Stosowanie technologii informatycznych niezaprzeczalnie niesie za sobą cały szereg korzyści i w zasadzie nikt już chyba nie wyobraża sobie bez nich pracy czy rozrywki. Szczególnie cenimy sobie takie korzyści jak chociażby możliwość dostępu do informacji z dowolnego miejsca i w dowolnym czasie, możliwość pracy zdalnej, możliwość załatwienia spraw bez wychodzenia z domu czy też korzystanie z bankowości elektronicznej.

Niezależnie w jakim obszarze wykorzystujemy systemy teleinformatyczne, większość z nich warunkuje nam możliwość ich wykorzystania po prawidłowym przejściu procesu uwierzytelnienia. Zwykle element ten jest niezbędny do potwierdzenia naszej tożsamości oraz przyznania dostępu do treści i funkcjonalności dla nas zdefiniowanych. Proces uwierzytelniania użytkowników w systemach informatycznych uznawany jest jako zabezpieczenie techniczne pozwalające na zachowanie poufności przetwarzanych informacji (dostęp do danych otrzymują tylko osoby uprawnione) oraz rozliczalności (możliwości przypisania działań w systemie konkretnej osobie).

Pomimo istotnych zmian w tym obszarze jakie miały i mają wciąż miejsce w ostatnich latach, które kierunkują trend na wykorzystanie danych biometrycznych, wciąż najpopularniejsza metodą identyfikacji użytkowników w systemach informatycznych pozostaje model bazujący o identyfikator użytkownika oraz hasło. 

Warunkiem skuteczności funkcjonowania systemów uwierzytelniania opartych o login i hasło jest zapewnienie aby co najmniej jedna z pary identyfikator użytkownika, hasło pozostawały poufne i znane tylko osobie, która się nimi posługuje. Wobec powyższego niezwykle istotne jest zapewnienie poufności hasła, które narażone jest na szereg ryzyk.

Pierwsze z nich to odgadnięcie hasła przez osobę nieuprawnioną. Jego prawdopodobieństwo wystąpienia możemy znacząco ograniczyć tworząc hasła złożone oraz odpowiednio długie. O tworzeniu haseł napiszę jeszcze w oddzielnym wpisie. 

Koleje zagrożenie to ujawnienie hasła osobie trzeciej, stanowi zwykle konsekwencje naszych zamierzonych lub też nie działać lub zaniedbań. Klasyczne przypadki to udostępnienie hasła współpracownikowi w celu wykonania w naszym imieniu jakichś czynności, pozostawienie zapisanego hasła czy tez wprowadzanie hasła w sposób umożliwiający zapoznanie się przez osobę trzecią.

Aby ograniczyć powyższe ryzyka, należy stosować zasady „higieny” przy posługiwaniu się danymi dostępowymi:

1. Tworzymy zawsze złożone hasła o odpowiedniej długości. Przyjęło się, że minimalna długość hasła to 8 znaków, zgodnie jednak z dzisiejsza wiedzą oraz dostępnymi technologiami (metody brute force, metody słownikowe, generatory haseł, przetwarzanie rownolegle wielokierunkowe) zalecana długość hasła to 10 znaków.

2. Sposób tworzenia haseł określa polityka haseł, będąca częścią polityki bezpieczeństwa informacji.

3. Hasło mimo swej złożoności ma być możliwe do zapamiętania

4. Haseł nigdzie nie zapisujemy

5. Hasła okresowo zmieniamy. Przyjęło się, że dla systemów dostępnych z sieci publicznej zalecany okres zmiany to minimum co 30 dni.

6. Powyższe zasady stosujemy niezależnie od tego czy system informatyczny je wymusza czy tez nie

7. Przestrzegamy wszystkich innych wytycznych określonych w polityce haseł, która winna być elementem polityki bezpieczeństwa informacji przyjętej do stosowania w organizacji

8. Nie udostępniamy hasła osobom trzecim.

9. W przypadku jakiegokolwiek podejrzenia, iż z hasłem mogła się zapoznać osoba trzecia, niezwłocznie zmieniamy hasło a w przypadku braku takiej możliwości niezwłoczny kontakt z działem IT w celu czasowego zablokowania konta w systemie.

   Grupa Gumułka oferuje usługę Audytu bezpieczeństwa