hasła

4eedc0fc77590787dffb9f8e783aa61908f306f1-xlarge (2)

Polityka haseł – co w niej zawrzeć

Polityka haseł to popularny dokument, który opisuje zasady posługiwania się hasłami jako środkiem bezpieczeństwa danych osobowych. Przepisy nie regulują kwestii, które powinny w niej się znaleźć. Wybór rozwiązań w polityce haseł zależy od samego administratora. Warto w tym zakresie posłużyć się rekomendacjami CNIL – francuskiego organu nadzorczego.

Polityka haseł - kilka słów o rekomendacjach CNIL

CNIL (Commission Nationale de l’Informatique et des Libertés) to Francuska Komisja Krajowa ds. Informatyki oraz Wolności Obywatelskich. Jest to francuski organ ochrony danych, który niedawno opublikował nowe rekomendacje dotyczące polityki haseł w organizacji. Zawarte w nich wytyczne nie są oczywiście obligatoryjne, niemniej jednak warto rozważyć ich zastosowanie także w polskich firmach.

Minimalny poziom bezpieczeństwa hasła

Pierwsze z zaleceń CNIL dotyczy minimalnego poziomu bezpieczeństwa hasła. Chodzi tu o zapewnienie wystarczającej długości i złożoności hasła. Takim minimum jest 80-bitowa entropia. Alternatywą ma być tzn. odgadywalność hasła, określana za pomocą dedykowanych algorytmów. W tym zakresie wskazano, że minimalna odporność hasła to 1014 prób jego łamania.

Przykładowa regulacja polityki haseł może brzmieć następująco:

  1. Hasła muszą mieć co najmniej 12 znaków i zawierać duże i małe litery, cyfry oraz znaki specjalne z listy co najmniej 37 możliwych znaków specjalnych.

  2. Hasła muszą mieć długość co najmniej 14 znaków, w tym duże i małe litery oraz cyfry, bez wymaganych znaków specjalnych.

  3. Hasła oparte na słowach „narodowych” muszą mieć długość co najmniej 7 słów.

Jak konstruować hasła

Konstruując hasła warto kierować się wytyczną CNIL, zgodnie z którą:„Każda reguła konstruowania hasła prowadzi do ograniczenia przestrzeni możliwych wyborów, a więc do ograniczenia jego entropii”. Przede wszystkim w polityce haseł należy ograniczyć możliwość konstruowania haseł na bazie słów łatwych do zapamiętania lub ich pochodnych. Takie słowa są bowiem łatwe do złamania za pomocą metody brute force czyli atakuopartego na metodzie prób i błędów, których celem jest odgadnięcie danych.

Korzyści 

W artykule przeczytasz m.in. o:

  • proponowanych zasadach konstrukcji haseł,

  • wymogach entropii,

  • procedurze uzyskiwania dostępu do konta,

  • okresowej zmianie haseł,

  • ewidencji haseł.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x