ZASADY POPRAWNEGO I BEZPIECZNEGO TWORZENIA HASEŁ PRZEZ UŻYTKOWNIKÓW SYSTEMU
Zasady tworzenia bezpiecznych haseł
Użytkownicy, podczas tworzenia haseł, zobowiązani są do przestrzegania następujących zasad:
- Hasła muszą być tworzone przy użyciu co najmniej 14 znaków.
- Hasła muszą zostać utworzone w taki sposób, aby były subiektywnie łatwe do zapamiętania przez użytkownika.
- Hasła nie mogą być oparte na prostych skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczącej danej osoby, takich jak imiona, nazwisko, przezwisko, inicjały, numer rejestracyjny pojazdu, nazwa firmy, numery telefonów, data urodzenia, etc.
- Hasła nie mogą stanowić nazw własnych, w tym nazw geograficznych lub terminów technicznych.
- Hasła muszą składać się ze znaków innych niż następujące po sobie na klawiaturze, (np niedopuszczalne są qwerty, azarty, 12345678, itp.)
- Kolejne hasła muszą składać się ze zmiennej sekwencji znaków, np. niedopuszczalne jest stosowanie stałej powtarzającej się sekwencji znaków uzupełnianej elementami powiązanymi z łatwym do odgadnięcia ciągiem znaków, tj. np. data, kolejny numer hasła, kolejny miesiąc itp.
- Hasła muszą zawierać:
- co najmniej jedną małą i jedną wielką literę, bez polskich znaków,
- co najmniej jedną cyfrę i jeden znak specjalny (tj. !@#$%^*()_-+=;':"<,>.? itp.).
ZASADY POSŁUGIWANIA SIĘ HASŁAMI DOSTĘPU DO SYSTEMU INFORMATYCZNEGO
Specyfika hasła
Hasła są jednym ze sposobów weryfikowania tożsamości użytkownika, są wobec tego jedną z podstaw przyznania mu praw dostępu do systemów informatycznych (autoryzacji).
Ze względu na to, że hasła są informacją o charakterze poufnym, wszyscy użytkownicy zobowiązani są do stosowania się do podanych niżej zasad.
Poufność haseł
Hasła muszą być utrzymywane w tajemnicy, co oznacza bezwzględny zakaz przekazywania haseł lub udostępniania aktywnej stacji roboczej, umożliwiającej dostęp do systemu informatycznego innym użytkownikom lub osobom trzecim.
Przy wprowadzaniu hasła w obecności osób trzecich, użytkownik powinien wykonać tą czynność w sposób uniemożliwiający tej osobie poznanie wprowadzonego hasła. Zasada ta odnosi się również do haseł tymczasowych/startowych i haseł dostępu, których termin ważności upłynął.
Przechowywanie haseł
Obowiązujące zasady:
- Nie należy zapisywać haseł.
- W przypadku konieczności zapisania hasła musi być ono przechowywane w sposób bezpieczny w miejscu, w którym nie będzie mogło być ono odkryte przez osobę nieuprawnioną.
- Niedopuszczalne jest
- pozostawianie zapisanego hasła w formie niezaszyfrowanej w miejscach pozwalających na ich łatwe odczytanie, takich jak tylna część klawiatury, obudowa monitora, wierzch szuflady lub krawędź biurka.
Podejrzenie ujawnienia hasła
Hasło musi być niezwłocznie zmienione, jeżeli zachodzi podejrzenie jego ujawnienia.
Regularna zmiana hasła
- Hasła muszą być zmieniane w regularnych odstępach czasu, jednak nie rzadziej niż co 30 dni lub - po wykonaniu określonej liczby rejestracji w systemie.
- Zabronione jest powtarzanie haseł.
- Zabronione jest cykliczne używanie starych haseł.
Hasła tymczasowe
Hasła tymczasowe (startowe) przydzielane użytkownikom na początku pracy z systemem muszą być zmieniane podczas pierwszego zarejestrowania się w systemie.
Przechowywanie haseł w systemach
Hasła przechowywane w systemach informatycznych muszą być przechowywane w postaci zaszyfrowanej.
Przykład: niedopuszczalne jest przechowywanie haseł w formie jawnej w plikach tekstowych, itp.
Wprowadzanie hasła/czasowa blokada hasła
Pięciokrotne błędne wprowadzenie hasła powoduje czasowe zablokowanie dostępu do systemu informatycznego.
Automatyzacja haseł
Hasła nie mogą być wprowadzane do jakichkolwiek zautomatyzowanych procesów rejestrowania w systemie, np. przechowywane w makrach, przypisane do klawiszy funkcyjnych, itp.
Odpowiedzialność użytkownika
Każdy użytkownik jest odpowiedzialny za wszelkie szkody wyrządzone przez użycie jego hasła dostępu, niezależnie od tego, kto z niego skorzystał, jeśli fakt ten miał miejsce z powodu zaniedbania zasad bezpieczeństwa, szczególnie gdy:
- hasło zostało ujawnione,
- hasło było zbyt proste lub długo nie zmieniane,
- hasło zostało pozostawione w zasięgu osób trzecich,
- hasło zostało świadomie udostępnione osobom trzecim,
- stacja robocza została pozostawiona bez opieki bez prawidłowego jej zabezpieczenia.