Co to jest polityka haseł i jak ją utworzyć?

Złamane hasła są główną przyczyną naruszeń bezpieczeństwa danych. W rzeczywistości ponad 80% naruszeń związanych z hakowaniem jest spowodowanych problemami związanymi z hasłami. Zasady dotyczące silnych haseł mogą zapewnić, że wszyscy w Twojej firmie będą używać silnych haseł.

Czym jest polityka haseł? Jak stworzyć standardową politykę haseł? Jakie są najlepsze praktyki w zakresie zasad dotyczących haseł? Dowiedzmy się poniżej.

Co to jest polityka dotycząca haseł?

Zasady dotyczące haseł to zestaw wskazówek, dzięki którym wszyscy w firmie tworzą silne hasła i używają ich we właściwy sposób w celu zwiększenia bezpieczeństwa komputera i bezpieczeństwa online.

Standardowa polityka dotycząca haseł zawiera informacje, które użytkownicy powinni wziąć pod uwagę i czego powinni unikać podczas tworzenia, zmieniania, przechowywania lub udostępniania haseł.

Na przykład zasady dotyczące haseł mogą wymagać od użytkowników tworzenia dłuższych haseł zawierających określoną liczbę znaków specjalnych.

W zależności od potrzeb Twojej organizacji, zasady dotyczące haseł mogą mieć charakter doradczy lub obowiązkowy.

Dlaczego zasady dotyczące haseł są ważne?

Zasady dotyczące haseł mogą pomóc w egzekwowaniu praktyki używania silnych, unikatowych haseł w firmie w celu zwiększenia bezpieczeństwa haseł.

Oto główne powody, dla których wdrożenie silnej polityki bezpieczeństwa haseł ma kluczowe znaczenie dla Twojej firmy:

• Ponowne użycie hasła to błąd bezpieczeństwa. Zasady dotyczące haseł mogą szybko wykluczyć praktykę ponownego użycia hasła
• Silna polityka haseł z klauzulą ​​​​uwierzytelniania wieloskładnikowego pomaga w znacznym stopniu zminimalizować różne zagrożenia bezpieczeństwa
• Wszyscy w Twojej firmie zaczną tworzyć złożone hasła i bezpiecznie je przechowywać. W rezultacie Twoje hasła będą bezpieczne przed atakami siłowymi i innymi atakami związanymi z hasłami
• Silna polityka dotycząca haseł sygnalizuje Twoim klientom i dostawcom, że podejmujesz surowe środki w celu ochrony haseł. To może pomóc w budowaniu zaufania do nich

Wreszcie polityka dotycząca haseł kultywuje kulturę cyberbezpieczeństwa, która ma ogromne znaczenie w dzisiejszym świecie, ponieważ małe firmy coraz częściej stają się celem różnego rodzaju ataków cyberbezpieczeństwa.

Jak stworzyć standardową politykę haseł

Poniżej przedstawiono krok po kroku proces tworzenia silnej polityki haseł:

1. Ustaw wymagania dotyczące złożoności hasła

Administratorzy systemu lub działy IT powinni ustalić wytyczne dotyczące złożoności haseł, aby zapewnić silne tworzenie haseł.

Oto podstawowe wymagania dotyczące haseł, które należy uwzględnić w zasadach dotyczących haseł, aby pomóc użytkownikom uniknąć tworzenia słabych haseł:

• Hasła powinny mieć co najmniej dziesięć znaków (dłuższe jest lepsze)
• Użytkownicy muszą zawierać w hasłach wielkie i małe litery oraz znaki specjalne
• Uwzględnianie błędnie napisanych słów to dobra taktyka tworzenia złożonych haseł

Ataki siłowe i ataki słownikowe mogą złamać proste hasła. Twoje zasady dotyczące haseł muszą więc zawierać wymagania dotyczące złożoności, aby zachęcić użytkowników do tworzenia haseł odpornych na ataki hakerów.

2. Utwórz listę odrzuconych haseł

Oprócz tego, co użytkownicy powinni robić, zasady dotyczące haseł powinny również określać, czego użytkownicy muszą unikać podczas tworzenia haseł.

Lista odrzuconych haseł może zawierać następujące informacje:

• Informacje dotyczące osoby, takie jak imię i nazwisko, data urodzenia, miejsce urodzenia, stanowisko itp.
• Numery telefonów, numery domów lub numer ulicy
• Imię współmałżonka, dzieci lub bliskich
• Ponowne używanie tego samego hasła na wielu kontach

Zasadniczo lista odrzuconych zasad haseł powinna zawierać dowolny rodzaj danych osobowych lub prosty wzór (np. od QWERTY do 123456).

3. Ustaw okres ważności hasła

Główną ideą ustawienia okresu wygaśnięcia hasła jest to, że hakerzy nie będą wiedzieć, czy hasła znalezione w starym naruszeniu danych będą działać.

Na przykład Twoje hasło zostało ujawnione w przypadku naruszenia bezpieczeństwa danych sprzed dwóch miesięcy. I zmieniasz hasło co miesiąc. Hakerzy nie będą mogli uzyskać dostępu do Twojego konta przy użyciu ujawnionego hasła.

W idealnym przypadku okres ważności hasła powinien wynosić trzy miesiące. Ale możesz dostosować ten okres, w zależności od potrzeb Twojej firmy. Należy również upewnić się, że Twoi pracownicy nie używają ponownie tych samych haseł do innych kont.

4. Wymuś uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe (MFA) może zwiększyć bezpieczeństwo kont w Twojej firmie. Dzieje się tak, ponieważ hakerzy nie będą mogli uzyskać dostępu do kont, nawet jeśli zdobędą loginy i hasła do tych kont.

W związku z tym zasady dotyczące haseł muszą nakładać na użytkowników obowiązek wdrożenia usługi MFA dla wszystkich kont, które zezwalają na tę funkcję.

5. Uwzględnij próg blokady konta

Próg blokady konta umożliwia zablokowanie kont użytkowników po określonej liczbie nieudanych prób logowania. Ta funkcja chroni Twoje konta przed atakami Brute Force i atakami słownikowymi.

W idealnej sytuacji możesz ustawić próg blokady konta na pięć nieudanych prób logowania. Obejmuje to wdrożenie 15-minutowego okresu blokady konta.

6. Przygotuj wytyczne dotyczące przechowywania haseł

Czy wiesz, że 55 procent pracowników zapisuje hasła na karteczkach samoprzylepnych? Sposób przechowywania haseł przez pracowników ma wpływ na bezpieczeństwo haseł.

Przechowywanie haseł w wiadomościach e-mail, aplikacjach do notatek w telefonie, papierowych notatkach i dokumentach na komputerze to zła praktyka. A to osłabia bezpieczeństwo haseł, nawet jeśli hasła są długie i złożone.

Dlatego polityka bezpieczeństwa haseł musi zawierać jasne wytyczne dotyczące bezpiecznego przechowywania haseł. Jednym ze sposobów na to jest użycie menedżera haseł, który przechowuje hasło w postaci zaszyfrowanej i bezpiecznie przechowywane za hasłem głównym.

Chociaż większość przeglądarek ma obecnie funkcję przechowywania haseł, użycie menedżera haseł do przechowywania haseł jest bezpieczniejszą opcją. Menedżer haseł oferuje również bezpieczne sposoby udostępniania haseł różnym użytkownikom.

7. Ustaw konsekwencje dla osób naruszających zasady

Utworzyłeś politykę bezpieczeństwa hasła, aby zabezpieczyć komputery i konta online. Dlatego wszyscy powinni go religijnie przestrzegać. Ustalenie konsekwencji dla tych, którzy często naruszają politykę, może być dobrym pomysłem, aby zachęcić wszystkich użytkowników do przestrzegania polityki haseł,

Należy jednak opracować kreatywne sposoby, aby osoby naruszające zasady dotyczące haseł poczuły, że popełniły błędy. Każda surowa kara może zmienić ich w wewnętrzne zagrożenie.

Zapewnij osobom naruszającym zasady więcej sesji szkoleniowych uświadamiających i zachęć ich do przestrzegania zasad dotyczących haseł. Ale jeśli ktoś wielokrotnie popełnia błędy pomimo wielu ostrzeżeń, najlepszym rozwiązaniem może być pozwolenie mu na odejście, ponieważ ryzykuje on Twój biznes.

8. Regularnie aktualizuj swoje zasady dotyczące haseł

Twoje zasady dotyczące haseł nie powinny być czymś stałym. Zamiast tego powinieneś od czasu do czasu przeglądać swoje zasady dotyczące haseł i sprawdzać, czy są skuteczne:

• Zapewnienie, że użytkownicy tworzą długie, złożone hasła
• Uniemożliwianie użytkownikom tworzenia nowych haseł, które są łatwe do zhakowania
• Zachęcanie użytkowników do częstej zmiany haseł, zgodnie z zaleceniami zawartymi w polityce
• Uniemożliwianie użytkownikom używania tego samego hasła do wielu kont

Modyfikowanie polityki haseł zgodnie z obserwacjami poczynionymi podczas regularnych audytów haseł pomaga stworzyć solidną politykę haseł w celu zwiększenia bezpieczeństwa haseł w Twojej firmie.

Najlepsze praktyki dotyczące zasad dotyczących haseł

Poniżej przedstawiono najlepsze praktyki maksymalizacji sukcesu zasad dotyczących haseł:

1. Miej łatwo dostępną politykę haseł

Przewodnik po zasadach powinien być zorganizowany w taki sposób, aby użytkownicy mogli łatwo poruszać się po różnych sekcjach, takich jak tworzenie i przechowywanie haseł.

Przygotuj zarówno papierową, jak i miękką kopię zasad dotyczących haseł, aby zapewnić użytkownikom dostęp do nich w wybrany przez nich sposób.

2. Zastosuj system zarządzania hasłami

Uwzględnienie obowiązkowego korzystania z menedżera haseł w swojej polityce może w znacznym stopniu wzmocnić bezpieczeństwo haseł. Jak?

W dzisiejszych czasach pracownicy muszą tworzyć wiele haseł. A utworzenie unikalnego hasła dla każdego konta może być problemem dla wielu użytkowników. Menedżer haseł może natychmiast utworzyć hasło trudne do złamania i bezpiecznie zapisać wiele haseł.

3. Zabroń udostępniania niezabezpieczonych haseł

Udostępnianie haseł użytkownikom jest powszechną praktyką w dzisiejszym środowisku biznesowym, gdy nad jednym projektem pracuje wielu pracowników.

Aby poprawić bezpieczeństwo haseł, należy upewnić się, że nikt nie udostępnia haseł za pośrednictwem wiadomości tekstowych, wiadomości e-mail ani wiadomości błyskawicznych. Bezpieczne udostępnianie haseł jest koniecznością, aby poprawić bezpieczeństwo haseł. Wszystkie renomowane menedżery haseł umożliwiają użytkownikom bezpieczne udostępnianie haseł.

4. Implementuj czas logowania

Pracownicy powinni logować się do kont i systemów tylko wtedy, gdy z nich korzystają. Utrzymywanie kont i logowanie do systemów, gdy nikt z nich nie korzysta, jest kiepską praktyką cyberbezpieczeństwa. Zasady dotyczące haseł powinny surowo zabraniać tej praktyki.

5. Wykonuj regularne audyty haseł

Ustanowić audyty haseł jako regularną praktykę w celu sprawdzenia skuteczności polityki haseł. Pomoże Ci to określić obszary, w których należy ulepszyć zasady dotyczące haseł, aby zmaksymalizować ich sukces.

Jakie są wytyczne dotyczące haseł NIST?

Podstawowe wytyczne NIST dotyczące haseł obejmują między innymi tworzenie haseł o długości co najmniej ośmiu znaków, podkreślanie długości bardziej niż złożoności, włączanie ustawień „pokaż hasło”, wdrażanie uwierzytelniania dwuskładnikowego lub wieloskładnikowego oraz unikanie częstych zmian hasła.

Czy złożone hasła są tak samo ważne jak minimalna długość hasła?

Zarówno złożoność, jak i długość hasła są niezbędne do tworzenia trudnych do zhakowania haseł. Ale wybieranie bardziej złożonych haseł zamiast dłuższych haseł utrudnia użytkownikom zapamiętywanie haseł. Maksymalizacja długości i złożoności jest zalecana, jeśli firma stosuje aplikację do zarządzania hasłami.

Jak często należy zmieniać hasła?

Większość ekspertów ds. cyberbezpieczeństwa zaleca zmianę hasła co trzy miesiące. Wszystkie dobre menedżery haseł często mają funkcję, która mówi, czy zapisane hasła zostaną znalezione w jakimkolwiek incydencie naruszenia bezpieczeństwa danych. Powinieneś natychmiast zmienić hasło, jeśli jest ono narażone na jakiekolwiek naruszenie bezpieczeństwa danych.

Czy małe firmy powinny używać menedżera haseł?

Tak, małe firmy powinny korzystać z menedżera haseł. Aplikacja do zarządzania hasłami może pomóc Twoim pracownikom w tworzeniu złożonych haseł, bezpiecznym przechowywaniu haseł i bezpiecznym udostępnianiu haseł. Korzystanie z menedżera haseł zapewnia niezawodną ochronę hasłem.

Jaka jest idealna polityka dotycząca haseł?

Idealna polityka dotycząca haseł kładzie nacisk na tworzenie trudnych do złamania haseł, bezpieczne przechowywanie haseł i używanie różnych haseł do różnych kont. Podkreśla również częstą zmianę starych haseł.

MOŻE CI SIĘ SPODOBAĆ RÓWNIEŻ:

• Udostępnianie firmowych haseł Wi-Fi nie musi być trudne, używaj kodów QR w ten sposób

Obraz: Elementy Envato