Stosowanie technologii informatycznych niezaprzeczalnie niesie za sobą cały szereg korzyści i w zasadzie nikt już chyba nie wyobraża sobie bez nich pracy czy rozrywki. Szczególnie cenimy sobie takie korzyści jak chociażby możliwość dostępu do informacji z dowolnego miejsca i w dowolnym czasie, możliwość pracy zdalnej, możliwość załatwienia spraw bez wychodzenia z domu czy też korzystanie z bankowości elektronicznej.
Niezależnie w jakim obszarze wykorzystujemy systemy teleinformatyczne, większość z nich warunkuje nam możliwość ich wykorzystania po prawidłowym przejściu procesu uwierzytelnienia. Zwykle element ten jest niezbędny do potwierdzenia naszej tożsamości oraz przyznania dostępu do treści i funkcjonalności dla nas zdefiniowanych. Proces uwierzytelniania użytkowników w systemach informatycznych uznawany jest jako zabezpieczenie techniczne pozwalające na zachowanie poufności przetwarzanych informacji (dostęp do danych otrzymują tylko osoby uprawnione) oraz rozliczalności (możliwości przypisania działań w systemie konkretnej osobie).
Pomimo istotnych zmian w tym obszarze jakie miały i mają wciąż miejsce w ostatnich latach, które kierunkują trend na wykorzystanie danych biometrycznych, wciąż najpopularniejsza metodą identyfikacji użytkowników w systemach informatycznych pozostaje model bazujący o identyfikator użytkownika oraz hasło.
Warunkiem skuteczności funkcjonowania systemów uwierzytelniania opartych o login i hasło jest zapewnienie aby co najmniej jedna z pary identyfikator użytkownika, hasło pozostawały poufne i znane tylko osobie, która się nimi posługuje. Wobec powyższego niezwykle istotne jest zapewnienie poufności hasła, które narażone jest na szereg ryzyk.
Pierwsze z nich to odgadnięcie hasła przez osobę nieuprawnioną. Jego prawdopodobieństwo wystąpienia możemy znacząco ograniczyć tworząc hasła złożone oraz odpowiednio długie. O tworzeniu haseł napiszę jeszcze w oddzielnym wpisie.
Koleje zagrożenie to ujawnienie hasła osobie trzeciej, stanowi zwykle konsekwencje naszych zamierzonych lub też nie działać lub zaniedbań. Klasyczne przypadki to udostępnienie hasła współpracownikowi w celu wykonania w naszym imieniu jakichś czynności, pozostawienie zapisanego hasła czy tez wprowadzanie hasła w sposób umożliwiający zapoznanie się przez osobę trzecią.
Aby ograniczyć powyższe ryzyka, należy stosować zasady „higieny” przy posługiwaniu się danymi dostępowymi:
-
Tworzymy zawsze złożone hasła o odpowiedniej długości. Przyjęło się, że minimalna długość hasła to 8 znaków, zgodnie jednak z dzisiejsza wiedzą oraz dostępnymi technologiami (metody brute force, metody słownikowe, generatory haseł, przetwarzanie rownolegle wielokierunkowe) zalecana długość hasła to 10 znaków.
-
Sposób tworzenia haseł określa polityka haseł, będąca częścią polityki bezpieczeństwa informacji.
-
Hasło mimo swej złożoności ma być możliwe do zapamiętania
-
Haseł nigdzie nie zapisujemy
-
Hasła okresowo zmieniamy. Przyjęło się, że dla systemów dostępnych z sieci publicznej zalecany okres zmiany to minimum co 30 dni.
-
Powyższe zasady stosujemy niezależnie od tego czy system informatyczny je wymusza czy tez nie
-
Przestrzegamy wszystkich innych wytycznych określonych w polityce haseł, która winna być elementem polityki bezpieczeństwa informacji przyjętej do stosowania w organizacji
-
Nie udostępniamy hasła osobom trzecim.
-
W przypadku jakiegokolwiek podejrzenia, iż z hasłem mogła się zapoznać osoba trzecia, niezwłocznie zmieniamy hasło a w przypadku braku takiej możliwości niezwłoczny kontakt z działem IT w celu czasowego zablokowania konta w systemie.
Grupa Gumułka oferuje usługę Audytu bezpieczeństwa