Bezpieczeństwo-Informacji.pl

Basia, Kasia, qwerty, 0123456789, 12345, 11111…. – czy któreś z tych haseł jest Twoje? Być może nie, bo nie sądzę aby czytelnicy tego wortalu mieli tak niską świadomość na temat ważności i złożoności hasła. Jednak osoby pracujące w działach IT zapewne wielokrotnie spotykają się w swoich przedsiębiorstwach z tworzeniem banalnych haseł przez użytkowników, będących np. ich imieniem, nazwiskiem, datą urodzin itp…

O ile w komputerze domowym użytkownik może sobie pozwolić na tworzenie takich haseł (bo przecież to jego sprawa jak chroni swoje zasoby) , to w przedsiębiorstwie należy natychmiast na takie incydenty reagować. Dostęp do zasobów firmowych powinien być jak najlepiej chroniony. Zważywszy na fakt, że najpopularniejszy sposób uwierzytelniania użytkowników w systemach informatycznych zachodzi poprzez hasła, więc to na nich powinniśmy skupić sporą część swojej uwagi.

Na użytkownikach należy wymusić aby zachowali treść haseł w tajemnicy oraz aby zaniechali ich zapisywania na przylepnych karteczkach naklejanych na monitor, krytych pod klawiaturę czy w innym widocznym miejscu.

Sposoby tworzenia haseł
Przede wszystkim należy pamiętać aby nie używać tego samego hasła do autoryzacji w różnych miejscach – np. poczcie firmowej, dostępie do baku i prywatnej poczty.
Szczególnie strzeżonymi i charakteryzującymi się dużą złożonością powinny być hasła których używamy do dostępu do miejsc newralgicznych – np., dostępu do banku.
Odpowiednia konstrukcja hasła gwarantuje długotrwałość w jego łamaniu. Tworzenie zatem haseł będących imieniem użytkownika, czy innym prostym do zgadnięcia ciągiem znaków winniśmy jest wręcz niedopuszczalne.

Złożoność hasła i jego trudność uzyskamy poprzez stosowanie w nim nie tylko cyfr i liter, ale także obcych wyrazów, skrótów, wielkich liter i znaków specjalnych. Jeżeli nam samym trudno wymyśleć złożone hasło, możemy wykorzystać do tego celu specjalne generatory haseł, które zrobią to za nas. Takich programów w sieci znajdziemy bardzo dużo, jednym z nich jest Generator Haseł 1.0.

Przepisy ustawy, a hasła
Określenie poziomów bezpieczeństwa oraz długości hasła jakie winny być zastosowane w systemach informatycznych służących do przetwarzania danych osobowych znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku oraz w załączniku do rozporządzenia.

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

• poziom podstawowy
• poziom podwyższony
• poziom wysoki

Poziom podstawowy – stosuje się go gdy w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy o ochronie danych osobowych, oraz gdy żadne z urządzeń systemu informatycznego , służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Hasło powinno składać się z co najmniej 6 znaków, a jego zmiana następuje nie rzadziej niż co 30 dni.

Poziom podwyższony – stosuje się, gdy w systemie informatycznym są przetwarzane dane, o których mowa w art. 27 ustawy o ochronie danych osobowych, oraz (tak jak w poziomie podstawowym) żadne z urządzeń systemu nie jest połączone z siecią publiczną. Hasło powinno składać się z co najmniej 8 znaków i składać się z małych i dużych liter, cyfr i znaków specjalnych.

Poziom wysoki – stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Sławomir Głaz