ZASADY POPRAWNEGO I BEZPIECZNEGO TWORZENIA HASEŁ PRZEZ UŻYTKOWNIKÓW SYSTEMU

Zasady tworzenia bezpiecznych haseł

Użytkownicy, podczas tworzenia haseł, zobowiązani są do przestrzegania następujących zasad:

1. Hasła muszą być tworzone przy użyciu co najmniej 14 znaków.
2. Hasła muszą zostać utworzone w taki sposób, aby były subiektywnie łatwe do zapamiętania przez użytkownika.
3. Hasła nie mogą być oparte na prostych skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczącej danej osoby, takich jak imiona, nazwisko, przezwisko, inicjały, numer rejestracyjny pojazdu, nazwa firmy, numery telefonów, data urodzenia, etc.
4. Hasła nie mogą stanowić nazw własnych, w tym nazw geograficznych lub terminów technicznych.
5. Hasła muszą składać się ze znaków innych niż następujące po sobie na klawiaturze, (np niedopuszczalne są qwerty, azarty, 12345678, itp.)
6. Kolejne hasła muszą składać się ze zmiennej sekwencji znaków, np. niedopuszczalne jest stosowanie stałej powtarzającej się sekwencji znaków uzupełnianej elementami powiązanymi z łatwym do odgadnięcia ciągiem znaków, tj. np. data, kolejny numer hasła, kolejny miesiąc itp.
7. Hasła muszą zawierać:
   • co najmniej jedną małą i jedną wielką literę, bez polskich znaków,
   • co najmniej jedną cyfrę i jeden znak specjalny (tj. !@#$%^*()_-+=;':"<,>.? itp.).

ZASADY POSŁUGIWANIA SIĘ HASŁAMI DOSTĘPU DO SYSTEMU INFORMATYCZNEGO

Specyfika hasła

Hasła są jednym ze sposobów weryfikowania tożsamości użytkownika, są wobec tego jedną z podstaw przyznania mu praw dostępu do systemów informatycznych (autoryzacji).
Ze względu na to, że hasła są informacją o charakterze poufnym, wszyscy użytkownicy zobowiązani są do stosowania się do podanych niżej zasad.

Poufność haseł

Hasła muszą być utrzymywane w tajemnicy, co oznacza bezwzględny zakaz przekazywania haseł lub udostępniania aktywnej stacji roboczej, umożliwiającej dostęp do systemu informatycznego innym użytkownikom lub osobom trzecim.
Przy wprowadzaniu hasła w obecności osób trzecich, użytkownik powinien wykonać tą czynność w sposób uniemożliwiający tej osobie poznanie wprowadzonego hasła. Zasada ta odnosi się również do haseł tymczasowych/startowych i haseł dostępu, których termin ważności upłynął.

Przechowywanie haseł

Obowiązujące zasady:

• Nie należy zapisywać haseł.
• W przypadku konieczności zapisania hasła musi być ono przechowywane w sposób bezpieczny w miejscu, w którym nie będzie mogło być ono odkryte przez osobę nieuprawnioną.
• Niedopuszczalne jest
  • pozostawianie zapisanego hasła w formie niezaszyfrowanej w miejscach pozwalających na ich łatwe odczytanie, takich jak tylna część klawiatury, obudowa monitora, wierzch szuflady lub krawędź biurka.

Podejrzenie ujawnienia hasła

Hasło musi być niezwłocznie zmienione, jeżeli zachodzi podejrzenie jego ujawnienia.

Regularna zmiana hasła

• Hasła muszą być zmieniane w regularnych odstępach czasu, jednak nie rzadziej niż co 30 dni lub - po wykonaniu określonej liczby rejestracji w systemie.
• Zabronione jest powtarzanie haseł.
• Zabronione jest cykliczne używanie starych haseł.

Hasła tymczasowe

Hasła tymczasowe (startowe) przydzielane użytkownikom na początku pracy z systemem muszą być zmieniane podczas pierwszego zarejestrowania się w systemie.

Przechowywanie haseł w systemach

Hasła przechowywane w systemach informatycznych muszą być przechowywane w postaci zaszyfrowanej.
Przykład: niedopuszczalne jest przechowywanie haseł w formie jawnej w plikach tekstowych, itp.

Wprowadzanie hasła/czasowa blokada hasła

Pięciokrotne błędne wprowadzenie hasła powoduje czasowe zablokowanie dostępu do systemu informatycznego.

Automatyzacja haseł

Hasła nie mogą być wprowadzane do jakichkolwiek zautomatyzowanych procesów rejestrowania w systemie, np. przechowywane w makrach, przypisane do klawiszy funkcyjnych, itp.

Odpowiedzialność użytkownika

Każdy użytkownik jest odpowiedzialny za wszelkie szkody wyrządzone przez użycie jego hasła dostępu, niezależnie od tego, kto z niego skorzystał, jeśli fakt ten miał miejsce z powodu zaniedbania zasad bezpieczeństwa, szczególnie gdy:

1. hasło zostało ujawnione,
2. hasło było zbyt proste lub długo nie zmieniane,
3. hasło zostało pozostawione w zasięgu osób trzecich,
4. hasło zostało świadomie udostępnione osobom trzecim,
5. stacja robocza została pozostawiona bez opieki bez prawidłowego jej zabezpieczenia.