Jak działać?

Pierwszym krokiem na drodze do właściwego zabezpieczenia informacji jest opracowanie tzw. polityki bezpieczeństwa, czyli zbioru zasad, procedur i wytycznych, które są podstawą do opracowania systemu zabezpieczeń. Jedną z części jego polityki jest zbiór reguł dotyczących właściwego posługiwania się hasłami. Powinny one dawać odpowiedzi na następujące pytania:

• Jakie elementy systemu informatycznego będą chronione za pomocą haseł i jakie rodzaje haseł będą do tego celu potrzebne.

• Jaki będzie system generowania i dystrybucji haseł: scentralizowany czy rozproszony.

• Jak często hasła będą zmieniane.

• Jak będą hasła przechowywane.

• Jakie procedury awaryjne będą stosowane w przypadku np. utraty hasła (zapomnienie), kompromitacji jednego z haseł, kompromitacji dużej liczby haseł.

• Jakie procedury będą stosowane w celach audytu i kontroli przestrzegania polityki bezpieczeństwa dotyczącej systemu haseł.

Generowanie i dystrybucja haseł

Ważnym elementem systemu bezpieczeństwa jest sposób generowania i dystrybucji haseł. Rozróżniamy dwa możliwe warianty: rozproszony i scentralizowany. W systemie rozproszonym każdy użytkownik ma obowiązek we własnym zakresie generować i użytkować hasła do wykorzystywanych elementów systemu informatycznego. Dziś jest to najczęściej spotykany sposób, mimo wad:

• użytkownicy rzadko generują dobre hasła, szczególnie w przypadku gdy potrzebna jest większa ich liczba;

• nie istnieją mechanizmy wymuszające zmianę haseł co określony czas

• brak jest możliwości przeprowadzenia audytu i kontroli stosowania systemu haseł

• trudno opracować i wprowadzić w życie procedury awaryjne.

Niewątpliwą zaletą wariantu rozproszonego są niskie koszty. Należy jednak zdawać sobie sprawę, że nie pozwala on na uzyskanie wysokiego stopnia bezpieczeństwa. Można wprawdzie je nieco podnieść, wykorzystując oprogramowanie do generowania i przechowywania dobrych haseł, jednakże znaczący wzrost poziomu bezpieczeństwa możemy uzyskać po wprowadzeniu wariantu scentralizowanego. Polega on na tym, że firma tworzy wydzieloną komórkę organizacyjną, zajmującą się zabezpieczeniem systemów informatycznych, której jednym z zadań jest opracowanie i wdrożenie polityki bezpieczeństwa dotyczącej użytkowania haseł. Komórka ta jest odpowiedzialna za generowanie i dystrybucję wśród użytkowników wszystkich haseł używanych w firmie. Wygenerowane hasła są rozsyłane w bezpieczny sposób oraz przechowywane w celu przeprowadzenia kontroli, jak również wykorzystywane w sytuacjach awaryjnych (np. gdy jest potrzebny pilny dostęp do jednego z systemów). Podstawową zaletą systemu scentralizowanego jest stworzenie organizacyjnych mechanizmów do realizowania polityki bezpieczeństwa w firmie. Jest on również pozbawiony wad wariantu rozproszonego.

Udoskonalanie istniejących systemów zabezpieczeń

W praktyce okazało się, że od pomysłu do wdrożenia jest zwykle daleko, zwłaszcza w przypadku poważnych zmian organizacyjnych. Stąd często pojawiające się pytanie: co można zrobić, aby wzmocnić lub właściwie wykorzystać istniejące systemy zabezpieczeń? W odpowiedzie na to pytanie należy określić najsłabsze miejsca danego systemu i stwierdzić, z czego dana słabość wynika. W przypadku systemu haseł wadą jest przede wszystkim jakość wykorzystywanych haseł. Odpowiedź na pytanie: co to jest dobre i złe hasło, zawarta jest w metodach ataku stosowanych przez hakerów. Jednym z najczęściej wykorzystywanych jest atak słownikowy, polegający na zgadywaniu haseł, co dowodzi, że należy tworzyć hasła trudne do odgadnięcia. Wymagania, które powinny spełniać dobre hasła, to:

• długość hasła większa niż 5 znaków (za wyjątkiem haseł typu PIN);

• hasło nie może być zbudowane z żadnych danych personalnych lub ich fragmentów, takich jak: imię, nazwisko, identyfikator, telefon, numer konta itp.;

• powinno zawierać co najmniej jeden znak, który nie jest literą;

• hasło nie powinno być słowem ze słownika (poprzedzonym lub zakończonym cyfrą lub innym znakiem niealfabetycznym), słowem na wspak lub żadną z rotacji danego słowa;

• nie powinno powtarzać się w krótkim okresie;

• nie powinno zawierać elementów będących wulgaryzmami lub słowami czy skrótami, które mogą urażać uczucia użytkownika;

• przestrzeń haseł, z której użytkownik uzyskuje hasło, powinna być na tyle duża, aby uniemożliwić atak polegający na wygenerowaniu i sprawdzeniu wszystkich możliwych haseł;

• hasło nie powinno być zbyt długie, gdyż utrudnia to jego zapamiętanie;

• ideałem jest, jeśli dobre hasło jest łatwe do zapamiętania.