Hasło to nic innego jak ciąg znaków, który pozwala na dostęp do wybranych zasobów, takich jak np. aplikacje, portale, poczta elektroniczna czy bankowość elektroniczna. Hasło to pierwsze zabezpieczenie, które jest składową ochrony dla naszych danych i zasobów firmowych. Dlatego ważne od zawsze było to, aby hasło było na tyle silne i skomplikowane, by możliwość jego złamania była jak najmniej prawdopodobna. Jednak dlaczego trudne hasła mogą nie wystarczyć do ochrony danych?
Gdzie używamy haseł i dlaczego są nam potrzebne?
Istnieje kilka zasad mówiących o bezpiecznych hasłach, jedną z nich jest zasada mówiąca o tym, by dane hasła były znane tylko dla osoby, która je stworzyła. Nie powinno się ich udostępniać ani zapisywać w miejscach prywatnych jak notatniki, pliki na pulpicie lub w miejscach łatwo dostępnych dla innych (firmowe biurko i żółta karteczka). Kolejną zasadą była od zawsze regularność w zmianie hasła. Dzięki temu zmniejszone było ryzyko włamania do zabezpieczonych zasobów. W jaki sposób budować silną, pierwszą barierę ochronną danych firmowych? Hasła powinny składać się z kombinacji liter, cyfr, znaków specjalnych, nie powinny zawierać nazwy przedsiębiorstwa, imienia, nazwiska, daty urodzenia i podobnych słów osobistych. Hasło nie powinno zawierać również loginu czy ciągu znaków, które są obok siebie na klawiaturze.
Obecnie haseł używamy praktycznie wszędzie. Powstaje coraz więcej portali, urządzeń czy aplikacji, z których korzystamy na co dzień. Jeszcze do niedawna same hasła były bezpieczne, nie było na tyle sprawnej technologii do ich łamania, obecne technologie sprzętowe pozwalają na złamanie takich haseł w ekspresowym tempie, bez żadnych trudności. Jeśli posiadamy hasło, które składa się tylko z cyfr i liter bez znaków specjalnych, to takie nawet 8-znakowe hasło, nowoczesne algorytmy na nowoczesnym sprzęcie są w stanie złamać w zaledwie 5 sekund. Bezpieczeństwo takiego hasła obecnie jest prawie zerowe. Poniższa grafika dokładnie pokazuje, jak szybko dane hasło może zostać złamane.
Źródło: Hive Systems
Naszych haseł jest coraz więcej i coraz więcej danych zarówno prywatnych, jak i firmowych jest nimi “zabezpieczone”. Praktycznie większość rozwiązań, z jakich obecnie korzystamy – urządzenia, aplikacje, portale, systemy, konta w social mediach – posiadają hasła. W tym momencie należy się zastanowić – czy nasze hasła są unikatowe? Czy posiadają odpowiednią złożoność i są trudne do złamania metodą słownikową? W tym temacie nie warto sobie upraszczać drogi, hasła nie powinny być proste i jednakowe do wszystkich aplikacji.
Jeszcze niedawno w sieci na forach i w darknecie można było pobrać plik z około 2 miliardami haseł. Statystycznie każdy z użytkowników Internetu stracił średnio 2 swoje hasła. Warte uwagi jest również pytanie, czy nasi pracownicy nie wykorzystują haseł firmowych np. firmowej poczty elektronicznej do swoich prywatnych celów. Przykładowo pracownik firmy używa firmowego adresu i hasła poczty elektronicznej do swojego prywatnego konta w Social Mediach. W sytuacji, kiedy hasła z danego portalu wyciekają, poza prywatnymi danymi narażone mogą być również zasoby firmowe. Nie zawsze firma jest w stanie w takiej sytuacji zweryfikować czy ktoś właśnie przez taki wyciek nie włamał się do firmowej poczty i nie ma dostępu do korespondencji służbowej, która może zawierać dane wrażliwe. Dane w tych czasach są niezwykle cenne, nierzadko cenniejsze niż środki trwałe w firmie.
Trudne hasła nie są wystarczające
Im trudniejsze hasła, tym trudniej je zapamiętać i są częściej zapisywane w losowych miejscach, takich jak notatnik w komputerze, kartki, notesy czy gdziekolwiek indziej. Ryzyko wypłynięcia takiego hasła jest bardzo wysokie z racji na duże prawdopodobieństwo, że ktoś niepowołany podejrzy hasło, wejdzie w posiadanie notesu z hasłami, zabierze kartkę itp. Jeśli hasło składa się z nawet 12 różnorodnych znaków i jest trudnym hasłem, nie ma i tak znaczenia, jeżeli jego właściciel przechowuje je w nieodpowiedni sposób, udostępnia niepowołanym osobom, upublicznia nieświadomie lub zapisuje w nieodpowiednich miejscach. Wraz z rozwojem technologicznych przyszedł moment, w którym trudne hasła to już przeszłość. Samo hasło nie jest w stanie zabezpieczyć dostępu do danych.
Świat dąży do dodatkowego zabezpieczenia dostępu do zasobów prywatnych, a obligatoryjnie firmowych jak odbywa się to np. w banku, w którym logowanie odbywa się za pomocą loginu i hasła, ale dodatkowo należy potwierdzić logowanie SMSem lub kodem z aplikacji autoryzującej. Ma to na celu weryfikację osoby, która próbuje uzyskać dostęp. Podwójna autoryzacja staje się standardem, więc w takiej sytuacji samo silne hasło nie jest najważniejsze. Trudność hasła schodzi na drugi plan, do naszych zasobów zawsze powinien występować dodatkowy składnik autoryzacji. Przyszłością natomiast jest biometryka, która w jednoznaczny sposób będzie w stanie zweryfikować unikatowego użytkownika poprzez wykorzystanie odcisku palca, skanu siatkówki oka lub twarzy.
Zabezpieczenie danych firmowych
Ważną kwestią, nad którą każda firma lub organizacja powinna się zastanowić, jest zawartość danych przesyłanych i otrzymywanych za pomocą poczty elektronicznej. Czy poza zwykłym tekstem zawartość emaili pracowniczych to również poufne informacje firmowe? W większości przypadków pracownicy za pomocą poczty elektronicznej przesyłają ważne a często kluczowe dane naszej organizacji. Czy skrzynki pracownicze nie są pełne danych osobowych, umów, faktur, danych handlowych lub innych danych wrażliwych jak np. skany zwolnień, dane kadrowe i wiele innych istotnych danych, które nie powinny wypłynąć poza organizację. Co istotne, czy przesyłane dane są weryfikowane? Czy poczta elektroniczna firmy jest odpowiednio zabezpieczona?
Dzięki darmowym narzędziom w ciągu zaledwie kilkunastu sekund bardzo łatwo można zweryfikować lokalizację serwera pocztowego a dalej portalu do logowania, pozostaje kwestia hasła… Czy już wyciekło? Czy jest już gdzieś w sieci? Czy można je złamać? Przy dyskryminacji konta pocztowego potencjalny atakujący może mieć nieograniczony dostęp do zawartości skrzynki pocztowej, co więcej atakowana osoba może nie być świadoma tego faktu.
Nie wszystkie usługi hostingowe czy serwerowe poczty elektronicznej umożliwiają dodatkową autoryzację przy logowaniu. Tutaj wracamy do dwuetapowej autoryzacji za pomocą tokenów, aplikacji czy SMSów autoryzujących, które są niezmiernie ważne w przypadku usług dostępnych z dowolnego miejsca na świecie. Przy wdrożeniu usługi pocztowej sugerujemy, a wręcz uznajemy za konieczne wymuszenie systemu podwójnej autoryzacji. Możliwe, że Twój dostawca usług hostingowych już wprowadził mechanizm dwuetapowej autoryzacji – zapytaj go o dodatkowe zabezpieczenie swoich usług pocztowych dla Twojej firmy. Jeśli nie ma takiej możliwości – zmień dostawcę.
Są dostępne miejsca, dzięki którym bezpłatnie możemy sprawdzić, czy nasze dane nie wyciekły. Jednym z takich miejsc jest haveibeenpwned.com. Na tej stronie możemy od razu zobaczyć, czy nasze dane logowania wyciekły i jeśli tak to na jakich serwisach.
Uwierzytelnianie wieloskładnikowe (MFA)
MFA to nieskomplikowana metoda na podwyższenie poziomu bezpieczeństwa danych firmowych. Jak to działa? W przypadku logowania do danego systemu lub aplikacji następuje etap zabezpieczenia, czyli login i hasło. Kolejnym etapem są takie kroki jak: potwierdzenie aplikacją uwierzytelniającą, wpisanie jednorazowego hasła ze specjalnej wiadomości, kod SMS lub odcisk palca. Gdy występuje więcej niż jeden z wyżej wymienionych kroków – mówimy o MFA, czyli o uwierzytelnianiu wieloskładnikowym. Jest to metoda, w której użytkownik na drodze do dostępu do danych chronionych musi zostać zweryfikowany co najmniej dwa razy. Microsoft 365 w standardzie usługi wspiera podwójną autoryzację dla kont użytkowników, czyli dostęp do usług, plików, chmury, aplikacji itp. Jako Global IT rekomendujemy, stosujemy i wdrażamy rozwiązania z zastosowaniem MFA u naszych klientów. Więcej na ten temat możesz uzyskać kontaktując się z nami.
Posiadanie trudnych haseł nie gwarantuje w dzisiejszych czasach bezpieczeństwa dostępu do zasobów prywatnych, jak i firmowych. Oczywiście zawsze lepsze jest posiadanie trudnego hasła niż łatwego – słownikowego, jednak korzystanie z zabezpieczenia jedynie w takiej formie to już przeżytek i potencjalnie naraża nas na kompromitację. Standardem jest podwójna autoryzacja użytkowników i pracowników – zadbajmy o nich i o nasze dane.
