Przykładowa polityka haseł

przez | |

Poniższa przykładowa polityka haseł bierze pod uwagę stan wiedzy na temat wydajności i możliwości różnego rodzaju ataków na systemy kryptograficzne w 2020 roku. W miarę możliwości będę starał się ja uaktualniać (gdy okaże się, że jest już za słaba).

polityka haseł
polityka haseł

Statyczne hasła w systemach IT powinny:

  • być długości nie mniejszej niż 12 znaków;
  • zawierać znaki z minimum trzech z czterech następujących kategorii:
    • znaki duże od A do Z
    • znaki małe od a do z
    • cyfry od 0 do 9
    • znaki specjalne (np. !,.$^)
  • być inne niż te znajdujące się w liście 1000 najpopularniejszych haseł;
  • nie zawierać w sobie słów będących loginem, nazwą firmy, nazwą aplikacji, adresem e-mail, imieniem, nazwiskiem użytkownika;
  • być przechowywane w bezpiecznej formie za pomocą funkcji takich jak bcrypt lub PBKDF2;

Dużo przydatnych informacji na temat polityki haseł oraz poprawnej i bezpiecznej implementacji procesu autentykacji można znaleźć w materiałach OWASP – Authentication Cheat Sheet

W większości przypadków nie wiesz jak w jaki sposób Twoje hasła przechowywane są w serwisach internetowych. Być może administrator nie wdrożył żadnych mechanizmów chroniących Twoje dane. Dlatego to Ty sam musisz zadbać o ich bezpieczeństwo. Aby uchronić się przed scenariuszem wycieku Twojego hasła z jakiegoś serwisu internetowego i użycia tego hasła przez atakującego na innym portalu na którym masz konto, powinieneś używać innego hasła na każdej ze stron. Biorąc pod uwagę mnogość portali w jakich się obracamy w dzisiejszych czasach i stopień skomplikowania haseł przytoczonych w powyższej polityce, nie możliwe jest spamiętanie ich wszystkich. Tutaj z pomocą przychodzi nam menadżer haseł. Ty zapamiętujesz jedno skomplikowane hasło, a resztą zajmie się już on. Jednym z uważanych za bezpieczny i polecanych menadżerów haseł jest KeePass.

Używanie menadżerów haseł niesie ze sobą szereg dodatkowych korzyści takich jak:

  • automatyczne generowanie skomplikowanych, bezpiecznych haseł;
  • automatyczne tworzenie kopii zapasowych;
  • dostęp do swoich haseł na wielu urządzeniach (np. poprzez gdrive);
  • możliwość synchronizacji danych pomiędzy urządzeniami;
  • automatyczne szyfrowanie danych;
  • automatyczne wypełnianie formularzy na stronach internetowych;

Aby dodatkowo podnieść bezpieczeństwo naszych danych warto wszędzie tam gdzie jest to tylko możliwe uruchomić uwierzytelnianie dwuskładnikowe. Od wielu lat usługa ta jest dostępna w serwisach takich jak Facebook, Gmail, a ostatnio na skutek wymogów prawnych do tego grona dołączyły banki. Dodatkowy faktor autentykacji np. w postaci kodu sms, który przychodzi na telefon, znacząco podnosi poziom bezpieczeństwa Twojego konta.

Hasła otaczają nasz zewsząd. Przy ciągle rosnącym trendzie wzrostowym ataków internetowych, warto podnosić poziom bezpieczeństwa swoich danych. Wprowadzenie polityki haseł jest dobrym na to sposobem.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). <br> Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , , , , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu