Najlepsze praktyki dotyczące haseł w branżach podlegających regulacjom: praktyczny przewodnik po bezpieczeństwie

Najlepsze praktyki dotyczące haseł sprowadzają się do krótkiej, niemal nudnej listy, która jednak naprawdę działa: korzystaj z menedżera haseł, aby generować długie, unikalne hasła dla każdego konta, włącz uwierzytelnianie wieloskładnikowe (MFA) i nigdy nie używaj tego samego hasła w różnych serwisach. Dla zespołów z branży opieki zdrowotnej, prawnej i finansowej największym zagrożeniem rzadko jest zbyt proste hasło. Największym zagrożeniem jest hasło, które zostało ponownie wykorzystane lub skradzione. Większość włamań do kont zaczyna się obecnie od danych uwierzytelniających, które atakujący już posiada, a nie od tych, które odgadł, więc prawdziwym celem jest wyeliminowanie ponownego używania haseł i dodanie drugiego czynnika uwierzytelniającego.

‍

Najważniejsze wnioski

• Menedżer haseł w połączeniu z uwierzytelnianiem wieloskładnikowym (MFA) blokuje zdecydowaną większość zautomatyzowanych ataków mających na celu przejęcie kontroli nad kontem. To właśnie ta kombinacja, a nie zapamiętywanie skomplikowanych ciągów znaków, stanowi podstawę bezpieczeństwa haseł.
• Głównym słabym punktem jest ponowne wykorzystywanie haseł. Badania branżowe nieustannie wskazują, że większość osób ponownie wykorzystuje hasła, więc pojedyncze naruszenie bezpieczeństwa może spowodować łańcuchowe skutki dla wszystkich kont, na których używane jest to samo hasło.
• Słabe hasła są zazwyczaj łatwe do odgadnięcia, a nie losowe. Sezonowe zamiany, imiona zwierząt domowych i nazwy firm to właśnie te hasła, które atakujący sprawdzają w pierwszej kolejności.
• Zagrożenie przestało polegać na odgadywaniu haseł, a zaczęło na ich kradzieży, dlatego też unikalność i uwierzytelnianie wieloskładnikowe (MFA) mają większe znaczenie niż sama złożoność znaków.
• Sprawy zawodowe i prywatne nigdy nie powinny się mieszać. Rozdzielenie ich pozwala ograniczyć szkody w przypadku naruszenia bezpieczeństwa którejkolwiek ze stron.

‍

Jakie są najlepsze praktyki dotyczące haseł?

Najlepsze praktyki dotyczące haseł to zbiór nawyków i środków kontroli, które zapobiegają odgadnięciu, złamaniu, ponownemu wykorzystaniu lub kradzieży danych logowania do konta. Obejmują one sposób tworzenia hasła (długość i losowość), sposób jego przechowywania (menedżer haseł zamiast karteczki samoprzylepnej, arkusza kalkulacyjnego lub przeglądarki), sposób jego ochrony (uwierzytelnianie wieloskładnikowe) oraz sposób jego udostępniania (wyłącznie za pośrednictwem bezpiecznych kanałów). Współczesne wytyczne organów normalizacyjnych odeszły od narzucania skomplikowanych reguł dotyczących znaków i częstych zmian na rzecz długości, unikalności oraz silnego drugiego czynnika uwierzytelniającego.

‍

Dlaczego bezpieczeństwo haseł ma teraz większe znaczenie niż kiedykolwiek wcześniej

Strategia działania atakujących uległa zmianie. Dziesięć lat temu głównym powodem do niepokoju było łamanie słabych haseł metodą brute force poprzez wypróbowywanie wielu kombinacji. Obecnie większym zagrożeniem jest kradzież danych uwierzytelniających: atakujący zdobywają działające hasła poprzez wycieki danych, phishing oraz złośliwe oprogramowanie typu infostealer (oprogramowanie, które potajemnie zbiera zapisane hasła i sesje logowania z zainfekowanego urządzenia), a następnie po prostu się logują. Według raportu Verizon Data Breach Investigations Report skradzione dane uwierzytelniające są jednym z najczęstszych sposobów, w jaki atakujący uzyskują początkowy dostęp, a IBM X-Force odnotowało, że znaczna część włamań odbywa się przy użyciu ważnych, skradzionych danych uwierzytelniających, a nie poprzez wykorzystanie jakichkolwiek luk w zabezpieczeniach.

‍

Ma to znaczenie z jednego praktycznego powodu. Jeśli osoba atakująca może kupić lub wykraść hasło, które już działa, jego siła nie zapewnia już użytkownikowi ochrony. Ochronę zapewnia natomiast fakt, że hasło jest unikalne (a więc nie może odblokować żadnego innego konta) oraz że między skradzionym hasłem a kontem znajduje się drugi czynnik uwierzytelniający. Dla zespołów podlegających regulacjom, które zajmują się wrażliwymi danymi, właśnie ta zmiana stanowi główny argument przemawiający za poniższymi praktykami.

‍

Co decyduje o sile hasła?

Trzy cechy decydują o sile hasła: długość, losowość i niepowtarzalność. Najważniejsza jest długość. Amerykański Narodowy Instytut Standardów i Technologii (NIST) w publikacji specjalnej 800-63B-4 zaleca, aby hasło używane jako pojedynczy czynnik uwierzytelniający miało co najmniej 15 znaków (i dopuszcza długość do co najmniej 64 znaków), natomiast Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) zaleca stosowanie haseł o długości co najmniej 16 znaków. Losowość oznacza unikanie słów występujących w słowniku oraz danych osobowych. Wyjątkowość oznacza inne hasło dla każdego konta.

‍

Przydatną alternatywą dla losowego ciągu znaków jest hasło składające się z frazy: od czterech do siedmiu niepowiązanych ze sobą słów połączonych w jedną całość, które jest długie, trudne do złamania i znacznie łatwiejsze do zapamiętania. CISA podaje przykłady, takie jak kilka niepowiązanych ze sobą słów połączonych w jedną frazę.

‍

‍

Oto, na czym polega różnica w praktyce:

‍

‍

Jak stworzyć silne hasło

Najszybszym i najbezpieczniejszym sposobem jest zlecenie wygenerowania hasła menedżerowi haseł. Jeśli jednak musisz stworzyć hasło samodzielnie (na przykład hasło główne odblokowujące menedżera), ułóż frazę hasła:

‍

1. Wybierz od czterech do siedmiu przypadkowych słów, które nie mają ze sobą żadnego związku. Unikaj słów związanych z tobą, twoim pracodawcą lub datą.
2. Połącz je w jedno zdanie. Możesz zachować spacje lub je usunąć.
3. Lepiej zwiększyć długość niż złożoność. Dłuższa fraza jest lepsza niż krótki ciąg symboli.
4. Upewnij się, że jest używane dokładnie w jednym miejscu i nigdzie indziej.
5. Nigdy nie przechowuj go w postaci zwykłego tekstu. Zapamiętaj hasło główne, a resztę powierz menedżerowi.

‍

Należy całkowicie unikać przewidywalnych elementów składowych. Atakujący stosują ataki słownikowe (automatyczne zgadywanie przy użyciu list popularnych słów i znanych haseł) oraz technikę „credential stuffing” (ponowne wykorzystywanie par nazw użytkownika i haseł wyciekłych w wyniku innych naruszeń bezpieczeństwa). Popularne hasła, które padły ofiarą wycieków, takie jak „123456”, „admin” i „password” (regularnie identyfikowane w badaniach NordPass), są natychmiast łamane, podobnie jak wybory kontekstowe, takie jak imię zwierzęcia domowego, nazwa firmy lub pora roku i rok.

‍

Przestań używać tych samych haseł: najważniejsze rozwiązanie

Jeśli chcesz zmienić jeden nawyk, zmień właśnie ten. Badania cytowane w analizach dotyczących bezpieczeństwa pokazują, że większość ludzi używa tego samego hasła na wielu kontach (Forbes Advisor podaje liczbę około 78 procent), a analiza naruszeń przeprowadzona przez SpyCloud wykazała, że znaczna część osób, których dane zostały ujawnione w wyniku naruszeń, ponownie wykorzystała hasło, które wcześniej wyciekło. To właśnie ponowne użycie hasła zamienia pojedynczy wyciek w reakcję łańcuchową: jedna usługa, w której doszło do naruszenia, daje atakującemu klucz do Twojej poczty e-mail, a Twoja poczta e-mail jest drogą do zresetowania haseł do wszystkich pozostałych kont.

‍

Wynikają z tego bezpośrednio dwie zasady. Po pierwsze, należy używać jednego hasła na każdą usługę, bez żadnych wyjątków. Po drugie, należy całkowicie oddzielić dane logowania służbowe od prywatnych. Hasło do serwisu streamingowego nie powinno mieć nic wspólnego z systemami firmowymi, a hasło firmowe nigdy nie powinno chronić konta prywatnego. Należy traktować to rozdzielenie jako środek bezpieczeństwa, a nie kwestię etykiety: ogranicza ono zasięg skutków, dzięki czemu naruszenie bezpieczeństwa po jednej stronie nie może rozprzestrzenić się na drugą.

‍

Czym jest menedżer haseł i czy warto z niego korzystać?

Menedżer haseł to aplikacja, która generuje, przechowuje i automatycznie uzupełnia hasła w zaszyfrowanym sejfie. Użytkownik zapamiętuje jedno silne hasło główne, a menedżer pamięta wszystko inne, w tym długie, losowe hasła, których nigdy nie byłby w stanie zapamiętać. Wskazuje on również słabe lub zduplikowane hasła, aby użytkownik mógł je poprawić. CISA oraz większość zespołów ds. bezpieczeństwa uznaje menedżera haseł za najprostszy sposób na realistyczne stosowanie silnych, unikalnych haseł dla każdego konta.

‍

Wyróżnia się dwie szerokie kategorie. Personal menedżery Personal są przeznaczone dla użytkowników indywidualnych i małych zespołów. Enterprise , często stanowiące część systemu zarządzania dostępem uprzywilejowanym (PAM – praktyka polegająca na zabezpieczaniu i monitorowaniu cennych danych uwierzytelniających administratorów), zapewniają scentralizowaną kontrolę, ograniczenia dostępu, audyt oraz pojedyncze logowanie (SSO, które pozwala użytkownikom na jednokrotne uwierzytelnienie w celu uzyskania dostępu do wielu zatwierdzonych aplikacji). Jedno ostrzeżenie: należy unikać przechowywania ważnych danych uwierzytelniających w wbudowanej pamięci przeglądarki, ponieważ hasła zapisane w przeglądarce mogą być łatwiejsze do wyodrębnienia z zainfekowanego lub skradzionego urządzenia niż te przechowywane w dedykowanym, zaszyfrowanym menedżerze.

‍

Włącz uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (MFA) wymaga podania dodatkowego potwierdzenia tożsamości oprócz hasła, takiego jak kod z aplikacji uwierzytelniającej, klucz sprzętowy lub weryfikacja biometryczna. Ponieważ samo skradzione lub odgadnięte hasło nie wystarcza do uzyskania dostępu, MFA blokuje zdecydowaną większość zautomatyzowanych ataków masowych, a zarówno CISA, jak i Microsoft zalecają je jako podstawowy środek zabezpieczający.

‍

Nie wszystkie czynniki są równie bezpieczne. Tam, gdzie jest to możliwe, należy preferować metody odporne na phishing, oparte na standardach FIDO2 i WebAuthn, w tym klucze dostępu (klucze kryptograficzne powiązane z urządzeniem, które całkowicie zastępują hasło i funkcjonują jako samodzielna metoda logowania, a nie tylko jako drugi czynnik). Kody jednorazowe wysyłane SMS-em są najsłabszym powszechnie stosowanym czynnikiem, ponieważ są podatne na ataki typu „SIM-swapping” oraz ataki na protokół SS7, które umożliwiają przechwytywanie wiadomości SMS na poziomie sieci. Zarówno NIST, jak i CISA odradzają poleganie na nich, gdy dostępne są silniejsze opcje.

‍

Czy należy regularnie zmieniać hasła?

Nie, nie według ustalonego harmonogramu, przynajmniej nie w przypadku zwykłych kont użytkowników. NIST odradza obecnie obowiązkową okresową zmianę haseł użytkowników, ponieważ wymuszona rotacja skłania ludzi do stosowania przewidywalnych wzorców (np. „Summer2025” zmienia się w „Summer2026”) oraz do zapisywania haseł. Zamiast tego hasło należy zmienić, gdy istnieje ku temu powód: znane lub podejrzewane naruszenie bezpieczeństwa, powiadomienie o wycieku danych lub utrata kontroli nad danymi uwierzytelniającymi. Nawet jeśli jesteś „całkiem pewien, że wszystko jest w porządku”, potwierdzone ujawnienie danych jest wystarczającym powodem do zmiany hasła. (Wyjątkiem są uprawnienia administracyjne o wysokim poziomie, które często są zmieniane rutynowo.)

‍

Jak bezpiecznie udostępniać hasła

Czasami naprawdę trzeba udostępnić dane logowania. W takiej sytuacji sposób przekazania ma równie duże znaczenie jak samo hasło. Nigdy nie wysyłaj hasła przez Slacka, e-mail ani SMS-y, gdzie może ono pozostać w historii wiadomości z możliwością wyszukiwania, zostać przekazane dalej lub ujawnione w przypadku włamania na którekolwiek z kont. Zamiast tego udostępnij je za pomocą funkcji bezpiecznego udostępniania w menedżerze haseł, która zapewnia szyfrowanie danych logowania i pozwala później cofnąć dostęp. Jeśli hasło kiedykolwiek trafi na czat lub do wiadomości e-mail, potraktuj je jako ujawnione i zmień je.

‍

Najlepsze praktyki dotyczące haseł w branżach podlegających regulacjom

Organizacje z branży opieki zdrowotnej, prawnej i finansowej mają dodatkowy obowiązek, ponieważ obsługiwane przez nie konta często zawierają dane podlegające regulacjom. W sektorze opieki zdrowotnej obejmuje to chronione informacje zdrowotne (PHI, czyli dane zdrowotne umożliwiające identyfikację konkretnej osoby). Ramy regulacyjne określają oczekiwania, których spełnieniu sprzyja dbanie o bezpieczeństwo danych uwierzytelniających. Na przykład przepis bezpieczeństwa HIPAA wymaga kontroli dostępu i zabezpieczeń uwierzytelniających w systemach przetwarzających dane PHI, a unikalne dane uwierzytelniające w połączeniu z uwierzytelnianiem wieloskładnikowym (MFA) stanowią praktyczne sposoby spełnienia tych wymagań. (HIPAA reguluje również relacje z dostawcami poprzez umowę Business (BAA), która nakłada na usługodawcę odpowiedzialność za ochronę danych PHI.)

‍

Warto pamiętać o jednej kwestii: zgodność z przepisami i bezpieczeństwo są ze sobą powiązane, ale nie są to pojęcia tożsame. Polityka haseł może technicznie spełniać wymagania starej listy kontrolnej, pozostawiając jednak rzeczywiste ryzyko, a polityka, która wydaje się rygorystyczna (częste wymuszone zmiany, zasady dotyczące złożoności znaków), może w praktyce okazać się słabsza niż prostsza polityka oparta na długości hasła, jego unikalności, menedżerze haseł oraz uwierzytelnianiu wieloskładnikowym (MFA). Celem zespołu podlegającego regulacjom jest stworzenie polityki, która będzie zarówno uzasadniona w oczach audytora, jak i rzeczywiście skuteczna w obliczu współczesnych metod działania atakujących. Silne, unikalne dane uwierzytelniające, uwierzytelnianie wieloskładnikowe (MFA), bezpieczne udostępnianie oraz zaszyfrowany sejf wspierają uznane środki kontroli zgodne z ramami takimi jak HIPAA, SOC 2 i ISO 27001 bez utraty użyteczności.

‍

Najczęściej zadawane pytania

‍

Jaki jest najbezpieczniejszy rodzaj hasła?

Najbezpieczniejsze hasło to długie, losowe hasło wygenerowane i przechowywane przez menedżera haseł, ponieważ nie trzeba go ani zapamiętywać, ani wpisywać. Jeśli chodzi o jedyne hasło, które musisz zapamiętać, fraza składająca się z czterech do siedmiu niepowiązanych ze sobą słów zapewnia zarówno odpowiednią długość, jak i łatwość zapamiętania. W obu przypadkach hasło powinno być unikalne dla danego konta.

‍

Jakich najpopularniejszych haseł należy unikać?

Badania dotyczące wycieków danych uwierzytelniających, takie jak coroczna analiza przeprowadzana przez NordPass, nieustannie wskazują te same najczęściej wykorzystywane hasła: 123456, admin i password. Każde pojedyncze słowo ze słownika, imię lub imię zwierzęcia domowego, nazwa firmy albo nazwa pory roku połączona z rokiem – wszystko to prowadzi do tej samej pułapki. Są to pierwsze hasła, które próbuje odgadnąć zautomatyzowany atak, dlatego należy ich całkowicie unikać.

‍

Czy menedżery haseł są bezpieczne?

Tak, dla niemal każdego renomowany menedżer haseł jest znacznie bezpieczniejszy niż alternatywne rozwiązania, takie jak ponowne wykorzystywanie haseł, słabe hasła czy karteczki samoprzylepne. Skarbiec jest zaszyfrowany, a użytkownik musi chronić jedynie jedno silne hasło główne (najlepiej frazę hasła) z włączonym uwierzytelnianiem wieloskładnikowym (MFA). Wygoda korzystania z tego rozwiązania sprawia również, że stosowanie silnych, unikalnych haseł na dziesiątkach kont staje się realne.

‍

Jak długie powinno być hasło?

Im dłuższe, tym bezpieczniejsze. NIST zaleca, aby hasło jednoczynnikowe miało co najmniej 15 znaków i dopuszcza długość do co najmniej 64 znaków, natomiast CISA sugeruje, aby dążyć do co najmniej 16 znaków. Fraza hasłowa to prosty sposób na osiągnięcie takiej długości bez tworzenia czegoś, czego nie da się zapamiętać.

‍

Czy powinienem regularnie zmieniać hasła?

W przypadku zwykłych kont nie ma ustalonego harmonogramu. NIST odradza obowiązkowe okresowe zmiany haseł, ponieważ sprzyjają one powstawaniu przewidywalnych schematów. Hasło należy zmienić w przypadku wystąpienia rzeczywistego powodu, takiego jak powiadomienie o naruszeniu bezpieczeństwa lub jakiekolwiek oznaki włamania.

‍

Czy przechowywanie haseł w przeglądarce jest bezpieczne?

W przypadku ważnych kont dedykowany menedżer haseł jest bezpieczniejszy niż wbudowana pamięć przeglądarki. Hasła zapisane w przeglądarce mogą być łatwiejsze do wyodrębnienia z urządzenia, które zostało zgubione, skradzione lub zainfekowane złośliwym oprogramowaniem. Jeśli już korzystasz z funkcji przeglądarki do zapisywania danych logowania, rób to wyłącznie w przypadku kont o niewielkiej wartości.

‍

Jak powinienem przekazać hasło współpracownikowi?

Skorzystaj z funkcji bezpiecznego udostępniania w menedżerze haseł, która zapewnia szyfrowanie danych logowania i umożliwia późniejsze cofnięcie dostępu. Nie wysyłaj ich przez Slacka, e-mail ani SMS-y. Jeśli hasło kiedykolwiek zostało przesłane jednym z tych kanałów, zmień je.