Podaj swoje hasło
- Artur Krystosik,
- 03.03.1997
Jak działać?
Pierwszym krokiem na drodze do właściwego zabezpieczenia informacji jest opracowanie tzw. polityki bezpieczeństwa, czyli zbioru zasad, procedur i wytycznych, które są podstawą do opracowania systemu zabezpieczeń. Jedną z części jego polityki jest zbiór reguł dotyczących właściwego posługiwania się hasłami. Powinny one dawać odpowiedzi na następujące pytania:
- Jakie elementy systemu informatycznego będą chronione za pomocą haseł i jakie rodzaje haseł będą do tego celu potrzebne.
- Jaki będzie system generowania i dystrybucji haseł: scentralizowany czy rozproszony.
- Jak często hasła będą zmieniane.
- Jak będą hasła przechowywane.
- Jakie procedury awaryjne będą stosowane w przypadku np. utraty hasła (zapomnienie), kompromitacji jednego z haseł, kompromitacji dużej liczby haseł.
- Jakie procedury będą stosowane w celach audytu i kontroli przestrzegania polityki bezpieczeństwa dotyczącej systemu haseł.
Generowanie i dystrybucja haseł
Ważnym elementem systemu bezpieczeństwa jest sposób generowania i dystrybucji haseł. Rozróżniamy dwa możliwe warianty: rozproszony i scentralizowany. W systemie rozproszonym każdy użytkownik ma obowiązek we własnym zakresie generować i użytkować hasła do wykorzystywanych elementów systemu informatycznego. Dziś jest to najczęściej spotykany sposób, mimo wad:
- użytkownicy rzadko generują dobre hasła, szczególnie w przypadku gdy potrzebna jest większa ich liczba;
- nie istnieją mechanizmy wymuszające zmianę haseł co określony czas
- brak jest możliwości przeprowadzenia audytu i kontroli stosowania systemu haseł
- trudno opracować i wprowadzić w życie procedury awaryjne.
Udoskonalanie istniejących systemów zabezpieczeń
W praktyce okazało się, że od pomysłu do wdrożenia jest zwykle daleko, zwłaszcza w przypadku poważnych zmian organizacyjnych. Stąd często pojawiające się pytanie: co można zrobić, aby wzmocnić lub właściwie wykorzystać istniejące systemy zabezpieczeń? W odpowiedzie na to pytanie należy określić najsłabsze miejsca danego systemu i stwierdzić, z czego dana słabość wynika. W przypadku systemu haseł wadą jest przede wszystkim jakość wykorzystywanych haseł. Odpowiedź na pytanie: co to jest dobre i złe hasło, zawarta jest w metodach ataku stosowanych przez hakerów. Jednym z najczęściej wykorzystywanych jest atak słownikowy, polegający na zgadywaniu haseł, co dowodzi, że należy tworzyć hasła trudne do odgadnięcia. Wymagania, które powinny spełniać dobre hasła, to:
- długość hasła większa niż 5 znaków (za wyjątkiem haseł typu PIN);
- hasło nie może być zbudowane z żadnych danych personalnych lub ich fragmentów, takich jak: imię, nazwisko, identyfikator, telefon, numer konta itp.;
- powinno zawierać co najmniej jeden znak, który nie jest literą;
- hasło nie powinno być słowem ze słownika (poprzedzonym lub zakończonym cyfrą lub innym znakiem niealfabetycznym), słowem na wspak lub żadną z rotacji danego słowa;
- nie powinno powtarzać się w krótkim okresie;
- nie powinno zawierać elementów będących wulgaryzmami lub słowami czy skrótami, które mogą urażać uczucia użytkownika;
- przestrzeń haseł, z której użytkownik uzyskuje hasło, powinna być na tyle duża, aby uniemożliwić atak polegający na wygenerowaniu i sprawdzeniu wszystkich możliwych haseł;
- hasło nie powinno być zbyt długie, gdyż utrudnia to jego zapamiętanie;
- ideałem jest, jeśli dobre hasło jest łatwe do zapamiętania.