Hasło to wciąż najpowszechniejszy sposób uwierzytelniania dostępu m.in. do systemów, poczty elektronicznej, serwisów online czy zaszyfrowanych zasobów. Jednak tradycyjne podejście, polegające na wymuszaniu skomplikowanych kombinacji znaków i częstej zmianie haseł, w praktyce nie zwiększa bezpieczeństwa. Przeciwnie – powoduje frustrację użytkowników i sprzyja tworzeniu przewidywalnych schematów. Dzisiaj coraz więcej organizacji wdraża politykę haseł w firmie zgodną z aktualnymi wytycznymi i rekomendacjami międzynarodowych instytucji zajmujących się cyberbezpieczeństwem.

Tworzenie haseł

Zgodnie z wytycznymi NIST SP 800-63B siła hasła zależy przede wszystkim od jego długości, a nie skomplikowanej struktury. Krótkie hasła pozostają podatne na ataki słownikowe i siłowe, nawet jeśli zawierają cyfry i symbole. Właśnie dlatego, odpowiadając na pytanie, ile znaków powinno mieć hasło, należy podkreślić, że rekomenduje się co najmniej dwanaście znaków, a w środowiskach o podwyższonym ryzyku – piętnaście lub więcej. Obowiązek stosowania wielkich liter, cyfr i znaków specjalnych często prowadzi do przewidywalnych kombinacji i zniechęca użytkowników, którzy tworzą schematyczne wzory albo zapisują hasła w niebezpieczny sposób. Nowoczesne podejście kładzie nacisk na możliwość tworzenia długich, unikalnych i łatwych do zapamiętania fraz hasłowych oraz na weryfikację, czy proponowane hasła nie występują na listach powszechnie używanych lub ujawnionych w wyciekach danych. Należy pamiętać, że nawet najdłuższe hasło nie chroni przed phishingiem i atakami socjotechnicznymi, dlatego najlepsze rezultaty daje łączenie go z uwierzytelnianiem wieloskładnikowym.

Nowoczesne podejście do bezpieczeństwa haseł i uwierzytelniania

Jednym z elementów zmiany podejścia jest rezygnacja z wymuszania cyklicznej zmiany haseł – zgodnie z NIST powinno się to odbywać wtedy, gdy istnieją podejrzenia kompromitacji konta. Dodatkowo w standardach podkreśla się konieczność bezpiecznego przechowywania haseł w postaci haszowanej i „solonej” z wykorzystaniem obliczeniowo kosztownych algorytmów, takich jak PBKDF2. Hasła muszą być sprawdzane pod kątem obecności w listach znanych wycieków, ale użytkownikom powinno się ułatwiać ich tworzenie – na przykład przez umożliwienie wklejania ich z menedżera haseł czy wyświetlanie wpisywanego tekstu. Warto pamiętać, że nawet najdłuższe hasło nie chroni przed phishingiem, dlatego skuteczna polityka haseł powinna być uzupełniona o kilka warstw ochrony – szyfrowanie kanałów komunikacji, uwierzytelnianie wieloskładnikowe i stosowanie metod kryptograficznych tam, gdzie to możliwe.

Przechowywanie i zarządzanie hasłami

Oprócz samego tworzenia mocnych haseł kluczowym elementem polityki bezpieczeństwa jest ich właściwe przechowywanie. Współczesne standardy, takie jak NIST SP 800-63B, jednoznacznie wskazują, że hasła nigdy nie powinny być przechowywane w postaci czystego tekstu. Organizacje powinny stosować algorytmy odporne na ataki offline, takie jak PBKDF2, bcrypt czy Argon2, wykorzystując unikalne wartości soli oraz odpowiednio wysoki współczynnik kosztu obliczeniowego. Dzięki temu próby odgadnięcia hasła metodą siłową stają się znacznie bardziej czasochłonne i kosztowne.

Istotne jest również wprowadzenie zasad ograniczania liczby nieudanych prób logowania, aby zmniejszyć skuteczność ataków online. Mechanizmy blokady konta, okresowe opóźnianie kolejnych prób czy weryfikacja ryzyka (np. rozpoznawanie nietypowych lokalizacji logowania) stanowią uzupełnienie technicznych środków ochrony haseł.

Uwierzytelnianie wieloskładnikowe jako uzupełnienie polityki haseł

Rosnąca liczba skutecznych ataków phishingowych i przejęć kont sprawia, że samo silne hasło często nie wystarcza. Dlatego organizacje coraz częściej wprowadzają uwierzytelnianie wieloskładnikowe (MFA), które łączy coś, co użytkownik wie (hasło), z czymś, co ma (na przykład token sprzętowy, telefon) lub czymś, czym jest (biometria).

Szczególnie warte uwagi są nowoczesne standardy FIDO2 i protokół WebAuthn, które pozwalają całkowicie wyeliminować potrzebę wpisywania hasła i skutecznie zabezpieczają przed phishingiem. Klucze sprzętowe w standardzie U2F lub wbudowane moduły bezpieczeństwa w laptopach i smartfonach umożliwiają bezpieczne uwierzytelnianie za pomocą podpisu kryptograficznego, który nie może zostać przekazany napastnikowi nawet w przypadku skutecznego ataku socjotechnicznego.

Polityka haseł RODO

RODO nie zawiera szczegółowych wymagań technicznych odnoszących się wyłącznie do haseł, jednak w art. 32 nakłada na administratorów i podmioty przetwarzające obowiązek stosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. W praktyce oznacza to konieczność wdrożenia polityki haseł w firmie adekwatnej do charakteru przetwarzanych informacji, skali ryzyka i stanu wiedzy technicznej. Odpowiednie środki mogą obejmować m.in. stosowanie haseł o minimalnej długości (np. co najmniej 12 znaków), ich regularne weryfikowanie pod kątem obecności w bazach danych haseł ujawnionych w incydentach oraz przechowywanie w formie zasolonej i hashowanej przy użyciu zweryfikowanych algorytmów kryptograficznych (np. PBKDF2, bcrypt).

Jednocześnie przy formułowaniu wymagań dotyczących polityki haseł należy pamiętać o zasadzie minimalizacji przetwarzania i proporcjonalności środków bezpieczeństwa. Wymuszanie zbyt skomplikowanych i często zmienianych haseł może paradoksalnie obniżać poziom ochrony danych, sprzyjając zapisywaniu ich w niebezpiecznych miejscach lub stosowaniu przewidywalnych schematów. Dlatego rekomendowane podejście opiera się na tworzeniu długich, unikalnych haseł i łączeniu ich z dodatkowymi metodami uwierzytelniania, np. kluczami sprzętowymi lub tokenami jednorazowymi. Przy wyborze środków technicznych warto korzystać z międzynarodowych standardów bezpieczeństwa informacji (np. ISO/IEC 27001, ISO/IEC 27002, NIST SP 800-63B).