Hasła – praktyczne wskazówki. Czy naprawdę trzeba zmienić hasło co 30 dni?

Written by Tomasz Soczyński

Co do zasady, środki bezpieczeństwa stosowane w systemach przetwarzających dane osobowe muszą być odpowiednie do istniejących zagrożeń. Rozporządzenie MSWIA z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, którym powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określało, że w przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż, co 30 dni.

Obecnie w wielu organizacjach, które mają wdrożone polityki haseł w oparciu o ISO 27001, zmiana następuje co 90 dni. Badania z University of North Carolina w Chapel Hill i Carleton University wskazują, że wymóg zmiany hasła co 90 dni może okazać się nie najlepszym sposobem ochrony kont użytkowników. Wymóg częstych zmian powoduje, że użytkownicy tworzą słabe hasła lub po prostu nieznacznie modyfikują swoje obecne. Istnieje wiele dowodów sugerujących, że użytkownicy, którzy są zobowiązani do zmiany swoich haseł, często wybierają słabsze hasła, a następnie zmieniają je w przewidywalny sposób np. poprzez zwiększanie liczby, zmiany litery na podobnie wyglądający symbol … usuwanie znaku specjalnego … albo przełączanie kolejności cyfr lub znaków specjalnych. Jednakże jeśli polityka haseł przewiduje okresową zmianę haseł np. co trzy miesiące, to osoby trzecie, które mają dostęp do poznanego skompromitowanego hasła np. poprzez naruszenie bezpieczeństwa, nie będą mogły go używać w przyszłości. Wiele tego typu naruszeń bezpieczeństwa miało miejsce w ostatnich latach. Przykładem może być wyciek 560 milionów poświadczeń e-mail w 2017 r. , m.in. LinkedIn, Dropbox, LastFM, MySpace, Adobe, itp. Warto w tym miejscu zwrócić uwagę na inne dobre praktyki związane z hasłem, które efektywniej pozwalają zarządzać ryzykiem dostępu do danych, niż częsta zmiana hasła. Tymi praktykami: są tworzenie osobnego hasła do każdego konta, regularne przeglądanie aktywności na koncie i bezzwłoczna zmiana hasła w sytuacji gdy otrzymujemy informację o choćby podejrzeniu jego ujawnienia. Koncentrowanie uwagi na jednej tylko praktyce nie jest rozważne, co ilustruje wspomniany przykład wycieku danych logowania do usług społecznościowych. Przestępcy wykorzystali uzyskane dane do uzyskania dostępu do innych usług (np. e-mail), między innymi dlatego, że pozyskane hasła były używane do więcej niż jednego konta. Co więcej, użytkownicy często nie byli świadomi nieautoryzowanego dostępu osób trzecich z powodu nie monitorowania aktywności na koncie. Przestępcy po uzyskaniu danych dostępowych do jednej z usług mogą nie tylko użyć ich do kontrolowania tej usługi, ale mogą pozyskać dane identyfikacyjne i użyć je do ataków socjotechnicznych na inne usługi. Jest to powszechna praktyka, związana ze zbieraniem informacji na temat tożsamości dowolnego użytkownika, a następnie sprzedaży jej osobom zainteresowanym kradzieżą tożsamości, czy to na masową skalę, czy zainteresowanych atakami na konkretny cel. Okresowa zmiana hasła pozwala odciąć nieautoryzowany dostęp w momencie zmiany tego hasła, jednak najcześciej jest już za późno. Dane zostały pobrane, a konto użyte do celów przestępczych. Jedyna praktyka, w której regularna zmiana hasła ma praktyczny sens i wartość, to odcięcie dostępu niedoświadczonym atakującym. Przy okazji ataków rozłożonych w czasie, gdzie kontrola środowiska przez przestępców opiera się na przejęciu legalnych kont, warto zwrócić uwagę na istotny problem kont serwisowych. Konta te najczęściej służą do podtrzymania procesów automatycznych takich jak transfery danych, skanowanie infrastruktury, integracja systemów. Z uwagi na naturę aktywności tych kont i poziom krytyczności ich funkcjonowania, okresowa zmiana haseł w ich przypadku jest bardzo rzadką praktyką. Najczęściej, tworzy się dla nich wyjątki w polityce haseł które, o czym warto pamiętać, muszą być umotywowane analizą ryzyka. Niestety, konta te często są celem ataku przestępców, jako słabo lub w ogóle nie monitorowane, oraz posiadające wysokie uprawnienia w infrastrukturze. Częsta zmiana hasła dla takich kont, może wprowadzić dodatkowe ryzyko zatrzymania powiązanych usług, w związku z czym, najczęściej stosowaną dobrą praktyką jest monitorowanie aktywności tych kont i alertowanie nietypowych zachowań.

Wymogi ogólnego rozporządzenia ochrony danych osobowych RODO wskazują, że zastosowane środki powinny zapewniać odpowiedni poziom bezpieczeństwa, w tym poufność, przy uwzględnieniu aktualnego stanu wiedzy i kosztów wdrożenia, w odniesieniu do zagrożeń i charakteru danych osobowych, które mają być chronione. Co ważne, przepisy te nie wskazują na konieczność stosowania szczególnych wymagań np. minimalnej długości, wielkich liter, cyfr, maksymalnych okresów ważności / wymaganych częstotliwości zmian. Zapewnienie poufności haseł przy jednoczesnym wymogu ich skomplikowania stanowi niebagatelne wyzwanie dla użytkowników, głownie z uwagi na ich nawyki, oraz niestety czasami również z uwagi na błędnie zaprojektowane procesy. Jako przykłady problemów można tutaj wymienić: zapisywanie haseł na łatwo dostępnych kartkach, tablicach, monitorze, przechowywanie takich notatek w ogólnie dostępnym miejscu, udostępnianie kont w celu realizacji pojedynczych zadań, czy przekazywanie danych logowania w trakcie urlopu. Okresowe resetowanie hasła w tym przypadku może być pomocne, w celu utrudnienia takich złych praktyk, jednak z punktu widzenia rozliczalności czynności w systemach informatycznych jest wydaje się niezasadne. Potrzeby użytkowników, ich nawyki oraz uwarunkowania procesów biznesowych powinny być uwzględnione w analizie ryzyka. Następnie to ryzyko powinno być zarządzane, między innymi poprzez budowanie świadomości, w tym dotyczącej rozliczalności aktywności, poprzez rozwiązania techniczne wspierające użytkowników oraz rozwiązania organizacyjne wspierające np. ciągłość pracy dla kluczowych zadań. Wewnętrzne naruszenie poufności haseł, jak w podanych przykładach, powinno każdorazowo skutkować incydentem bezpieczeństwa, jego obsługą i wnioskami usprawniającymi zarządzanie bezpieczeństwem organizacji.

Sposób przechowywania i resetowania haseł jest kluczowym aspektem zgodności z RODO. Wymogi RODO oznaczają, że administratorzy danych muszą wykazać, że ich procesy i procedury resetowania haseł są bezpieczne. Być może najlepszym sposobem, aby to zapewnić, jest zastosowanie bezpiecznego systemu samoobsługi. Systemy te mogą korzystać z uwierzytelniania dwu- lub wieloskładnikowego w celu sprawdzenia, czy osoba resetująca jest właścicielem konta. Jedną z powszechnie stosowanych metod jest przesłanie automatycznie wygenerowanego kodu resetowania który jest powiązany z indywidualną nazwą konta. Jeśli zostanie użyty w określonym czasie, umożliwi on reset hasła za pomocą nazwy konta lub adresu e-mail. Chociaż istnieje ryzyko, że strona trzecia pozna nazwę konta / adresu e-mail, to wskazaną metodę można uznać za stosunkowo bezpieczną. Tymczasowy charakter kodu resetowania i czasowego okna resetowania znacząco zwiększa bezpieczeństwo. Dodawanie dodatkowych etapów potwierdzania lub czynników np. nr telefonu, linii papilarnych, głosu itp. również przyczynia się do wzrostu poziomu ochrony. Administrator lub podmiot przetwarzający powinni ocenić ryzyko związane z przetwarzaniem i wdrożyć odpowiednie środki mające na celu zminimalizowania ryzyka. Warto w tym miejscu przyjrzeć się praktykom przestępców dotyczącym pozyskiwania danych logowania w ramach aktywności nazywanych phishingiem. Jedną z wysoce efektywnych technik jest przekonanie użytkownika, że z powodów bezpieczeństwa, hasło dostępu (lub dowolny inny czynnik) musi zostać zresetowane. W tym celu użytkownik musi zalogować się do systemu używając starego hasła. Inną, podobną praktyką, jest użycie faktycznego procesu resetowania hasła, ale tak jak w przypadku poprzednim, strona na którą jest kierowany użytkownik jest fałszywa.

Zalecamy stosowanie wieloskładnikowego uwierzytelniania w celu identyfikacji i resetowania hasła, a także szyfrowanego przechowywania danych i haseł.

 

Stosowanie wieloskładnikowego uwierzytelnienia znacznie utrudnia (choć nie uniemożliwia) praktyki phishingowe, jednak kluczowe w tym mechanizmie zabezpieczeń jest uważne zapoznanie się przez użytkownika z komunikatami i zwrócenie uwagi na certyfikaty stron gdzie podawane są dane logowania. Stosowanie dobrych praktyk dla identyfikacji witryny i zabezpieczenia danych z użyciem certyfikatów SSL jest rekomendowane dla właścicieli serwisów i aplikacji internetowych. Współczesne przeglądarki od niedawna wyraźnie informują użytkownika, że korzystanie z niezabezpieczonych zasobów wiąże się z ryzykiem utraty prywatności i poufności ich danych. Administrator lub podmiot przetwarzający dane i umożliwiający zdalny do nich dostęp, powinien poinformować i w sposób ciągły edukować użytkowników na temat identyfikacji prawidłowych zabezpieczeń swojego serwisu i możliwych prób oszustwa.

Zmiana hasła to najlepsza metoda zabezpieczeń, która chroni konta użytkowników przed dostępem do nich osób trzecich. Praktyczne podejście do tego wymogu ogranicza się do manualnej czynności zmiany hasła w sytuacji podejrzenia jego ujawnienia (np. w wyniku zgubienia notesu, gdzie było zapisane, lub dowolnego urządzenia czy nośnika gdzie było zapisane, infekcji wirusowej dowolnego urządzenia bądź też włamania lub wycieku danych z serwisu, do którego dostępu służyło).

Jeśli racjonalnie często zmieniasz hasła i używasz silnych / unikatowych haseł, które nie są podobne do poprzednich, Twoje dane są prawdopodobnie bezpieczne.

Aby ułatwić zarządzanie / zapamiętywanie, jak i generowanie silnych unikalnych haseł, zaleca się używanie odpowiedniego menadżera. Utrzymywanie złożonych, unikatowych haseł dla każdej usługi, z której korzystasz, jest jedną z najczęstszych rad, udzielanych przez specjalistów ds. bezpieczeństwa. Jednakże, użytkownicy wciąż omijają minimalne zasady złożoności hasła np. „P@$w0rd!1”, co zmniejsza poziom bezpieczeństwa w znaczący sposób. Prawie każda odmiana słów i zwrotów połączona z kilkoma liczbami literami jest po prostu zbyt łatwa, dla narzędzi łamania haseł, a im krótsze hasło, tym łatwiej. Zalecane hasła to długie, losowe lub pseudolosowe kombinacje wszystkich możliwych znaków, z innym hasłem dla każdego konta. Zadanie to może być nieznacznie ułatwione przy zastosowaniu wyrażeń hasłowych zamiast klasycznych haseł. W wyrażeniach hasłowych, treść hasła jest budowana za pomocą kilku słów z języka, pozornie nie związanych ze sobą, jednak posiadających skojarzeniowy sens dla użytkownika. Tak stworzone hasła często są bardzo długie 15-20 znaków, ale łatwe do zapamiętania, jako że zawierają 3-4 słów ustawionych w określonym porządku, mającym sens jedynie dla użytkownika, który je wymyślił.

Zapamiętanie wielu unikalnych haseł powiązanych z każdym kontem, jakie kiedykolwiek stworzyliśmy jest prawie niemożliwe. Być może najłatwiejszym sposobem jest menedżer haseł. Istnieje kilka rozwiązań open source np. KeePass, Padlock, Passbolt. W przypadku haseł możliwość sprawdzenia kodu źródłowego menedżera haseł jest szczególnie ważna, ponieważ pomaga zapewnić prawidłowe szyfrowanie haseł i nie jest podatny na działanie backdoorów. Jakkolwiek nie każdy jest w stanie samodzielnie sprawdzić kod źródłowy menadżera haseł, warto w tym wypadku wesprzeć się opinią firmy trzeciej, która przeprowadziła audyt takiego narzędzia lub certyfikatami bezpieczeństwa jakie takie narzędzie uzyskało.

Menadżer haseł zapewnia dodatkowe korzyści w postaci nie tylko zarządzania hasłami, ale również stosowania właściwych polityk dotyczących złożoności haseł, za pomocą kilku prostych ustawień. Nie każdy serwis akceptuje wszystkie znaki w haśle, niektóre ograniczenia mogą znacznie zniechęcić użytkownika używającego generatora haseł dostępnego w Internecie. Warto zwrócić uwagę, że jakość internetowych generatorów haseł bywa wątpliwa, tak samo jak wskaźników złożoności tych haseł. W tym zakresie menadżery haseł stanowią dobre źródło haseł zgodnych z wybraną polityką (małe, duże znaki, cyfry, znaki specjalne, długość, liczba powtórzeń znaków itp). Dodatkowo menadżer haseł w wersji online posiada możliwość weryfikacji czy dane dostępowe nie zostały wykradzione, czy strona, na której są podawane, jest taka sama jak podczas rejestracji (zapobieganie phishingowi), i wiele innych. Używanie menadżera haseł jako usługi internetowej jest związane z kolejnymi ryzykami, charakterystycznymi dla bezpieczeństwa danych w chmurach obliczeniowych, dlatego przed użyciem takich rozwiązań należy przeprowadzić szczegółową analizę ryzyka, a następnie odpowiednio nim zarządzać w sytuacji podjęcia decyzji o użyciu.

Podsumowując, wymóg resetowania hasła może być przydatny jako jedna z wielu praktyk zabezpieczenia danych logowania, jednak niedostosowany do realiów organizacji może stanowić również ryzyko zmniejszenia poziomu bezpieczeństwa stosowanych haseł, np. w związku ze złymi praktykami użytkowników dotyczących budowania i zarządzania hasłami. Bezsprzecznie temat zarządzania hasłami jest kluczowy w organizacji i dużo bardziej złożony niż zwykłe zastosowanie procesu okresowego resetowania hasła. W związku z powyższym wymaga indywidualnej analizy ryzyka i jego zarządzaniu.

 

Tomasz Soczyński

Artur Marek Maciąg