gov.pl
Serwis informacyjno-usługowy dla przedsiębiorcy
Biznes.gov.pl

Bezpieczeństwo kont i uwierzytelnianie

Bezpieczne konta i hasła są jednym z najważniejszych elementów ochrony twojej firmy przed cyberatakami. To właśnie przez słabe hasła, wspólne konta albo brak dodatkowych zabezpieczeń przestępcy najłatwiej wchodzą do systemów. W tym artykule poznasz zasady zakładania i używania kont, tworzenia haseł, stosowania uwierzytelniania wieloskładnikowego (MFA) oraz korzystania z menedżerów haseł w sposób bezpieczny dla twojej organizacji.

Konta użytkownika i administratora

Osoby pracujące biurowo lub korzystające z komputerów w środowiskach współdzielonych często znają już praktykę stosowania odrębnych kont użytkowników na urządzeniach.

Dzięki temu można precyzyjnie potwierdzić tożsamość konkretnej osoby i śledzić jej działania w systemie.

Istnieje kilka sposobów zarządzania dostępem do plików i wprowadzania zmian w systemie, ale nawet jeśli prowadzisz jednoosobową działalność, zaleca się utworzenie co najmniej dwóch kont na komputerze: konta administratora i konta użytkownika.

Typ konta określa, co użytkownik może zrobić na urządzeniu.

  • Administrator to osoba odpowiedzialna za ustawienia i kontrolę komputera. Konto z uprawnieniami administratora pozwala między innymi przeglądać wszystkie pliki w systemie, zmieniać ogólnosystemowe ustawienia, uruchamiać i instalować programy, dodawać nowe oprogramowanie i sterowniki sprzętu oraz zmieniać nazwy i hasła innych kont użytkowników.
  • Zwykłe konto użytkownika nie może wykonywać zadań administracyjnych. Służy do codziennych czynności, takich jak wysyłanie e-maili, przygotowywanie dokumentów czy przeglądanie internetu. Jeśli użytkownik ma dostęp do dodatkowych danych, wynika to wyłącznie z uprawnień nadanych przez administratora.

Pamiętaj! Korzystanie ze zwykłego konta użytkownika znacząco utrudnia instalację większości złośliwego oprogramowania. Złośliwe oprogramowanie przejmuje uprawnienia konta, na którym jest uruchamiane. Jeśli jest to konto użytkownika, instalacja nowego programu wymaga podania hasła administratora. Dzięki temu przypadkowa próba instalacji malware (np. z załącznika w mailu phishingowym) staje się trudniejsza, a system pozostaje lepiej chroniony.

Konta domyślne

Podczas instalacji systemu operacyjnego tworzony jest domyślnie konto z uprawnieniami administratora.

Takie konto pozwala instalować, modyfikować i usuwać oprogramowanie, ale wiąże się także z dużym ryzykiem. Osoba nieświadoma konsekwencji może przypadkowo usunąć ważny plik systemowy lub zmienić ustawienia, które spowodują niestabilność systemu albo uniemożliwią jego uruchomienie.

Często osoby prowadzące jednoosobową działalność lub pracujące w małej firmie nie zdają sobie sprawy, że cały czas pracują na koncie administratora.

Rozdzielenie kont

Zaleca się, aby nie używać konta administratora do codziennej pracy, takiej jak przeglądanie stron internetowych, wysyłanie poczty czy wykonywanie typowych zadań biurowych.

Te działania powinny odbywać się na zwykłym koncie użytkownika.

Konto administratora powinno być używane tylko wtedy, gdy trzeba zainstalować lub zmodyfikować oprogramowanie albo zmienić ustawienia systemu.

Jeśli korzystasz z systemu Windows i masz uprawnienia administracyjne, warto utworzyć osobne konto administratora, a swoje dotychczasowe konto „zwykłej pracy” przekształcić w konto standardowego użytkownika. Nadal będziesz mógł wykonywać zadania administracyjne, podając hasło administratora w razie potrzeby.

Jeżeli z jednego komputera korzysta kilka osób, każda powinna mieć własne, oddzielne konto użytkownika. Większość komputerów ma także konto „gość”, które pozwala każdemu wejść do systemu – takie konto należy wyłączyć. Jeśli na urządzeniu istnieją konta, które nie są już używane, trzeba je usunąć.

Hasła – dlaczego są tak ważne

Hasło jest kluczem do prawie każdego urządzenia cyfrowego i konta online. Przeciętny użytkownik ma dziś od kilkudziesięciu do ponad stu kont wymagających logowania, a ta liczba rośnie wraz z przenoszeniem kolejnych usług do internetu.

Aby ograniczyć ryzyko naruszenia bezpieczeństwa, każde hasło powinno być unikalne, długie i trudne do odgadnięcia. Nie należy zapisywać haseł w miejscach łatwo dostępnych dla innych osób, nie wolno ich nikomu ujawniać, a zmiana hasła jest konieczna za każdym razem, gdy istnieje podejrzenie, że ktoś mógł je poznać.

Kradzież danych logowania – takich jak nazwy użytkowników, hasła, dane kont bankowych czy numery kart kredytowych – jest dla przestępców bardzo opłacalna.

Dzięki przejęciu konta mogą:

  • wysyłać fałszywe wiadomości z twojego adresu
  • dokonywać nieautoryzowanych płatności
  • podszywać się pod ciebie, zaciągać pożyczki i zakładać nowe konta
  • zakłócać działanie stron internetowych lub przekierowywać ruch
  • śledzić użytkowników i sprzedawać skradzione dane innym przestępcom.

Wielu cyberprzestępców działa w prosty sposób: próbuje odkryć jak najwięcej haseł w jak najkrótszym czasie, a następnie automatycznie sprawdza je na jak największej liczbie kont. Szacuje się, że co tydzień kradziony jest nawet milion haseł.

Jak napastnicy zdobywają twoje hasła

Atak typu credential stuffing

Napastnik kupuje w darknecie listę skradzionych danych logowania (adresy e-mail i hasła) pochodzących z różnych wycieków. Następnie automatycznie próbuje tych samych kombinacji nazwy użytkownika i hasła na wielu innych stronach i usługach, licząc na to, że część osób używa tego samego hasła w wielu miejscach.

Tę metodę ułatwia fakt, że wiele osób powtarza hasła oraz że w wielu organizacjach nadal można logować się tylko za pomocą hasła, bez dodatkowych zabezpieczeń.

W takim scenariuszu złożoność hasła nie ma znaczenia, jeśli używasz tego samego hasła w kilku serwisach i trafiło ono do bazy z wycieku.

Ważne! Jeżeli dowiesz się o wycieku danych w serwisie, z którego korzystasz, natychmiast zmień hasło. Nigdy nie używaj tego samego hasła w więcej niż jednym miejscu i włącz uwierzytelnianie wieloskładnikowe (MFA) dla każdego konta dostępnego z internetu. Polityka haseł w twojej firmie powinna to odzwierciedlać.

Phishing, ataki „man in the middle” i przechwytywanie danych

W atakach phishingowych przestępca wysyła masowo fałszywe e-maile, które udają wiadomości zaufanej instytucji. Odbiorca jest zachęcany lub przymuszany do kliknięcia w link prowadzący na fałszywą stronę logowania. Gdy wpisze tam nazwę użytkownika i hasło, dane te trafiają bezpośrednio do napastnika.

Ataki phishingowe oraz inne formy przechwytywania danych (np. „man in the middle”) bazują na ludzkich cechach: ciekawości, pośpiechu, stresie, braku świadomości i szkoleń. W tym przypadku siła hasła nie ma znaczenia, ponieważ użytkownik sam przekazuje je przestępcy.

Ważne! Przed wpisaniem danych logowania zawsze sprawdź, czy znajdujesz się na właściwej stronie. Zwracaj uwagę na nazwę domeny w pasku adresu.

Korzystaj z menedżera haseł – nie podpowie on hasła, jeśli trafisz na inną niż zwykle stronę. Jako dodatkową ochronę stosuj MFA. Zmień hasło natychmiast, jeśli podejrzewasz, że mogło zostać wpisane na fałszywej stronie.

MFA – (ang. Multi-Factor Authentication) uwierzytelnianie wieloskładnikowe to dodatkowa warstwa zabezpieczeń podczas logowania. Zamiast wpisania tylko hasła, użytkownik musi potwierdzić tożsamość w co najmniej dwóch różnych sposobach, np.:

  • hasło + kod z aplikacji (np. z telefonu)
  • hasło + potwierdzenie push
  • hasło + klucz sprzętowy
  • hasło + biometria (np. odcisk palca)

MFA utrudnia przejęcie konta, bo samo hasło nie wystarcza.

Rejestrowanie uderzeń klawiatury (keylogger) i sniffing

W tym scenariuszu na urządzeniu ofiary instalowane jest złośliwe oprogramowanie typu keylogger, często po kliknięciu w złośliwy link lub otwarciu załącznika przy pracy na koncie administratora. Taki program rejestruje wszystkie naciśnięcia klawiszy i przesyła je do napastnika, który później analizuje dane, aby wyłowić loginy, hasła i inne wrażliwe informacje.

To atak wymagający więcej umiejętności i przygotowania niż masowe kampanie phishingowe.

Również tutaj siła hasła nie ma znaczenia, bo złośliwe oprogramowanie przechwytuje dokładnie to, co wpisujesz.

Ważne! Stosuj i regularnie aktualizuj oprogramowanie antywirusowe oraz antymalware, które wykrywa takie zagrożenia, skanuje pliki przed pobraniem i blokuje złośliwe strony, w tym strony phishingowe.

Do codziennej pracy używaj konta użytkownika, a konta administratora tylko do zadań administracyjnych. Jeśli klikniesz w złośliwy link, pracując na zwykłym koncie, system może zablokować instalację malware bez podania hasła administratora.

Przeszukanie na miejscu i „nurkowanie w śmieciach”

Napastnik może próbować zdobyć hasła w sposób bardzo prosty – szukając zapisanych haseł na kartkach, w notesach lub w dokumentach wyrzuconych do kosza. Taki atak nie skaluje się na tysiące użytkowników, ale stanowi realne ryzyko, zwłaszcza w biurach.

W tym przypadku siła hasła również nie ma znaczenia, ponieważ przestępca po prostu znajduje jego zapis.

Ważne! Nie zostawiaj haseł na kartkach na biurku ani w widocznych miejscach. Jeśli musisz coś zapisać, przechowuj notatkę w bezpiecznym miejscu lub korzystaj z menedżera haseł.

Atak typu password spraying

W ataku password spraying napastnik korzysta z listy najczęściej używanych haseł i próbuje je dopasować do wielu kont. Zamiast wielu prób na jednym koncie, wykonuje niewielką liczbę prób na bardzo dużej liczbie użytkowników.

Ten sposób działania jest zaskakująco skuteczny, bo wiele osób stosuje banalne hasła, takie jak „qwerty1234”, „password1” czy „lato2020”.

Atak jest stosunkowo łatwy do wykrycia na poziomie systemu logowania, ale zanim to nastąpi, przestępca jest w stanie przetestować bardzo wiele kombinacji. Często korzysta z kilku–kilkunastu najpopularniejszych haseł i tanich narzędzi automatyzujących cały proces.

Jeśli twoje hasło znajduje się na takiej liście, przestępca ma duże szanse na przejęcie konta – niezależnie od tego, z jaką usługą jest ono powiązane.

Ważne! Polityka haseł w firmie powinna wymagać używania haseł, które nie znajdują się wśród powszechnie używanych. Jednym z rozwiązań jest automatyczna lista odmowy, która blokuje wybór najczęściej łamanych haseł, oparta na zewnętrznych, aktualizowanych listach (na przykład publikowanych przez instytucje takie jak CERT Polska).

Ataki typu brute force

Ataki typu brute force polegają na systematycznym sprawdzaniu wszystkich możliwych kombinacji znaków, aż do znalezienia prawidłowego hasła lub klucza szyfrowania.

Czas potrzebny na złamanie hasła zależy od jego długości i złożoności. Proste hasła oparte np. wyłącznie na małych literach mogą zostać złamane w ciągu kilku sekund.

Superkomputer, wykonując nawet do biliona prób na sekundę, może złamać ośmioznakowe hasło alfanumeryczne w ciągu kilku godzin.

Przy słabych algorytmach lub funkcjach skrótu (hash) napastnicy mogą w ciągu miesięcy odtworzyć dużą liczbę haseł poprzez pełne przeszukanie przestrzeni możliwych kombinacji.

W tym scenariuszu hasło ma znaczenie, jeśli jest krótkie i proste (na przykład ma mniej niż 8 znaków).

Długie i złożone hasło – albo sekwencja losowych słów – utrudnia atak i wymaga znacznie większych zasobów obliczeniowych.

Polityka haseł i dobre praktyki

W kontekście wielu rodzajów ataków tylko w przypadku password spraying i brute force siła hasła jest kluczowa. W pozostałych scenariuszach liczy się sposób obchodzenia się z hasłami i dodatkowe mechanizmy ochrony (na przykład MFA).

Aby ograniczyć ryzyko, warto wprowadzić w firmie jasną politykę haseł, która obowiązuje wszystkie osoby w organizacji, w tym podwykonawców.

Polityka powinna określać między innymi:

  • minimalną długość haseł
  • zasady ich tworzenia (na przykład hasła oparte na kilku losowych słowach albo hasła generowane przez menedżer haseł)
  • sposób postępowania w razie podejrzenia naruszenia hasła.

Powinna także regulować różne wymagania dla kont chronionych wyłącznie hasłem i kont z dodatkową ochroną MFA. Dla kont bez MFA konieczne jest stosowanie dłuższych haseł (od 12 znaków) i automatycznych list odmowy najczęściej używanych haseł.

Istotne jest również włączenie MFA dla wszystkich kont administratorów oraz wszystkich kont (użytkownika i administratora), które są dostępne z internetu, w szczególności w usługach w chmurze. Wytyczne mogą się z czasem zmieniać, wraz z rozwojem metod ataków na hasła.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (MFA) wymaga od użytkownika wykorzystania co najmniej dwóch różnych składników, zanim uzyska dostęp do konta.

Uwierzytelnianie dwuskładnikowe (2FA) jest szczególnym przypadkiem MFA – polega na użyciu dokładnie dwóch elementów. Używanie dwóch identycznych typów składników nie jest uznawane za 2FA.

Trzy główne typy składników uwierzytelniania to:

  • coś, co wiesz, np. hasło, numer PIN lub odpowiedź na pytanie bezpieczeństwa
  • coś, co masz, np. karta, token sprzętowy, telefon lub inne urządzenie
  • coś, czym jesteś, np. odcisk palca, rysy twarzy, wzór tęczówki lub głos.

Hasła były przez długi czas podstawową formą uwierzytelniania, ale obecnie większość haseł można złamać w relatywnie krótkim czasie, a wiele osób używa tego samego hasła w wielu miejscach. Sama ochrona oparta wyłącznie na haśle jest z tego powodu niewystarczająca. Wymaganie MFA znacząco utrudnia przejęcie konta nawet wtedy, gdy hasło zostanie zgadnięte lub skradzione.

Żaden system nie daje stuprocentowej gwarancji bezpieczeństwa, jednak MFA istotnie podnosi poprzeczkę dla napastników.

Badania wskazują, że używanie MFA może ograniczyć ryzyko przejęcia konta o ponad 99,9%.

MFA zapewnia dodatkową warstwę ochrony, zmniejsza ryzyko oszustwa, kradzieży danych i przejęcia tożsamości.

Przykładowe sposoby wdrażania MFA

Wdrożenie MFA zwykle zaczyna się od etapu rejestracji, w którym użytkownik loguje się przy użyciu nazwy użytkownika i hasła, a następnie włącza dodatkowy składnik uwierzytelniania. Przy kolejnych logowaniach musi podać ten drugi składnik.

Stosowane są między innymi:

  • kody generowane przez dodatkowe urządzenia lub aplikacje, takie jak tokeny sprzętowe, klucze USB, karty, uniwersalne klucze bezpieczeństwa (np. FIDO) lub aplikacje typu authenticator generujące krótkotrwałe jednorazowe kody
  • kody wysyłane SMS-em lub przekazywane w rozmowie telefonicznej, które użytkownik wpisuje jako dodatkowy składnik logowania
  • powiadomienia push wysyłane do aplikacji na urządzeniu mobilnym, w których użytkownik potwierdza lub odrzuca próbę logowania
  • metody biometryczne, takie jak odcisk palca, rozpoznawanie twarzy czy inne cechy fizyczne lub behawioralne.

Metoda z kodami SMS nie jest najbezpieczniejszym rodzajem MFA, ale nadal zapewnia znacznie wyższy poziom ochrony niż brak dodatkowych składników.

Biometria jest wygodna i trudna do podrobienia, ale wiąże się z dodatkowymi wyzwaniami dotyczącymi przechowywania wrażliwych danych.

Warto także z wyprzedzeniem zaplanować metody zapasowe, na przykład drukowane kody awaryjne, drugą metodę MFA czy zapasowe klucze bezpieczeństwa, na wypadek utraty telefonu lub innego urządzenia.

Tworzenie silnych haseł

Hasła można porównać do kluczy do domu – jeden klucz nie powinien otwierać wszystkich drzwi w twoim życiu cyfrowym.

Najczęściej używane hasła nadal pozostają bardzo proste (na przykład „password”, „password1” czy „12345678”), a osiem znaków to w wielu przypadkach zdecydowanie za mało, by zatrzymać przestępcę korzystającego z automatycznych narzędzi.

Jedną z najlepszych metod jest tworzenie haseł opartych na kilku losowych słowach, które nie tworzą oczywistego ciągu, albo wymyślonej frazie, którą łatwo zapamiętać, ale trudno odgadnąć na podstawie informacji dostępnych w internecie. Hasło może zawierać także cyfry, znaki specjalne oraz kombinację małych i wielkich liter.

Im dłuższe hasło, tym lepiej. Dla kont administratora, ważnych usług (np. bankowość, e-mail) oraz tam, gdzie nie można użyć MFA, zaleca się hasła o długości co najmniej kilkunastu znaków.

Jedno hasło – jedno konto jest podstawową zasadą bezpieczeństwa. Jeśli używasz tego samego hasła w wielu miejscach, wyciek z jednego serwisu oznacza zagrożenie dla wszystkich twoich innych kont.

Dla kont e-mail zasada ta jest szczególnie istotna, ponieważ skrzynka pocztowa jest bramą do resetowania haseł w wielu innych usługach.

Silne i unikalne hasło do poczty oraz włączenie MFA znacząco zmniejszają ryzyko przejęcia wszystkich twoich kont powiązanych z tym adresem.

Jeśli chcesz sprawdzić, czy twoje dane logowania pojawiły się w wyciekach, możesz skorzystać z serwisów monitorujących naruszenia bezpieczeństwa (haveibeenpwned.com). Jeżeli znajdziesz tam swój adres e-mail, nie jest to powód do paniki, ale sygnał, że trzeba zmienić hasło do danego konta i upewnić się, że nie jest używane w innych serwisach.

Aktualne rekomendacje dotyczące długości i jakości haseł, a także sposobów ich tworzenia, są publikowane m.in. przez CERT Polska.

Menedżery haseł

Ze względu na liczbę kont internetowych tworzenie i zapamiętywanie wielu silnych, unikalnych haseł może być trudne.

Rozwiązaniem jest menedżer haseł – program lub usługa, która przechowuje dane logowania w postaci zaszyfrowanej i pomaga automatycznie uzupełniać je w przeglądarce lub aplikacjach.

Korzyści ze stosowania menedżera haseł

Menedżer haseł pozwala używać unikatowych, bardzo silnych haseł do wszystkich ważnych kont, bez konieczności ich pamiętania. Zamiast tego zapamiętujesz jedno hasło główne, którym odblokowujesz sejf z pozostałymi hasłami.

Tego typu aplikacje często:

  • synchronizują hasła między różnymi urządzeniami
  • ostrzegają przed fałszywymi stronami logowania, ponieważ nie uzupełniają danych na innych domenach niż te zapisane
  • informują o ponownym użyciu haseł
  • powiadamiają o wykryciu hasła w znanych wyciekach danych
  • działają w wielu systemach operacyjnych i przeglądarkach.

Wbudowane w przeglądarkę mechanizmy zapisywania haseł również mogą pełnić tę funkcję, ale dla zastosowań firmowych bezpieczniejszym wyborem zazwyczaj jest samodzielny menedżer haseł renomowanego producenta.

Jeśli korzystasz z zapamiętywania haseł w przeglądarce, rób to jedynie na własnych urządzeniach albo tam, gdzie każdy użytkownik ma osobne konto w systemie. Na komputerach współdzielonych, publicznych lub służbowych, z których korzysta wiele osób, nie zapisuj haseł w przeglądarce, a po zakończeniu pracy zawsze się wylogowuj.

W systemach takich jak macOS dostępne są wbudowane rozwiązania pełniące rolę menedżera haseł (np. Keychain), które można wykorzystać jako część firmowej polityki bezpieczeństwa.

Ochrona menedżera haseł

Menedżer haseł sam w sobie jest bardzo wrażliwym elementem, ponieważ przechowuje dostęp do wszystkich twoich kont.

Z tego powodu:

  • hasło główne musi być bardzo silne i unikalne
  • nie można przechowywać hasła głównego w tym samym menedżerze haseł
  • jeśli masz trudność z jego zapamiętaniem, możesz zapisać je w bezpiecznym miejscu poza zasięgiem osób trzecich
  • warto włączyć MFA dla konta menedżera haseł
  • wszystkie aplikacje, w tym menedżer haseł, muszą być regularnie aktualizowane.

Utrata hasła głównego może oznaczać utratę dostępu do wszystkich zapisanych haseł. Z kolei przejęcie konta menedżera przez przestępcę daje mu dostęp do całej twojej cyfrowej tożsamości, dlatego dodatkowe zabezpieczenia są tutaj szczególnie ważne.

Silne hasło do poczty elektronicznej

Hasło do poczty elektronicznej wymaga szczególnej uwagi.

Jeśli używasz takiego samego hasła do skrzynki e-mail oraz innych usług, przejęcie konta w jednym z serwisów znacząco ułatwia przestępcy dostęp do całości twojej aktywności online.

Po przejęciu skrzynki e-mail napastnik może:

  • uzyskać dostęp do wielu prywatnych informacji, w tym do danych bankowych
  • wysyłać wiadomości w twoim imieniu, oszukując inne osoby
  • resetować hasła do innych serwisów i przejmować kolejne konta.

Dla konta e-mail zaleca się zastosowanie silnego, unikalnego hasła, zgodnego z zasadami tworzenia bezpiecznych haseł, oraz włączenie weryfikacji dwuskładnikowej (2FA).

Jeśli używasz tego samego hasła w wielu miejscach, jak najszybciej zmień je i wprowadź unikalne hasła do najważniejszych usług – poczty, bankowości elektronicznej, kont płatniczych i mediów społecznościowych.

gov.pl /

Mapa Biznes.gov.pl

Portal nadzorowany jest przez Ministerstwo Rozwoju i Technologii. Partnerzy projektu: Sieć Badawcza Łukasiewicz - Poznański Instytut Technologiczny, Krajowa Izba Gospodarcza. Projekt jest współfinansowany z Programu Polska Cyfrowa ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego i jest kontynuacją projektu pt.: "Centralna Ewidencja i Informacja o Działalności Gospodarczej" finansowanego z Programu Innowacyjna Gospodarka oraz projektu "Uproszczenie i elektronizacja procedur" finansowanego z Programu Kapitał Ludzki.

Artykuły zamieszczone w serwisie GOV.PL, w których nie podajemy żadnych dodatkowych informacji na temat praw autorskich, należą do informacji publicznych i udostępniamy je bezpłatnie. Korzystanie z nich, niezależnie od celu i sposobu korzystania, nie wymaga zgody Ministerstwa. Dostępne są w ramach licencji Creative Commons Uznanie Autorstwa 3.0 Polska. Serwis Biznes.gov.pl używa plików cookies. Kontynuując przeglądanie naszej witryny bez zmiany ustawień przeglądarki, wyrażasz zgodę na użycie plików cookie. Zawsze możesz zmienić ustawienia przeglądarki i zablokować te pliki.

Fundusze Europejskie Flaga RP Unia Europejska