Powered by SmartsuppJak stworzyć bezpieczne hasło? - RavNet
RavNet Tel.+48 22 869 75 00| E-mail: biuro@ravnet.pl

Nowoczesne hasła - poradnik RavNet

 

[Wprowadzenie]

Witamy w poradniku "Nowoczesne hasła"! Hasła to powszechnie wykorzystywany, prosty i wszystkim znany sposób chronienia dostępu do poufnych danych i usług. Aby jednak działały skutecznie, muszą być tworzone i stosowane w sposób prawidłowy, dostosowany do aktualnych wymogów technicznych i organizacyjnych. Urządzenia się zmieniają, pojawiają się nowe usługi, a dotychczasowa wiedza na temat skuteczności procedur uwierzytelniania jest weryfikowana. Stąd potrzeba aktualizacji rekomendacji dla użytkowników i organizacji, przede wszystkim w zakresie tworzenia i stosowania haseł oraz projektowania procedur logowania.

[Zmienione zalecenia]

Warto podkreślić, że w ciągu ostatnich kilku lat zmienione zostały obowiązujące od długiego czasu zalecenia, mówiące między innymi o potrzebie cyklicznej, profilaktycznej zmiany hasła lub stosowania znaków specjalnych i cyfr w celu jego wzmocnienia. Niestety, w wielu organizacjach procedury te nadal są stosowane, co negatywnie wpływa na bezpieczeństwo.

[Uwierzytelnianie]

Bezpieczny dostęp do informacji zawsze wymaga weryfikacji tożsamości osoby ubiegającej się o ten dostęp. Ten proces nazywamy uwierzytelnianiem. Najczęściej wymaga on przekazania i weryfikacji tak zwanego sekretu, którym może być na przykład hasło lub kod PIN. Najważniejszą cechą sekretu jest jego tajność – powinien on być znany tylko uprawnionym osobom. Rozwój technologii i przenoszenie życia do sfery cyfrowej sprawiły, że liczba systemów, w których musimy się uwierzytelniać, znacząco wzrosła. Zapamiętanie silnych, unikalnych haseł do każdego z nich może być problematyczne, a nawet niemożliwe. Z pomocą przychodzą różne mechanizmy i technologie, które mogą to uprościć.

[Menedżery haseł]

Jednym z takich narzędzi są menedżery haseł. Ułatwiają one radzenie sobie z dużą liczbą kont i haseł. Istnieje wiele rozwiązań, od tych wbudowanych w przeglądarkę, po rozwiązania działające w chmurze. Ich zadaniem jest bezpieczne przechowywanie haseł, eliminując potrzebę ich zapamiętywania. Pozwalają również na generowanie haseł i często automatyczne ich wpisywanie. Menedżer wbudowany w przeglądarkę to powszechne rozwiązanie, które pozwala zwiększyć siłę haseł niewielkim kosztem. Należy jednak pamiętać o ryzyku utraty dostępu do danych w przypadku awarii lub utraty sprzętu, jeśli nie zadbano o kopię zapasową. Rozwiązania chmurowe minimalizują to ryzyko, ponieważ dane nie są przechowywane bezpośrednio na naszym urządzeniu.

[Dostawcy tożsamości]

Innym rozwiązaniem są technologie nazywane „dostawcami tożsamości” (ang. identity providers). Umożliwiają one stworzenie jednego miejsca do zarządzania tożsamościami i udostępnianie ich innym usługom w celu uwierzytelnienia. Przykładem jest Single Sign-On (SSO), popularny w środowiskach korporacyjnych. Pozwala on na oddelegowanie konta użytkownika z jednego miejsca, tak aby inne usługi mogły nas rozpoznać i uwierzytelnić. Podobnie działa mechanizm OAuth, dzięki któremu możemy zalogować się np. do platformy muzycznej, używając konta w portalu społecznościowym. Użytkownik uzyskuje wtedy dostęp do wielu usług, używając tylko jednego hasła u dostawcy tożsamości.

[Biometria]

Biometria to metoda uwierzytelnienia, która wykorzystuje "coś, czym jesteś" jako czynnik weryfikacji. Najczęściej stosowane są odcisk palca, skan twarzy lub obraz tęczówki oka. Duża dostępność urządzeń biometrycznych w telefonach i komputerach, ich wygoda oraz dojrzałość technologii sprawiają, że jest to często bezpieczna forma uwierzytelnienia. Należy jednak pamiętać, że nie wszystkie systemy i urządzenia obsługują tę technologię, i nie wszędzie jest to najlepsze rozwiązanie.

[Uwierzytelnianie dwuskładnikowe]

Uwierzytelnianie dwuskładnikowe to metoda weryfikacji, która polega na sprawdzeniu dwóch z trzech poniższych czynników:

  • Coś, co znasz – np. hasło lub kod PIN.
  • Coś, co posiadasz – np. token sprzętowy, telefon, karta Smart Card.
  • Coś, czym jesteś – np. odcisk palca lub skan tęczówki oka. Najczęściej stosowaną kombinacją jest hasło (coś, co znasz) plus jeden z czynników z pozostałych grup. Drugi składnik stanowi dodatkową warstwę bezpieczeństwa. Popularne drugie składniki to kody SMS, kody generowane przez token sprzętowy, lub potwierdzenie operacji w aplikacji. Zastosowanie tego rozwiązania uniemożliwia atakującemu, który pozyskał login i hasło, uwierzytelnienie się w usłudze, jeśli nie zdobędzie również drugiego składnika.

[Polityka haseł: Rekomendacje CERT Polska]

Zalecenia, które prezentujemy, bazują na aktualnych publikacjach międzynarodowych, takich jak NIST Digital Identity Guidelines czy materiały FBI, a także na obserwacjach i doświadczeniach CERT Polska. Poniżej przedstawiamy rekomendowane wymagania dla polityki haseł:

  • Brak wymuszonej okresowej zmiany haseł użytkowników. Dotychczasowe rozporządzenie wymagające okresowej zmiany haseł zostało uchylone 6 lutego 2019 roku.
  • Blokada tworzenia hasła znajdującego się na liście słabych/często używanych haseł. CERT Polska publikuje polską wersję słownika zawierającego około miliona najpopularniejszych haseł, co może pomóc administratorom systemów.
  • Blokada hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi).
  • Minimalna długość hasła – co najmniej 14 znaków. CERT Polska zaleca ustawianie haseł dłuższych, budowanych w oparciu o całe zdanie. W czerwcu 2025 roku zalecenia te zostały zaktualizowane, zwiększając minimalną długość z 12 do 14 znaków.
  • Limit znaków w haśle nie mniejszy niż 64 znaki.
  • Brak dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter.

[Uzasadnienie rekomendacji]

Skupiono się na długości hasła zamiast jego złożoności, ponieważ badania wskazują, że jest to znacznie ważniejszy czynnik wpływający na bezpieczeństwo. Zrezygnowano z wymuszania okresowej zmiany haseł, ponieważ nowe hasła są najczęściej wariacją poprzednich, łatwą do przewidzenia. Badania pokazują, że użytkownicy nie są w stanie zapamiętać całkiem nowego silnego hasła np. co miesiąc. Zamiast wymogów złożoności, skupiono się na wykluczeniu haseł w oczywisty sposób prostych, najczęściej używanych, przewidywalnych lub ujawnionych w wyciekach. Dotyczy to haseł zbudowanych według prostych schematów, popularnych imion, zwrotów czy nazw własnych, a także tych zawartych w słownikach używanych do łamania haseł (np. "123456", "password"). Należy również unikać łatwych do przewidzenia składowych, takich jak nazwa firmy czy usługi, ponieważ tylko nieznacznie zwiększają one bezpieczeństwo. Przykładowo, hasło "zaq1@wsxCERT" jest równie słabe jak "zaq1@wsx", jeśli użyje go pracownik CERT Polska.

[Hasła silne i łatwe do zapamiętania]

Silne hasło można zbudować na wiele sposobów. Można wylosować długi ciąg znaków i zapisać go w menedżerze haseł. Jednak takie hasło jest trudne do zapamiętania. Silne, łatwe do zapamiętania hasło jest potrzebne na przykład do bazy danych menedżera haseł lub do konta użytkownika w systemie operacyjnym, gdy nie mamy jeszcze dostępu do menedżera.

Jak budować silne hasła, które zapamiętamy:

  1. Używaj zasady pełnych zdań. Należy unikać znanych cytatów czy powiedzeń, ale mogą one posłużyć jako inspiracja. Takie hasło powinno składać się z przynajmniej pięciu słów. Przykładem silnego i łatwego do zapamiętania hasła jest: "WlazlKostekNaMostekIStuka".
  2. Buduj hasło z opisu wyimaginowanej sceny. Obraz takiej sceny powinien być łatwy do zapamiętania i jednoznacznego opisania. Ważne jest, aby scena zawierała jakiś element nierealistyczny lub abstrakcyjny. Przykład: "zielonyParkingDla3malychSamolotow". Elementy nierealistyczne utrudniają atakującym użycie mniejszego słownika, dostosowanego pod konkretną osobę.
  3. Używaj słów z kilku języków. Przykładem takiego hasła może być: "DwaBialeLatajaceSophisticatedKroliki". Jego siła wynika z faktu, że próby łamania haseł opartych na całym zdaniu muszą być wykonane metodą słownikową, a takie słowniki zazwyczaj zawierają słowa i zwroty z jednego języka.

[Hasła pozornie silne]

Dotychczasowe, powszechnie stosowane zalecenia tworzenia haseł nie prowadziły do budowania haseł silnych. Hasła pozornie silne, takie jak:

  • Galwaniczny123$
  • zaq1@WSXcde3$RFV
  • admin.1admin.1admin.1admin.1 nie są dostatecznie silne, aby oprzeć się atakowi w przypadku wycieku bazy danych. Hasła schematyczne, tworzone zgodnie z przewidywalnymi regułami, są proste do "złamania" za pomocą coraz doskonalszych narzędzi wykorzystujących słowniki i listy reguł. Takie podejście pozwala w prosty sposób wygenerować powyższe hasła, nawet jeśli nie były dostępne w pełnej formie w słowniku. Słowniki i zestawy reguł są publicznie dostępne, a moc obliczeniowa potrzebna do skutecznego ataku jest stosunkowo niewielka, podobnie jak czas i koszt operacji.

[Przykład ataku na hasła pozornie silne]

Powyższe przykłady haseł zostały złamane podczas testu wewnętrznego CERT Polska. Pracownicy zostali poproszeni o wygenerowanie prawdopodobnych haseł i zabezpieczenie ich przestarzałym algorytmem SHA1. Złamanie tych haseł zajęło poniżej 5 minut. W przypadku haseł odpowiednio długich, zbudowanych zgodnie z przedstawionymi wcześniej zaleceniami, potrzeba użycia mocy obliczeniowej, a także czas i koszt ataku, rosną wielokrotnie. Według naszej najlepszej wiedzy, nie istnieje publicznie dostępne narzędzie ani metoda pozwalająca na skuteczny atak na hasła zbudowane zgodnie z przedstawionymi rekomendacjami. Teoretyczny, optymalnie przeprowadzony atak na przykładowe hasło "WlazlKostekNaMostekIStuka", zabezpieczone przestarzałym algorytmem SHA1, zająłby co najmniej setki lat. Oczywiście, od momentu publikacji w tym artykule, jego wartość jako sekretu jest znikoma.

[Podsumowanie]

Odpowiednie podejście do polityki haseł, ich tworzenia i zarządzania nimi jest istotnym problemem dla administratorów i użytkowników systemów informatycznych. Przedstawiliśmy rekomendacje, które powinny spełniać systemy, aby zapewnić odpowiedni poziom bezpieczeństwa haseł. Omówiliśmy również porady, jak tworzyć i zarządzać silnymi hasłami, wraz z przykładami rozwiązań technologicznych upraszczających ten proces. Zwróciliśmy uwagę na przestarzałe zalecenia i ich negatywny wpływ na bezpieczeństwo. Na przykładzie haseł pozornie silnych pokazaliśmy, jak niewielkie nakłady finansowe w połączeniu ze standardowymi metodami stanowią realne zagrożenie w przypadku wycieków haseł nieodpowiednio zabezpieczonych oraz niedostatecznie silnych.

Informacja dodatkowa: Firma RavNet, autor podcastu, oferuje szeroki zakres usług informatycznych dla firm, w tym audyty bezpieczeństwa IT, konsulting informatyczny, wdrożenia oraz kompleksową obsługę i opiekę informatyczną. Specjalizują się w outsourcingu IT, zapewniając wsparcie 24/7. Jeśli szukasz specjalistów, którzy sprawdzą bezpieczeństwo danych w Twojej firmie i zaproponują adekwatne rozwiązania, możesz skontaktować się z RavNet.

Informacja o nagraniu wideo: Film został całkowicie przygotowany przez algorytmy AI

 

 

Zadzwoń Napisz