9 zasad, jak zadbać o bezpieczeństwo haseł w firmie

O tym, że hasło stanowi tarczę chroniącą konto firmowe przed osobami niepowołanymi, wie praktycznie każdy. Mimo tego całkiem sporo przedsiębiorstw dość niefrasobliwie podchodzi do cyberbezpieczeństwa haseł, kierując się zasadami “jakoś to będzie” oraz “problem na pewno nie spotka akurat mnie”. W takich przypadkach hakerzy nie muszą się szczególnie ciężko napracować, by włamać się do zasobów firmy. Stworzony przez Verizon raport “Data Breach Investigation” alarmuje, że aż 81% przypadków wykradzenia danych wynika ze słabych lub łatwych do wykradzenia danych dostępowych. Dlatego nie zaniedbuj kwestii poprawnego tworzenia i przechowywania haseł w swojej organizacji. Jak zadbać o ich bezpieczeństwo? Dowiesz się z naszego artykułu.

Hakerzy mają swoje sprawdzone metody zdobywania haseł. Jednak możesz znacznie utrudnić wykradanie danych firmowych, a tym samym uchronić firmę przed nawałem negatywnych konsekwencji, nie tylko finansowych. Wystarczy wcielić w życie kilka zasad.

1. Nie stosuj prostych haseł.

Jakie są najpopularniejsze hasła? Te proste. Takie, które można łatwo i szybko zapamiętać oraz wpisać, bo na przykład stanowią wygodny ciąg na klawiaturze. Dlatego w gronie dziesięciu najczęściej stosowanych w Polsce haseł znajdują się następujące: 123456, qwerty, zaq123wsx, 123456789, 12345, polska, 1234, lol123, mateusz, 111111. Absolutnie zrezygnuj z takich kombinacji. Hakerzy próbują ich w pierwszej kolejności, gdy włamują się na konto firmowe.

2. Postaw na długość i skomplikowanie.

Ustawiając hasło, postaraj się, by było ono długie. Jak bardzo? Powinno mieć przynajmniej 8 znaków. Najlepiej, jeśli stworzysz kombinację od 12 do 15 znaków. Poza tym zadbaj o dostateczny stopień skomplikowania. Niech to będzie losowy ciąg znaków, składający się z cyfr, dużych i małych liter, a także symboli. Odgadnięcie takiego hasła przez cyberprzestępców będzie graniczyło z niemożliwością.

3. Nie zapomnij o unikalności.

Danego hasła używaj tylko i wyłącznie do jednego konta, nawet jeśli stworzysz bardzo skomplikowaną kombinację. Dlaczego to takie ważne? Wyobraź sobie, że haker w jakiś sposób wykrada Twoje dane logowania do poczty firmowej. Niestety dla wygody ustawiłeś to samo hasło wszędzie, gdzie to możliwe: przy koncie bankowym, portalu pracowniczym, innych kontach pocztowych… W ten sposób dajesz cyberprzestępcy możliwość włamania się za jednym zamachem do każdego zasobu firmy.

4. Mądrze przechowuj hasła.

Zdajemy sobie sprawę, że zapamiętanie wielu skomplikowanych haseł raczej nie jest łatwe. Musisz je gdzieś zapisać, żeby nie zaginęły. Jednak podejdź do tego z rozsądkiem. W niektórych firmach można napotkać karteczki samoprzylepne z danymi do logowania, przyklejone bezpośrednio do monitorów. A przecież przez biuro przewijają się pracownicy, klienci, sprzątacze, kurierzy… Wystarczy jedna nieuczciwa osoba, która dyskretnie zrobi zdjęcie karteczce – i cała organizacja ma wielki problem. Dlatego najlepiej przechowywać takie dane w sprawdzonych i szyfrowanych menadżerach haseł.

5. Zmieniaj hasła.

To może się wydawać dosyć uciążliwe i irytujące, ale warto co jakiś czas zmieniać stosowane hasła, najlepiej co kilka miesięcy. Nigdy nie wiesz, czy Twoje dane nie zostały już wykradzione i czy nie trafiły lub zaraz nie trafią do Darknetu (nie zawsze cyberprzestępcy publikują je tam natychmiast). Jeśli będziesz regularnie ustawiać nowe hasła, prawdopodobnie uchronisz się przed negatywnymi skutkami wycieku danych.

6. Stosuj uwierzytelnianie dwuskładnikowe.

Uwierzytelnianie dwuskładnikowe to kolejna warstwa ochronna między Twoimi danymi a hakerem. Stanowi dodatkową weryfikację tożsamości użytkownika. Dlatego wprowadź je wszędzie, gdzie to możliwe. Zadbaj, by poza samym hasłem do zalogowania konieczny był również kod SMS, token czy odcisk palca. Nawet jeśli cyberprzestępca pozna Twoje dane dostępowe, nie zaloguje się na konto.

7. Uważaj na phishing.

Od phishingu zaczyna się około 90% skutecznych przypadków kradzieży danych. Hakerzy podszywają się pod wiarygodnego nadawcę, odpowiednio preparując wiadomość e-mail lub SMS. Co się stanie, jeśli uznasz taką wiadomość za prawdziwą i klikniesz w widoczny w niej link lub pobierzesz załącznik? Na urządzenie trafi złośliwe oprogramowanie, a przestępcy zdobędą łatwy dostęp do loginów i haseł, jakie na tym urządzeniu wpisujesz. Zatem stosuj zasadę ograniczonego zaufania do wszystkich przychodzących wiadomości, zwłaszcza jeśli zawierają załączniki. Przyjrzyj się też dokładnie samej treści; może uda Ci się wyłapać dziwne literówki, które sugerują działanie oszustów.

8. Zapewnij szkolenia z cyberbezpieczeństwa.

Podstawy cyberbezpieczeństwa powinien znać absolutnie cały personel Twojej firmy. Dlatego regularnie przeprowadzaj wartościowe szkolenia. Zadbaj, żeby pracownicy zdawali sobie sprawę z istnienia phishingu czy ransomware. Naucz ich, jak mają reagować na cyberzagrożenia. Zapoznaj ich z zasadami bezpiecznego tworzenia i przechowywania haseł. Uczul na to, że dobre praktyki w zakresie cyberbezpieczeństwa może i zabierają trochę cennego czasu, ale są kluczowe dla działania przedsiębiorstwa.

9. Przeprowadź audyt bezpieczeństwa IT.

Dołóż starań, by wyeliminować wszystkie słabe strony i luki w zabezpieczeniach firmy. Ale żeby je usunąć, najpierw trzeba je wykryć. Pomoże w tym przeprowadzenie bezpłatnego audytu cyberbezpieczeństwa. Zajmie Ci to jedynie kilka minut. Dowiesz się, jakie elementy infrastruktury IT wymagają natychmiastowej interwencji oraz które punkty ochronne posiadają dziury wymagające jak najszybszego załatania. W ten sposób znacznie zmniejszysz ryzyko cyberataku skutkującego wykradzeniem haseł firmowych.

Jak jeszcze upewnić się, czy firma jest bezpieczna w cyberprzestrzeni? Odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso