieczone. Zapobiega to problemom w sytuacjach awaryjnych lub w przypadku odejścia administratora z pracy. Hasła administracyjne zapisuje się na kartce, umieszcza w specjalnej kopercie, która zabezpiecza przed podejrzeniem i sygnalizuje próby otwarcia, a następnie przechowuje w sejfie z ograniczonym dostępem i ściśle określonymi procedurami zarządzania kluczami.

Zapisywanie haseł administracyjnych to dopuszczalna praktyka, pod warunkiem zachowania najwyższych standardów bezpieczeństwa i ścisłego nadzoru nad dostępem do nich.”

Wytyczne Bezpieczeństwa IT, ITSS, 2023

Czy można komuś przekazać hasło?

W kontekście zapewnienia rozliczalności, każdy użytkownik powinien mieć indywidualne konto i znać tylko swoje hasło. Przekazywanie haseł jest stanowczo niedozwolone. Wyjątkiem może być sytuacja awaryjna, gdy hasło jest przekazywane administratorowi na jego pisemny wniosek. W większości przypadków, administrator może zresetować hasło użytkownika, aby uzyskać dostęp do jego konta lub danych. Nie ma zatem uzasadnienia, by prosić użytkownika o podanie hasła.

Konieczne jest ciągłe ostrzeganie użytkowników przed atakami socjotechnicznymi. Atakujący, podszywając się pod administratora lub serwisanta, może próbować wyłudzić hasło telefonicznie lub mailowo. Użytkownicy powinni być wyczuleni na takie próby i nigdy nie ujawniać haseł w takich sytuacjach, natychmiast informując jednocześnie administratora o podejrzanym kontakcie.

Przekazywanie haseł w zastępstwie (np. podczas choroby lub urlopu) również nie jest właściwe. W takich przypadkach, należy rozszerzyć uprawnienia osoby zastępującej, aby mogła wykonywać zadania z poziomu własnego konta. Podobnie, pocztę elektroniczną można przekierować na inne konto. Niezbędne jest pamiętanie o udokumentowaniu zmian uprawnień i ich cofnięciu po ustaniu zastępstwa.

Czym jest polityka haseł i dlaczego jest ważna?

Polityka haseł to zbiór zasad i wytycznych dotyczących tworzenia, używania i zarządzania hasłami w systemach informatycznych. Jest ważna, ponieważ pomaga chronić przed nieautoryzowanym dostępem do danych i systemów, stanowiąc podstawowy element cyberbezpieczeństwa.

Jaka jest różnica między uwierzytelnianiem a autoryzacją?

Uwierzytelnianie to proces weryfikacji tożsamości użytkownika, czyli potwierdzenie, że użytkownik jest tym, za kogo się podaje (np. poprzez login i hasło). Autoryzacja to proces sprawdzania, czy uwierzytelniony użytkownik ma odpowiednie uprawnienia do dostępu do określonych zasobów lub funkcji systemu.

Jakie są podstawowe metody uwierzytelniania?

Podstawowe metody uwierzytelniania to: uwierzytelnianie oparte na wiedzy (hasło, PIN), cechach biometrycznych (odcisk palca, skan tęczówki oka), posiadaniu (karta elektroniczna, token), i lokalizacji (logowanie z zaufanej sieci). Często stosuje się uwierzytelnianie wieloskładnikowe (MFA), łączące różne metody dla zwiększenia bezpieczeństwa.

Jak wybrać silne hasło?

Silne hasło powinno być długie, złożone i unikalne. Należy unikać haseł słownikowych, imion, dat i innych łatwych do odgadnięcia słów. Zaleca się stosowanie kombinacji wielkich i małych liter, cyfr i znaków specjalnych. Dobrym sposobem jest łączenie kilku słów lub stosowanie akronimów.

Czy istnieją przepisy prawne w Polsce regulujące politykę haseł?

Tak, w Polsce polityka haseł jest regulowana przepisami prawa, szczególnie w kontekście ochrony danych osobowych. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 2004 roku określa minimalne wymagania dotyczące haseł w systemach IT przetwarzających dane osobowe, w zależności od poziomu bezpieczeństwa systemu.

Jak wymyślić bezpieczne i łatwe do zapamiętania hasło?

Można stosować metody takie jak łączenie słów, wstawianie słów, robienie celowych błędów pisowni lub zamiana znaków, oraz tworzenie haseł z akronimów. Przykłady to kombinacje słów z cyframi i znakami specjalnymi, wstawianie słowa w środek innego słowa, zamiana liter na podobne cyfry lub znaki specjalne, lub używanie pierwszych liter zdań z dodatkami.

Czy zapisywanie haseł jest bezpieczne?

Zasadniczo haseł nie należy nigdzie zapisywać, ani w formie cyfrowej, ani na papierze, szczególnie haseł użytkowników. Wyjątkiem są hasła administracyjne, które w celu zapewnienia ciągłości działania systemu, mogą być zapisane, ale muszą być odpowiednio zabezpieczone, np. w sejfie z ograniczonym dostępem i procedurami zarządzania kluczami.

Czy wolno komuś przekazywać swoje hasło?

Przekazywanie haseł jest stanowczo niedozwolone. Każdy użytkownik powinien mieć indywidualne konto i znać tylko swoje hasło. Wyjątkiem może być sytuacja awaryjna, gdy hasło jest przekazywane administratorowi na jego pisemny wniosek, ale zazwyczaj administrator może zresetować hasło użytkownika bez potrzeby jego poznania.

Comments

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

More posts