Powrót do wszystkich artykułówW poprzedniej części artykułu, który możecie Państwo przeczytać tutaj, przedstawiona została definicja hasła oraz polityki haseł. Omówiono także najbardziej popularne metody łamania haseł przez hakerów. W tej części wskażemy Państwu, jak powinna być skonstruowana polityka haseł oraz czego unikać przy tworzeniu hasła. Jak bowiem zwrócił uwagę PUODO, w obrocie gospodarczym istnieją dokumenty i wytyczne wskazujące na kryteria konstruowania polityki haseł, które warto wziąć pod uwagę tworząc własną politykę.
Co powinna zawierać prawidłowo skonstruowana polityka haseł?
Jak wspomniano wcześniej, RODO odeszło od „narzucania” administratorom danych określonych sposobów ochrony danych osobowych czy środków bezpieczeństwa i przerzuciło ten ciężar właśnie na nich. Nieobowiązujące już Rozporządzenie wskazywało na przykład, że środkiem bezpieczeństwa na poziomie podstawowym jest m.in. hasło powinno składać się z co najmniej 6 znaków i powinno być zmieniane nie rzadziej niż co 30 dni. Rozwój technologii powoduje jednak, że tego rodzaju hasła nie zawsze mogą być wystarczająco silne, dlatego przy opracowywaniu polityki haseł, administratorzy przede wszystkim dostosować je do charakteru organizacji, a także powinni zwrócić uwagę na to:
- czy przetwarzane są dane zwykłe czy również dane szczególnych kategorii (np. dane dotyczące zdrowia, poglądów politycznych, przynależności rasowej lub inne wskazane w art. 9 ust. 1 RODO)
- jakie kategorie danych osobowych są przez nich przetwarzane (np. identyfikacyjne, kontaktowe lub inne),
- jak wiele rekordów danych osobowych jest przetwarzanych.
Nadto, przede wszystkim powinni oni uwzględnić kontekst, cel i charakter przetwarzania w organizacji oraz ogólną charakterystykę i specyfikę działalności. Należy pamiętać, że w obecnych realiach prowadzenia działalności gospodarczej hasło do komputera, do poczty elektronicznej, do wewnętrznych systemów organizacji stanowi obligatoryjny techniczny środek bezpieczeństwa zapewniający ochronę przetwarzanych danych osobowych.
Prawidłowo skonstruowana polityka haseł powinna zatem zawierać, co najmniej:
- określenie sytuacji w których wymagane jest zabezpieczenie określonego elementu hasłem (np. hasło dostępowe do komputerów, poczty elektronicznej czy załączników),
- sposób przechowywania haseł do infrastruktury kluczowej z punktu widzenia organizacji (np. kont bankowych, systemów informatycznych),
- procedurę „żywotności” hasła, tj. czy powinno być ono zmieniane, a jeśli tak, to jak często, czy możliwe jest stosowanie funkcji zapamiętywania haseł czy oprogramowania do zarządzania hasłami (tzw. password manager),
- tzw. „czarną listę haseł”, tj. przykładowe hasła, których pracownicy nie powinni wykorzystywać (np. 123456, qwerty, password)
Czego należy unikać przy konstrukcji haseł?
Tak jak wskazaliśmy Państwu na początku niniejszego artykułu, że przygotowanie polityki haseł powinno być dokumentem uwzględniającym charakter organizacji oraz cel, kontekst i zakres przetwarzania danych osobowych. Niemniej jednak, niemal zawsze znajdą zastosowanie uniwersalne reguły, o których trzeba pamiętać. Należą do nich:
- zakaz kreowania haseł „popularnych”, tj. takich które statystycznie są najprostsze do złamania, jak np.:
- password,
- qwerty,
- 123456,
- abc123.
- odstąpienie od korzystania z funkcji „zapamiętywania haseł” w przeglądarce internetowej,
- zakaz kreowania haseł zawierających imię, nazwisko, adres użytkownika,
- stosowanie haseł zawierających, co najmniej 8 znaków zawierających małe i wielkie litery, cyfry oraz znaki specjalne,
- stosowanie wyrażeń hasłowych (z ang. Passphrase), tj. zestawu kilku losowo wybranych słów,
- określenie „czasu życia” hasła, czyli okresu po jakim powinno być ono zmienione.
Należy jednak pamiętać, że przygotowanie zestawu wytycznych oraz procedur związanych z wykorzystywaniem haseł w ramach polityki powinno być poprzedzone dokładną analizą organizacji, w szczególności kwestii dotyczących kontekstu i charakteru przetwarzania. Z tej też przyczyny, opracowując taki dokument warto zasięgnąć pomocy nie tylko ze specjalistów z zakresu ochrony danych osobowych, ale również z informatyków czy specjalistów z zakresu cyberbezpieczeństwa.
