Kicia, Justyna, misio i psina

Zarządzanie hasłami jest jednym z najczęstszych zajęć administratorów. Brak odgórnych regulacji w zakresie "siły" haseł stanowi zaproszenie dla włamywaczy.

Zarządzanie hasłami jest jednym z najczęstszych zajęć administratorów. Brak odgórnych regulacji w zakresie "siły" haseł stanowi zaproszenie dla włamywaczy.

Hasła mają zabezpieczać konta i aplikacje wykorzystywane przez użytkowników przed nie autoryzowanym dostępem. Niestety, rzadko zdarza się, aby wszyscy pracownicy firmy stosowali mocne hasła, które będą trudne do odgadnięcia bądź też złamania za pomocą specjalnych narzędzi przez potencjalnych włamywaczy. Zazwyczaj na hasło wybiera się słowo bądź ciąg znaków łatwych do zapamiętania: imiona bliskich, kluczowe daty, nazwiska idoli czy też łatwe do zapamiętania kombinacje liter, np. qwerty. Nagminnym przykładem jest stosowanie hasła identycznego jak identyfikator użytkownika lub bardzo do niego zbliżonego, np. zakończonego cyfrą. W takim przypadku włamywacz nie musi być nawet szczególnie inteligentny, by stosując kilka standardowych kombinacji, uzyskać dostęp do któregoś z kont sieci korporacyjnej.

Wojna z użytkownikiem

Jak więc wymusić na użytkownikach stosowanie mocnych haseł? Należy postąpić tu podobnie jak w przypadku innych zagadnień bezpośrednio związanych z bezpieczeństwem i pracą użytkowników: opracować regulamin określający zasady tworzenia haseł, dotrzymywania ich poufności i precyzujący, jakie konsekwencje mogą spot-kać użytkownika, który ujawnił swoje hasło i z tego powodu jego konto zostało wykorzystane do naruszenia poufności informacji firmowych. Jeśli przewidywane w takim regulaminie restrykcje będą wystarczająco dotkliwe, może się okazać, że użytkownicy sami będą się domagać wdrożenia mechanizmów wykluczających możliwość stosowania słabych haseł.

Cechy słabych haseł

  • Długość nie przekracza 8 znaków

  • Jest słowem zawartym w słowniku (dowolnego z języków)

  • Słowo powszechnego użytku, np.

  • imiona członków rodziny, znajomych, współpracowników, idoli, zwierząt itd.

  • terminy informatyczne

  • nazwy związane bezpośrednio z firmą (np. projektów), identyfikatory kont itd.

  • daty urodzin, numery telefonów bliskich osób

  • wyrażenia składające się z łatwych do odgadnięcia ciągów znaków, np. qwerty, 123321 itd.

  • wszystkie wymienione wyżej słowa i wyrażenia pisane od końca lub wzbogacone o cyfry na początku lub na końcu

  • Podstawowe kryteria, które musi określić administrator, dotyczą minimalnej długości haseł, liczby unikalnych znaków, jakie powinny być w nich stosowane, maksymalnej liczby powtórzonych znaków, wymaganej liczby znaków numerycznych, liter i znaków przestankowych ewentualnie konieczności stosowania wielkich liter, algorytmu porównywania nowego hasła z hasłem dotychczas stosowanym (w celu zapobiegnięcia stosowaniu podobnych haseł), a także liczby starych haseł, które system powinien przechowywać w celach porównawczych. Ponadto trzeba zdefiniować okres, po upływie którego system bądź aplikacja powinny wymagać od użytkownika zmiany hasła.

    Nie mniej istotnym elementem jest również określenie zasad blokowania dostępu do systemu bądź aplikacji w przypadku wpisywania przez użytkownika bądź podającą się za niego osobę błędnego hasła. Przyjmuje się, że system powinien umożliwiać trzykrotne podanie hasła, a w przypadku każdorazowego otrzymania błędnej odpowiedzi blokować konto na kilkanaście minut przed umożliwieniem dokonania kolejnej próby logowania.

    Bardzo ważna jest również stała edukacja pracowników: uświadamianie ich, że nie mogą nikomu ujawniać hasła bez względu na okoliczności oraz nie wolno im udzielać nikomu wskazówek co do tego, jakie hasło mogą wykorzystywać, np. dzielić się informacją, że jest to imię żeńskie. Osoby próbujące uzyskać dostęp do sieci często stosują technikę nazywaną social engineering, polegającą na wydobywaniu pod różnym pretekstem hasła bezpośrednio od nieświadomych pracowników.

    A może wielopoziomowo?

    Stosowanie silnych haseł zmniejsza ryzyko kradzieży hasła, ale nie gwarantuje, że włamywacz nie uzyska dostępu do sieci z wykorzystaniem jednego z kont. Poziom bezpieczeństwa można znacznie podnieść poprzez stosowanie wielopoziomowego sys-temu identyfikacji użytkowników z wykorzystaniem tzw. haseł jedno-razowych. Rozwiązania takie, oparte na elektronicznych tokenach generujących po podaniu właściwego PIN-u tymczasowe hasło ważne przez kilkadziesiąt sekund, znajdują się w ofercie kilku firm. Najpopularniejsze z rozwiązań to SecurID firmy RSA, współpracujące z oferowanym przez tę firmę oprogramowaniem RSA ACE/Server, odpowiadającym za weryfikację tożsamości użytkowników. Jeśli nawet włamywaczowi uda się podsłuchać hasło przesyłane siecią i je zdekodować, to i tak ważne jest ono zaledwie krótki okres. Tę metodę ochrony warto więc stosować w przypadku systemów o strategicznym znaczeniu dla funkcjonowania firmy.

    Cechy mocnych haseł

  • Zawierają zarówno małe, jak i wielkie litery

  • Zawierają oprócz liter również cyfry oraz dodatkowe znaki, np. !@#$%^&*()_+?:"}{

  • Długość większa niż 8 znaków

  • Nie są słowami pochodzącymi ze słowników dowolnego z języków, nie są wyrażeniem slangowym, żargonem itd.

  • Nie są w żaden sposób powiązane z danymi osobistymi

  • Chociaż są złożone, są łatwe do zapamiętania, przez co nie trzeba ich zapisywać. Przykładowo, mogą powstawać w wyniku skrócenia łatwych do zapamiętania zdań, np. "Wlazł kotek na płotek i mruga", które w formie skróconej mogłoby wyglądać: "W.k.>p.i;-)"


  • TOP 200