Usługi informatyczne dla firm

Menadżer haseł dla firm i zespołów

menadżer haseł

Napisano już sporo artykułów na temat metod radzenia sobie z pamiętaniem haseł do różnych aplikacji, portali i systemów, z których na co dzień korzystamy. W niniejszym artykule skupię się na tym, jak podejść do tego zagadnienia w przedsiębiorstwie. Omówimy dobre praktyki w zakresie tworzenia i przechowywania haseł oraz zastanowimy się jak je potem wdrożyć w praktyce w realiach biznesowych.

Manager haseł

Ile haseł musimy pamiętać?

Spróbujmy najpierw ustalić, ile mamy w firmie systemów i kont, które wymagają danych dostępowych:

  • system ERP,
  • system bankowości internetowej, realnie, często przedsiębiorstwo korzysta z usług więcej niż jednego banku,
  • służbowy adres e-mail pracownika,
  • komputer służbowy z systemem operacyjnym,
  • sieć firmowa,
  • pakiet biurowy, np. MS Office365,
  • systemy B2B naszych dostawców u których regularnie coś zamawiamy,
  • firmowe konta w mediach społecznościowych: LinkedIn, Facebook, Instagram,
  • program Płatnik w ZUS,
  • firmowe WiFi,
  • system CMS naszej strony internetowej,
  • panel administracyjny naszego e-sklepu,
  • portal BaseLinker do zarządzania sprzedażą w galeriach internetowych,
  • kwalifikowany podpis elektroniczny.

To dodajmy do tego dostępy do systemów, z których pracownik firmy korzysta prywatnie:

  • system bankowy, dający dostęp do prywatnego konta,
  • prywatne konto google (gmail, mapy),
  • prywatne konta w portalach społecznościowych: LinkedIn, Facebook, Instagram,
  • profil zaufany i portal pacjenta.

W mojej opinii ta lista nie wyczerpuje wszystkich przypadków a już wskazałem co najmniej 18 różnych typów loginów. Pracownik firmy musi w jakiś sposób pamiętać je wszystkie. Czy w tych warunkach możemy mieć pewność, że stosowane przez niego hasła będą skomplikowane i trudne do przechwycenia? Chyba raczej nie.

Słabe hasła – czy jest się czym przejmować?

Okazuje się, że włamanie do systemu przeciętnej firmy jest łatwiejsze niż mogłoby się wydawać. Ponieważ prowadzę firmę z branży IT, jestem wyczulony na takie informacje i regularnie dochodzą do mnie sygnały o kolejnych ofiarach ataku.
Klasyczny problem, to przechwycenie hasła do ważnego systemu biznesowego. Jest się czym martwić, ponieważ Google podaje, że 80% wszystkich incydentów bezpieczeństwa w 2021 roku było spowodowane kradzieżą danych logowania. Ponadto, 57% osób, których hasła wyciekły do Internetu, wciąż ich nie zmieniło. Według organizacji Cnet od 2017 roku do Internetu wyciekło ponad 555 milionów loginów i haseł. Liczba cyberataków na przedsiębiorstwa stabilnie rośnie oraz ewoluują metody ich realizacji.

Kradzież hasła – realne zagrożenie

Najprostsza metoda na wykradnięcie lub zaszyfrowanie danych przedsiębiorstwa, to przechwycenie hasła użytkownika, który posiada odpowiedni poziom dostępu do ważnego systemu. Jak hakerzy to robią?

Podglądanie klawiatury

Jeden ze sposobów, to wykorzystanie specjalnego, złośliwego programu, który jest w stanie rejestrować to, co wpisujemy na klawiaturze i przesyłać te informacje do hakera. Skąd taki program może się pojawić na naszym komputerze? Metod jest kilka.Wystarczy, że otrzymamy maila reklamowego i zdecydujemy się kliknąć w link typu “wypisz mnie z listy mailingowej”, który spowoduje załadowanie złośliwego oprogramowania. Podobne sytuacja będzie miała miejsce, gdy uruchomimy plik Excel z niepewnego źródła. Plik ten może zawierać makro, które również wczyta wirusa. W obu przypadkach złośliwe oprogramowanie śledzące klawiaturę może zostać pobrane i zainstalowane. Przed taką sytuacją może nas obronić dobry program antywirusowy, ale jest to temat na odrębny artykuł.

Atak metodą Brute-force

Inny sposób, to tzw. metoda brute-force, czyli oprogramowanie, które losuje hasła i podejmuje próbę dostępu. Wprowadza on systematycznie kolejne hasła, aż w szczególnym przypadku uzyska dostęp. Zautomatyzowane próby włamania przez złośliwe boty do panelu administracyjnego sklepu internetowego lub serwisu www, zdarzają się tak często, że należy mówić o stanie permanentnego ryzyka.
Włamanie na konto serwisu www WordPress

Przechowywanie haseł w przeglądarce

Popularne przeglądarki stron internetowych, takie jak Google Chrome, FireFox, czy Opera oferują menedżery haseł, pozwalające zachować dane dostępowe. Niestety rozwiązania te zapewniają wystarczającego poziomu bezpieczeństwa. Gdy użytkownik zgadza się na zapamiętanie loginu i hasła, które podaje logując się poprzez przeglądarkę internetową do nowego systemu, musimy mieć świadomość, że istnieją złośliwe programy zdolne do wykradzenia tak zapamiętanych danych.

Jak podejść do tworzenia haseł?

Wiemy już, że pracownicy potrzebują do swojej pracy wielu różnych systemów. Do każdego z nich użytkownik potrzebuje konto zabezpieczone hasłem. Dobra praktyka podpowiada, by hasła do kont zmieniać regularnie, nawet co 90 dni. Czy w tych warunkach jest w ogóle realne, by wymagać od ludzi, by stosowali bezpieczne hasła?

Chyba nie ma wyboru, dlatego warto wskazać kilka podpowiedzi, jak to tego podejść.

Czy nie jesteś zbyt oczywisty?

Z reguły większość z nas wie, że jeżeli hasło nie ma być łatwe do odgadnięcia, to nie warto posługiwać się w nim imieniem małżonka, dziecka, ulubionego pieska, numerem telefonu, czy łatwą do ustalenia datą urodzin. Takie dane mogą zostać wprowadzone do bazy systemu łamiącego hasło metodą “brute-force”, co może znacznie przyspieszyć przykry finał, czyli włamanie.

Hasło główne – do wszystkiego

Nawet jeżeli jesteśmy bardzo dumni z tego, że stworzyliśmy mocne hasło główne, które potem stosujemy w kluczowych systemach, to musimy zdać sobie sprawę, że sporo ryzykujemy. Jeżeli ktoś je odgadnie, to z pewnością wypróbuje je w wielu miejscach (gmail, Facebook, LinkedIn …). Mając przygotowanych więcej mocnych haseł dla różnych kont dostępowych, minimalizujemy ryzyko, że haker zdoła przejąć dostęp do naszej cyfrowej tożsamości.

Dane logowania – uniwersalne kryteria

Warto zacytować kryteria, które obowiązują dla usług dostępnych w Chmurze Comarch:

  • Długość hasła nie powinna być mniejszą niż 12 znaków.
  • Hasło powinno zawierać znaki z minimum trzech z czterech następujących kategorii: jedną dużą literę, jedną mała literę, jedną cyfrę, jeden znak specjalny (! @ # $ % ^ & ? *).
  • Treść hasła nie powinna zawierać takich słów jak login, nazwa firmy, nazwa aplikacji, adres e-mail, imię, nazwisko użytkownika.
  • Hasło powinno być różne od poprzednich 24 haseł.

Automaty w Chmurze Comarch wymuszają na użytkownikach zmianę hasła co 90 dni.

Nietypowe podejście – zwykle bardzo skuteczne

Skoro już wiemy, że co do zasady powinniśmy mieć różne hasła do poszczególnych systemów, pozostaje pytanie, jak je zapamiętać. Jedna z popularnych metod, którą sam stosuję to budowanie haseł “w locie”. Oznacza to, że zapamiętuję jakiś ciąg słów, np. tekst piosenki. Mam wybrane różne teksty dla różnych typów kont. Potem wybieram z kolejnych słów tekstu wybrane litery, dodaję jeszcze znaki specjalne wg własnego schematu. Chwilę trwało, zanim nauczyłem się korzystania z tej metody. System sprawił, że moje hasła bez problemu spełniają wymogi. Niestety, taka metoda nie jest w stanie zapewnić jakości haseł, jaką gwarantują profesjonalne generatory haseł.
Generator haseł

Ciekawy sposób ochrony haseł

Pionierami w walce o „mocne hasła” były w Polsce banki. Niektóre systemy bankowe wprowadziły dodatkowe utrudnienie dla hakerów. Wymagają one podania tylko wybranych liter hasła. W ten sposób hasło raczej nie wpadnie w niepowołane ręce, ponieważ złośliwy program zapisujący znaki wprowadzane na klawiaturze, nie będzie w stanie „podpatrzeć” hasła w całości.
Logowanie do bankowości internetowej ING
W sumie szkoda, że ta metoda zabezpieczeń nie jest częściej stosowana w innych rozwiązaniach informatycznych.

Czyli ile haseł powinienem pamiętać?

Okazuje się, że niewiele, zaledwie trzy.

Najważniejsze jest hasło do skrzynki e-mail, które musimy mieć zawsze pod ręką. W większości portali musimy wskazać adres mailowy, na który otrzymamy wiadomość z linkiem do zmiany hasła. Dodatkowo, w przypadku systemów, gdzie logowanie jest dwustopniowe (np. internetowy kantor wymiany walut Cinkciarz.pl), otrzymujemy wiadomość email z kodem weryfikującym, który należy podać w panelu dostępu.

Drugie hasło dotyczy dostępu do systemu operacyjnego naszego komputera. Oczywiście większość współczesnych systemów, do których stale się logujemy działa poprzez przeglądarkę, więc teoretycznie możemy się do nich dostać z dowolnego urządzenia, jednak pliki prywatne mamy często zapisane lokalnie, na dysku komputera.

Kolejne jest hasło służące do uzyskania dostępu do menedżera haseł, systemu, który zapewnia bezpieczne przechowywanie wszystkich pozostałych danych dostępu. Więcej na temat menedżera haseł dowiesz się w kolejnej części artykułu.
Nie muszę chyba nikogo przekonywać, że regularna zmiana haseł w 3 systemach to zagadnienie prostsze, niż w 30.

Menedżery haseł – co to jest?

Menedżery haseł to aplikacje, które potrafią bezpiecznie przechowywać dane dostępowe. Na rynku znajduje się wiele takich rozwiązań. Można je podzielić na dwie zasadnicze grupy.

Pierwsza, to te, które pozwalają przechowywać dane w miejscu, które sami wybierzemy. Należą do nich PassBolt, KeePass czy Bitwarden. Jeżeli jesteśmy przekonani, że nasza własna chmura prywatna (lub komputer) są najbezpieczniejszym miejscem do przechowywania danych, to warto zwrócić uwagę na te produkty.

Druga grupa, to rozwiązania przechowujące nasze hasła w chmurze dostawcy rozwiązania. Teoretycznie, większość produktów szyfruje dane dostępowe, więc nie powinny być łatwo dostępne dla ewentualnych hakerów, ale ryzyko zawsze istnieje.

Inne, ważne kryterium, to ile kosztuje menedżer haseł. Tu na szczęście, większość produktów posiada wersje darmową, która za dopłatą oferuje dodatkowe, użyteczne funkcje.

Dla niektórych osób ma również znaczenie, czy menedżera haseł można używać z systemami Windows, MacOs lub na urządzeniu mobilnym z systemem Android. Ponieważ większość rozwiązań działa za pośrednictwem przeglądarki, natywna aplikacja na Android czy iOS to raczej rzadkość.

Jeżeli spojrzymy na wdrożenie menedżera haseł z perspektywy potrzeb przedsiębiorstwa, to pojawia się dodatkowa potrzeba, czyli możliwość zarządzania dostępem do rozwiązania przez dział IT. Kiedy pojawia się nowy pracownik, należy założyć mu konto i poinstruować o tym, jak bezpiecznie przechowywać hasła. Jeżeli dodatkowo należy mu przyznać dostęp do jakiegoś systemy wewnętrznego, administrator powinien mieć w tym zakresie odpowiednie narzędzie.

Finalnie, przedsiębiorstwo chcące zabezpieczyć hasła pracowników potrzebuje produktu, który spełni kilka wymogów:

  • można go zainstalować i utrzymać w chmurze prywatnej, opłacanej przez przedsiębiorstwo,
  • zapisane hasła będą zaszyfrowane w sposób uniemożliwiający ich łatwe wykradnięcie,
  • nie będzie drogi w utrzymaniu,
  • będzie wygodnym narzędziem dla pracowników,
  • ułatwi pracę działowi IT lub firmie realizującej usługi Outsourcingu IT.

PassBolt, to menedżer haseł, który spełnia powyższe kryteria, więc w kolejnej części artykułu postaram się opisać, w jaki sposób wykorzystujemy jego możliwości w naszej firmie.

PassBolt, czyli bezpieczny manager haseł w akcji

Realizujemy usługi IT dla firm, w tym outsourcing IT i wdrożenia systemów Comarch ERP. Nasi pracownicy mają zatem dostęp do wielu systemów wewnętrznych, ale co ważniejsze, do systemów naszych klientów, by sensownie udzielać im wsparcia.

Z klientami łączą nas umowy o zachowaniu poufności i o powierzeniu przetwarzania danych osobowych, na mocy których strony zapewniły sobie bezpieczeństwo od strony formalnej. Z umów tych wynikają dla nas obowiązki w zakresie należytego zabezpieczenia danych wrażliwych, które przetwarzamy.

W tej sytuacji konieczne okazało się wprowadzenie rozwiązania informatycznego, które pozwoli uporządkować kwestię przechowywania danych dostępowych, oraz zarządzania tymi danymi. Wybraliśmy menedżer haseł PassBolt, ponieważ mogliśmy go zainstalować w naszej bezpiecznej chmurze prywatnej i udostępnić pracownikom.

Dane logowania w menedżerze haseł PassBolt

PassBolt to bezpieczny menedżer haseł dostępny poprzez przeglądarkę internetową, nie wymagający instalacji osobnej aplikacji na komputerze. Szyfruje on pełne dane dostępowe, m.in. hasła zapisane przez użytkownika za pomocą klucza prywatnego.

Każdy operator zabezpiecza dostęp do menedżera haseł swoim hasłem głównym. Na jego podstawie jest generowany prywatny klucz szyfrujący. Im bardziej skomplikowanego hasła użyjemy do dostępu do aplikacji, tym trudniejszy do złamania staje się nasz klucz prywatny, który zostaje użyty to szyfrowania danych dostępowych.

Dostęp do każdego systemy wewnętrznego lub systemu klienta jest zdefiniowany w taki sposób, by ułatwić skuteczne logowanie.

Generowanie silnych haseł

Jeżeli nie mamy głowy do wymyślania bezpiecznych haseł, możemy polegać na PassBolt, który posiada funkcję automatycznego generatora haseł. Wystarczy tak wygenerowane hasło ustawić w systemie docelowym i mamy rozwiązany ważny problem – jakość haseł.

Jak działa menedżer haseł

Przyjrzyjmy się dokładniej, ja działa menedżer haseł w praktyce. Aby bezpiecznie zalogować się np. do programu Comarch BI Point, należy kliknąć w symbol dodatku Passbolt do przeglądarki (prawy górny narożnik) i wybrać odpowiednią pozycję z proponowanych poświadczeń w menedżerze haseł. Trafią one automatycznie do pól z nazwą użytkownika i hasła, które następnie klasycznie zatwierdzamy.

Automatyczne uzupełnianie danych logowania przez menedżer haseł

Inny sposób, to zalogować się najpierw do samego Passbolt, znaleźć interesujący nas wpis i kliknąć w zakropkowane pole gdzie znajduję się nasze hasło. Pojawi nam się monit:

Dane logowania do PassBolt

Po wpisaniu hasła, w schowku znajdzie się interesujące nas hasło. Wystarczy je tylko wkleić w systemie docelowym.

Korzystanie z rozwiązania jest proste i działa najlepiej, kiedy używamy przeglądarki internetowej Google Chrome lub FireFox z zainstalowanym specjalnym dodatkiem.

Z perspektywy administratora, menedżer haseł PassBolt ma wiele możliwości konfiguracji. Oprócz tego, że użytkownikowi można założyć jego własne konto, istnieje również możliwość tworzenia grup. W ten sposób, można powiązać ze sobą konta osób, które powinny mieć do dyspozycji podobne zestawy danych do logowania.

Dobry menedżer haseł pozwala podzielić użytkowników na grupy

Ponadto mamy do dyspozycji możliwość nadawania uprawnień i przyporządkowania użytkowników do określonej „roli”. Decydujemy wtedy o tym, jakim zestawem uprawnień dysponuje.

Czy wdrożenie menedżera haseł PassBolt się opłaca?

Wróćmy to tego, dlaczego przedsiębiorstwo produkcyjne lub handlowe mogłoby być zainteresowane użyciem menedżera haseł.

Najważniejszy powód jest taki, że nie chcemy, by nasi pracownicy zapisywali hasła do kluczowych systemów na serwetkach, żółtych karteczkach, w plikach txt na pulpicie swojego komputera. Jeżeli nie wyposażymy ich w odpowiednie narzędzie, np. w menedżer haseł PassBolt i nie wprowadzimy właściwych wzorców zachowań, pojawienie się haseł typu “test1234” sytuacji staje się mocno prawdopodobne.

Kolejna sprawa, to kontrola nad tym, czy pracownicy rzeczywiście stosują się do polityki bezpieczeństwa w zakresie danych logowania. Mając centralnie zarządzany menedżer haseł PassBolt, będziemy mogli zweryfikować, kto z niego nie korzysta i w razie czego upewnić się, w jaki sposób osoby te realnie dbają o bezpieczeństwo.

Menedżer haseł PassBolt to aplikacja internetowa, która wymaga instalacji i konfiguracji. Konfiguracja obejmuje założenie kont dla użytkowników, przyporządkowanie kont do grup, stosownych do przyjętych w przedsiębiorstwie zasad nadawania uprawnień do logowania.

Warto również przeszkolić osobę, która będzie spełniała rolę administratora systemu. Oczywiście firma informatyczna, realizująca usługi IT może administrować systemem w imieniu przedsiębiorstwa.

Ważnym krokiem jest przeprowadzenie szkolenia dla pracowników, podczas którego na nowo zostaną zakomunikowane zasady i wymogi w zakresie jakości haseł. Ponadto warto udzielić wsparcia użytkownikom w pierwszych dniach użytkowania. Menedżer haseł PassBolt nie jest trudny w użytkowaniu, ale jeżeli chcemy mieć pewność, że nasi pracownicy będą z niego chętnie korzystać, warto im zapewnić dostęp do specjalisty w pierwszych dniach eksploatacji.

Koszt wdrożenia menedżera haseł PassBolt nie jest wysoki. Zwykle usługa obejmuje kilka roboczodni specjalisty. Jeżeli chodzi o licencje, to podstawowa wersja systemu jest bezpłatna. W większości przypadków jej funkcjonalność okazuje się wystarczająca.

W płatnej wersji Business, która kosztuje 30 EUR za 10 użytkowników miesięcznie, zyskujemy dodatkowe funkcje, z których najciekawsze to:

  • Szczegółowe logowanie aktywności operatorów w ramach PassBolt, np. jak często i z jakich kont korzystają.
  • Obsługę logowania do systemów, które wymagają autentykacji w kilku krokach – Multi Factor Authentication (MFA).
  • Wsparcie producenta.

Wystarczy tylko jedna, która nie przestrzega zasad bezpieczeństwa i ryzyko skutecznego ataku hakerskiego rośnie dramatycznie.

W konsekwencji, ryzykujemy utratę dostępu do krytycznych systemów, takich ja ERP, sklep internetowy, czy konto na Allego. Konsekwencje ekonomiczne mogą być wtedy bardzo poważne. Wniosek jest prosty – warto wdrożyć password manager PassBolt.

Zadbaj o bezpieczeństwo IT by chronić ciągłość pracy i dobrą reputację swojej firmy

Jeżeli nie masz pewności, czy w Twojej firmie funkcjonuje bezpieczna polityka udzielania i kontroli dostępu do kluczowych systemów biznesowych, umów się na bezpłatną, niezobowiązującą konsultację z naszym specjalistą. W ciągu krótkiej rozmowy spróbujemy określić, czy dysponujemy rozwiązaniem, które rozwiązałoby Twój problem.

Kliknij abySzybki kontaktzadzwonić