Powrót do wszystkich artykułówRozwój technologii informatycznych i cyfrowych powoduje konieczność ciągłej aktualizacji środków służących zapewnieniu zgodności z prawem przetwarzania oraz bezpieczeństwa danych osobowych. Wprowadzone w życie 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; zwane dalej RODO) jest jednak aktem normatywnym „neutralnym” technologicznie, co oznacza, że nie narzuca administratorom określonych rozwiązań technologicznych i przerzuca ciężar określenia ryzyka ich zastosowania na administratorów.
Szczególnie widoczne stało się to po przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) postępowania w sprawie naruszenia bezpieczeństwa przez Morele.net. Link do decyzji PUODO znajdziecie Państwo tutaj. W trakcie postępowania PUODO zwrócił uwagę na istnienie w obrocie dokumentów i wytycznych wskazujących na kryteria konstruowania polityki haseł, takich jak np. norma PN-ISO/IEC 29115:2017 07, dokumentu przygotowanego przez National Institute Standards and Technology, NIST – „NIST 800-63B Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji” oraz opracowania Fundacji Open Web Application Security Project – „OWASP Top 10 – 2017”. W tej części artykułu omówione zostaną pojęcia: hasła oraz polityki haseł, poruszony zostanie także temat tego, jak hakerzy mogą złamać hasło. W kolejnej części omówione zostaną kwestie związane z konstrukcją haseł i tworzeniem polityki haseł.
Czym jest hasło, a czym polityka haseł?
W niniejszym artykule skupimy się na jednym z najpowszechniejszych środków bezpieczeństwa, a mianowicie na tzw. polityce haseł obejmującej zasady ich nadawania, kreowania czy zmiany. Pomimo faktu, że na pierwszy rzut oka wydaje się on dość prosty w swojej strukturze, to w praktyce sprawia niemałe kłopoty administratorom, a nawet może być punktem zapalnym w przypadku ewentualnych naruszeń.
Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: Rozporządzenie) wydane na podstawie nieobowiązującej już ustawy o ochronie danych osobowych z 199 7 r. zawierało definicję „hasła”, zgodnie z którą pod tym pojęciem rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Jak widać, mimo że ww. Rozporządzenie jest już aktem historycznym, to jednak określało wprost czym jest hasło.
Wprowadzenie RODO spowodowało odejście od sposobu „narzucania” administratorom konkretnych rozwiązań, które powinni zastosować w ramach organizacji, niemniej jednak mimo utraty mocy ww. Rozporządzenia definicja hasła nie straciła na ważności. Nie jest bowiem możliwe ustalenie innego jego rozumienia aniżeli ciąg znaków stosowany jako sposób zabezpieczenia dokumentu, dostępu do urządzenia lub systemu, oprogramowania etc.
Polityka haseł to dokument zawierający zestaw zasad obowiązujących w danej organizacji określających sytuacje, w których hasła dostępowe do komputerów służbowych, oprogramowania służbowego, poczty elektronicznej są wymagane. Prawidłowo skonstruowana polityka haseł powinna uwzględniać również sposoby kreowania pierwszego i kolejnych haseł, konieczności (lub braku) ich okresowych zmian, posługiwania się przez pracowników hasłami czy wreszcie procedurą postępowania na wypadek podejrzenia złamania hasła. Należy jednak pamiętać, że każda organizacja powinna dysponować własnymi zasadami bezpieczeństwa uwzględniając cel, charakter, kontekst i zakres przetwarzanych danych. Nie da się bowiem wyróżnić jednej, uniwersalnej polityki haseł, choć niewątpliwie pewne kwestie mogą się powtarzać bez względu na charakterystykę czy rodzaj organizacji.
W jaki sposób hakerzy mogą złamać Twoje hasło?
W pierwszej kolejności jednak należałoby ustalić w jaki sposób może dojść do złamania hasła przez osoby nieuprawnione, w tym także przez hakerów.
Statystycznie najczęściej spotykanym, a zarazem najprostszym sposobem z punktu widzenia technicznego jest tzw. atak siłowy (z ang. brute-force). Polega on na tym, że algorytm wykorzystujący moc obliczeniową komputera dokona podstawienia wszelkich możliwych kombinacji znaków w celu złamania hasła. Przykładowo może to polegać na sprawdzeniu przez komputer wszystkich kombinacji cyfr od 0000 0000 do 9999 9999, przy założeniu, że hasło składa się z ośmiu cyfr. Metoda ta może obejmować nie tylko cyfry, ale również litery i znaki specjalne. Jak widać ten sposób łamania hasła jest prosty w swoim założeniu, niemniej jednak złamanie hasła przy jego wykorzystaniu będzie trwało tym dłużej, im bardziej skomplikowane i dłuższe będzie hasło.
Drugim, statystycznie najczęstszym sposobem jest tzw. metoda słownikowa. Jest ona podobna do ataku siłowego, jednak opiera się na podstawieniu przez algorytm określonego podzbioru słów lub ich kombinacji. Oznacza to, że baza potencjalnych haseł jest zdecydowanie bardziej ograniczona i może wykorzystywać mniejszą moc obliczeniową, a co za tym idzie, może być przeprowadzona szybciej niż klasyczna metoda typu brute-force. Niemniej jednak, z uwagi na ograniczoną bazę haseł, może się zdarzyć, że łamane hasło nie znajdzie się w niej, a zatem atak okaże się nieskuteczny.
Metod łamania haseł jest jednak coraz więcej, więc w zależności od tego, kto jest atakującym, może zostać wykorzystana mniej lub bardziej zaawansowana metoda ataku na hasła zabezpieczające.
