Najprostszym i najpopularniejszym przykładem, o którym warto wspomnieć w kontekście bezpieczeństwa systemów informatycznych, jest problem z nieodpowiednimi zasadami postępowania z hasłami dostępowymi. Zadaniem tych ostatnich jest ochrona informacji przed nieuprawnionym dostępem. Hasła i kody numeryczne są często jedyną stosowaną metodą zabezpieczania czynności wykonywanych przez użytkowników systemu teleinformatycznego. Zaś łatwe do odgadnięcia, najczęściej bazujące na wyrazach ze słownika, hasła, to częsta przyczyna wycieku danych. W związku z tym weryfikuje się je na samym początku testów penetracyjnych, których zadaniem jest symulowanie ataków prowadzonych przez sieciowych intruzów.

Polecamy Testy penetracyjne: Kilka ciekawych narzędzi

Zobacz również:

• Cyberobrona? Mamy w planach
• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła

Hakerzy dobrze znają sposoby tworzenia haseł przez użytkowników i pozornie trudne do odgadnięcia kombinacje, takie jak na przykład 1qazxsw23edc (odwzorowanie kształtu przez wciskanie odpowiednich klawiszy) czy 19750503 (data urodzenia), są bardzo często sprawdzane przez komputerowych włamywaczy. Warto pamiętać o odpowiednim poziomie skomplikowania hasła, czyli używaniu znaków specjalnych oraz cyfr. Z drugiej strony jeśli będzie ono zbyt skomplikowane (i trudne do zapamiętania), istnieje ryzyko, że użytkownik zapisze je na umieszczonej w pobliżu klawiatury kartce. Należy więc z rozwagą planować wymogi odnośnie stopnia skomplikowania haseł dostępu. Można to osiągnąć na przykład konfigurując odpowiednio urządzenia i systemy, tak aby wymuszały na użytkownikach zarówno ustawianie trudnych do odgadnięcia haseł, jak i ich systematyczną zmianę. Warto też pamiętać o automatycznym blokowaniu dostępu do konta w sytuacji powtarzających się prób logowania, z których każda zakończona jest niepowodzeniem. System pozwalający na wielokrotne testowanie poprawności haseł dostępowych jest łatwym celem dla intruza, który w zależności od zasobów i konfiguracji będzie w stanie sprawdzić setki tysięcy haseł w ciągu doby.

Polecamy Narzędzia dla administratorów sieci

Pamiętajmy, że technologia ma przede wszystkim umożliwiać ciągłą realizację założeń biznesowych. Wspomaganie procesów związanych z bezpieczeństwem również jest bardzo ważne, jednak priorytetem zawsze pozostaje sprawne działanie danego środowiska technologicznego.

Warto zaznaczyć, że możemy spotkać się z sytuacją, w której niemożliwe będzie wymuszenie odpowiednich blokad, bo na przykład wykorzystywane jest oprogramowanie, uniemożliwiające dokonania w nim takich zmian. Wówczas najlepszym rozwiązaniem będzie staranne przeszkolenie pracowników. Użytkownik powinien uświadomić sobie jak ważne są informacje, do których posiada dostęp, a także jakie mogą być potencjalne straty związane z nieuprawnionym dostępem do danych. W zależności od dokumentów podpisanych z pracownikiem, można przypomnieć o prawnej lub finansowej odpowiedzialności wynikającej z określonych zaniedbań.

Polecamy Narzędzia do analizy słabych punktów

Z perspektywy pracownika niezwykle cenna będzie praktyczna wiedza o tym, jakich metod może użyć przy tworzeniu skomplikowanych haseł. Może to być na przykład sposób, w którym wybieramy pierwsze litery znanego zdania (np. wiersza, piosenki). I tak ze zdania "nic co ludzkie, nie jest mi obce" uzyskamy łańcuch znaków nclnjmo, a po zmianie niektórych liter na wielkie i dodaniu cyfr uzyskamy nietrudne do zapamiętania, ale wystarczająco skomplikowane hasło 5nClNjMo5.

Polecamy Jakie hasła są bezpieczne?

W zmaganiach pracowników z dziesiątkami lub setkami haseł może pomóc użycie specjalnych aplikacji służących do ich przechowywania. Programy takie pozwalają wygenerować losowe, trudne do odgadnięcia łańcuchy znaków i przypisywać je do chronionych zasobów o podanych nazwach. Dzięki temu unika się stosowania przez użytkowników takiego samego hasła do zabezpieczania dostępu do wielu usług. Jeśli intruzowi uda się odgadnąć jedno z haseł, to inne zasoby pozostaną bezpieczne. Wybór odpowiedniej aplikacji do zarządzania hasłami warto poprzedzić analizą porównawczą jej zalet i wad oraz możliwego ryzyka.