Hasła są najstarszą i nadal najpowszechniejszą metodą ochrony dostępu do systemów. I jedną z najczęściej lekceważonych. Większość incydentów bezpieczeństwa w firmach ma u podstaw jeden wspólny mianownik - zbyt słabe, powtarzające się lub źle przechowywane hasła.
Dobre hasło musi być trudne. I właśnie to jest problem.
Czym jest silne hasło?
To hasło, którego nie da się łatwo odgadnąć ani złamać przy pomocy automatycznych narzędzi. W praktyce oznacza to hasło długie - minimum 12 znaków, a najlepiej więcej - zawierające kombinację liter, cyfr i znaków specjalnych, bez słów ze słownika i bez oczywistych kombinacji jak daty urodzenia, imiona dzieci czy nazwy firmy.
"Hasło123" nie jest hasłem. "Warszawa2024!" nie jest hasłem. "qwerty" i "123456" to dwa najczęściej używane hasła na świecie - i pierwsze, których próbują narzędzia do łamania zabezpieczeń.
Automaty stosowane przez cyberprzestępców potrafią sprawdzić miliardy kombinacji na sekundę. Proste hasło, nawet jeśli wydaje Ci się sprytne, może zostać złamane w kilka sekund. Hasło złożone z losowych znaków, odpowiednio długie, może wymagać milionów lat obliczeń - co w praktyce oznacza, że jest bezpieczne.
Do tego dochodzi tzw. atak słownikowy - zamiast sprawdzać kolejne kombinacje znaków, narzędzia przechodzą przez listy popularnych haseł, słów ze słownika i ich prostych modyfikacji. "P@ssw0rd", "Zima2023" czy "Admin1234" są na tych listach. Jeśli Twoje hasło brzmi jak coś, co mógłby wymyślić człowiek - prawdopodobnie jest już gdzieś zapisane w bazie atakujących.
Każde konto musi mieć inne hasło. I tu zaczyna się prawdziwy problem.
Skoro hasło musi być silne - długie, losowe, nieprzewidywalne - to jak zapamiętać ich dziesiątki? Bo na tym właśnie polega wyzwanie. Każde konto, każda usługa, każdy system powinny mieć unikalne hasło. To nie jest fanaberia specjalistów od bezpieczeństwa. To konieczność wynikająca z realnego zagrożenia.
Wyobraź sobie że używasz tego samego hasła do firmowej poczty, systemu księgowego i sklepu internetowego, w którym kupiłeś jakiś sprzęt. Ten sklep internetowy pada ofiarą ataku i dane milionów użytkowników - wraz z hasłami - trafiają w niepowołane ręce. Hakerzy nie muszą teraz nic więcej robić. Automatycznie sprawdzają to samo hasło w dziesiątkach innych serwisów: bankach, portalach społecznościowych, firmowych systemach. To zjawisko nazywa się credential stuffing i jest jedną z najczęstszych metod przejmowania kont.
Skala wycieków danych jest ogromna. Serwis Have I Been Pwned, który śledzi publicznie znane wycieki, zawiera informacje o ponad 14 miliardach skradzionych kont. Statystycznie Twój adres e-mail prawdopodobnie pojawił się już w co najmniej jednym wycieku - nawet jeśli o tym nie wiesz.
Unikalne hasło do każdego serwisu sprawia, że wyciek z jednego miejsca nie otwiera drzwi do wszystkich pozostałych. To podstawowa zasada higieny bezpieczeństwa.
Zapamiętać dziesiątek silnych haseł się nie da. I nie o to chodzi.
Przeciętny użytkownik ma dziś dostęp do kilkudziesięciu różnych usług i systemów. Pracownik firmy - do firmowej poczty, systemu ERP, CRM, platformy do zarządzania projektami, narzędzi do komunikacji, różnych portali i aplikacji zewnętrznych. Do każdego z tych miejsc powinno być inne, silne hasło.
Nikt tego nie zapamięta. I nie powinien próbować - bo próba zapamiętania prowadzi do uproszczeń, a uproszczenia prowadzą do słabych haseł albo do używania tego samego hasła wszędzie, czyli dokładnie do tego, czego chcemy unikać.
Zapisywanie haseł - gdzie i jak. Czyli jak nie robić tego źle.
Skoro nie da się zapamiętać, trzeba gdzieś zapisać. I tu pojawia się kolejny problem - większość sposobów, do których instynktownie sięgają ludzie, jest katastrofalnie niebezpieczna.
Karteczka przyklejona do monitora? Klasyk. Każdy kto wchodzi do biura widzi hasła do firmowych systemów. Wystarczy zdjęcie telefonem.
Plik tekstowy na pulpicie o nazwie "hasła.txt"? Popularny wybór, który sprawia, że wszystkie hasła są dostępne dla każdego, kto uzyska dostęp do komputera - zdalnie lub fizycznie. Jeśli komputer zostanie zainfekowany złośliwym oprogramowaniem, taki plik jest jednym z pierwszych celów.
Arkusz Excel z hasłami? Trochę bezpieczniejszy jeśli jest zaszyfrowany, ale większość ludzi nie szyfruje takich plików. A nawet zaszyfrowany arkusz Excel to nie jest rozwiązanie dla firmy.
Przeglądarka internetowa? Zapisywanie haseł w przeglądarce jest wygodne i do pewnego stopnia akceptowalne dla prywatnych kont - ale w środowisku firmowym niesie ryzyko. Hasła zapisane w przeglądarce mogą być stosunkowo łatwo wyeksportowane przez złośliwe oprogramowanie, a synchronizacja przez konto Google czy Microsoft sprawia, że hasła firmowe trafiają do prywatnych kont pracowników.
Pamięć? Jak już ustaliliśmy - przy kilkudziesięciu silnych, unikalnych hasłach zapamiętanie ich po prostu nie wystarczy.
Co w takim razie zrobić
Na każdy z tych problemów jest jedno spójne rozwiązanie - menedżer haseł. Narzędzie, które przechowuje wszystkie hasła w zaszyfrowanej bazie danych, generuje silne i unikalne hasła do każdego serwisu, i wymaga zapamiętania tylko jednego - głównego - hasła dostępowego. To rozwiązanie, które eliminuje wszystkie opisane wyżej problemy jednocześnie.
Jak wygląda to w Helpwise
Zarządzanie hasłami to jeden z pierwszych obszarów, który sprawdzamy obejmując opieką nową firmę. Bardzo często zastawiamy środowisko, w którym hasła do kluczowych systemów są proste, powtarzają się w wielu miejscach albo są przechowywane w sposób, który nie daje żadnej realnej ochrony.
Wdrożenie właściwej polityki haseł i firmowego menedżera haseł to jeden z podstawowych kroków, który znacząco podnosi poziom bezpieczeństwa IT - często bez dużych nakładów finansowych, ale z realnym i natychmiastowym efektem.