8 pravidel, se kterými ve firmě zavedete politiku bezpečných hesel

Petra Javornická
06. 06. 2024

8 pravidel, se kterými ve firmě zavedete politiku bezpečných hesel

V lednu letošního roku odhalili bezpečnostní experti největší dataset uniklých přístupových údajů v historii. Této obří databázi, která obsahuje 26 miliard záznamů, se proto začalo říkat Mother of All Breaches (Matka všech úniků). Jak tvořit bezpečná hesla a jak ve firmě nastavit efektivní pravidla pro jejich vytváření a správu?

Uniklo vaše heslo nebo heslo vašich kolegů na internet? Vzhledem k masivnímu úniku více než 26 miliard záznamů je to velmi pravděpodobné. Na darkwebu se totiž objevily přihlašovací údaje i z tak velkých služeb, jako je X (bývalý Twitter), LinkedIn, Netflix nebo Gmail. Pokud k tomu připočteme fakt, že uživatelé využívají často stejné přihlašovací údaje i k dalším službám, v ohrožení jsou účty a data ve velmi širokém rozsahu. Přístupy do firemních systémů nevyjímaje.

Jaké zásady ve firmě dodržovat v rámci politiky bezpečných hesel?

1. Stanovte jasná pravidla pro hesla a přihlašování

Abyste ve své firmě posílili bezpečnostní opatření v oblasti přístupových údajů, potřebujete mít k dispozici jasně definovaná a srozumitelná pravidla pro práci s hesly a celkově pro politiku přihlašování. Zaměstnanci by určitě měli znát požadavky na nastavení hesel a předpisy pro jejich ukládání, ochranu i správu na pracovních zařízeních. Nezapomínejte ani na pravidelné celofiremní vzdělávání na téma hesla a rizika s nimi spojená. V neposlední řadě byste měli mít také plán, jak budete reagovat v případě kompromitace hesel.

2. Používejte pouze silná hesla

Přestože dnes existují i další způsoby zabezpečení, heslo je zatím stále nejpoužívanějším způsobem přihlášení. Proto je nezbytné, aby bylo bezpečné. Přes všechna doporučení se v pravidelných přehledech nejpoužívanějších hesel objevují na předních příčkách hesla jako „123456789“, „heslo“ nebo „password“. Bezpečná nejsou podle expertů ani jména příbuzných nebo mazlíčků. Lehce uhodnutelná jsou i hesla obsahující adresu, datum narození nebo rodné číslo. To vše jsou totiž snadno dohledatelné informace.

Vyžadujte po svých zaměstnancích, aby používali pro přístupy do firemních systémů dostatečně silné heslo – tedy heslo skládající se minimálně ze 12 znaků. Ale například společnost Microsoft radí vytvořit silné heslo ze 14 a více znaků. Často se doporučuje kombinovat malá i velká písmena, číslice a speciální znaky, ale v zásadě postačí, aby bylo heslo dostatečně dlouhé.

Způsobů, jak si vytvořit bezpečné a zároveň zapamatovatelné heslo, je mnoho. Jedním z nich je metoda Bruce Schneiera. Ta spočívá v tom, že si vymyslíte náhodnou větu a podle určitého klíče si z ní vytvoříte heslo. Když například vezmete první dvě písmena z každého slova ve větě „Kyberbezpečnost je záležitostí managementu“, vyjde vám heslo Kyjezama. K tomu přidejte vaše oblíbené číslo a speciální znaky a vytvoříte tak přihlašovací frázi, která odolá mnohým útokům hackerů a zároveň se dá snadno zapamatovat.

3. Používejte různá hesla do jednotlivých systémů

Po svých zaměstnancích byste také měli vyžadovat, aby používali pro každou službu nebo firemní systém unikátní heslo. Tím odbouráte riziko, že se útočník dostane s jedním heslem do více služeb najednou.

4. Využívejte správce hesel

V takovém případě je ale prakticky jasné, že s desítkami a možná i stovkami služeb, které dnes používáme, je téměř nemožné si zapamatovat ani různé chytře vymyšlené fráze, natož náhodně generovaná hesla. Můžete proto zavést ve firmě aplikace pro správu hesel.

Ty umožňují zaměstnancům vytvářet a uchovávat silná a jedinečná hesla pro různé účty bez nutnosti si je pamatovat. Aplikace navíc poskytují další bezpečnostní funkce, jako je dvoufaktorová autentizace (2FA) nebo bezpečné sdílení přihlašovacích údajů. Jejich používáním se výrazně snižuje riziko kompromitace hesel a zároveň se zjednodušuje proces přihlašování.

Funkcionalitu uchovávání hesel v sobě mají integrované i prohlížeče, na ty se ale moc nevyplatí spoléhat. Browsery totiž často přístupové údaje ukládají pomocí prostého textu. To znamená, že ve chvíli, kdy by se k vašemu prohlížeči (nebo někoho ze zaměstnanců) dostal hacker, měl by k přístupovým údajům okamžitý přístup.

5. Zaveďte dvoufaktorovou autentizaci

Další vrstvu zabezpečení zajišťuje vícefázové ověření, které je dnes už běžným standardem mnoha služeb. Dvoufaktorové ověřování (2FA) vyžaduje po uživateli kromě něčeho, co zná (heslo), i něco, co uživatel vlastní – třeba mobilní telefon. Na ten při pokusu o přihlášení přijde jednorázový kód z aplikace nebo SMS. Pokud služby, které ve firmě využíváte, 2FA umožňují, doporučujeme tuto funkci zavést a vyžadovat její používání napříč celým podnikem.

6. Zvažte vedle hesel další metody ověření

Mnohé služby také začaly využívat biometrické údaje – řada moderních telefonů má v sobě zabudovanou čtečku otisku prstů nebo nástroj na skenování obličeje. A přicházejí i nové, modernější metody ověření, jako jsou passkeys nebo behaviorální biometrika.

Co je behaviorální biometrika a k čemu slouží?

Zobrazit článek

Požadavek na autorizaci pomocí otisku prstu nebo skenu obličeje je například standardem u většiny subjektů bankovního sektoru. Řada bank ale stále používá heslo jako zálohu pro případ, že uživatel nemůže biometrický prvek z nějakého důvodu použít. V budoucnu by ale tato záloha měla úplně zmizet. Posloužit by k tomu měl standard FIDO2, na jehož základě vznikají způsoby přihlášení bez hesel.

Speciální druh ochrany poskytují hardwarové klíče. Ty vypadají jako USB klíčenka a poskytují zvýšenou úroveň bezpečnosti pro online účty a data tím, že přidávají fyzický prvek k procesu ověřování.

Jako forma dvoufaktorové autentizace tato zařízení ochraňují před kybernetickými hrozbami, jako je phishing nebo malware. Díky robustním bezpečnostním čipům, které jsou odolné proti fyzickým útokům, hardwarové klíče nabízejí solidní ochranu ve srovnání s tradičními metodami autentizace. Jejich použití je vhodné zejména v prostředích, kde je vyžadována vysoká úroveň zabezpečení a kde je důležitá ochrana před sofistikovanými útoky.

7. Zaveďte pravidlo o nesdílení hesel

Ve firmě by mělo být zcela zásadní stanovit jasná pravidla pro práci s hesly, která všem zaměstnancům jasně dávají najevo, že sdílení hesel je přísně zakázané. I přes všechna doporučení je sdílení přístupových údajů poměrně běžné. Podle průzkumu společnosti Beyond Identity sdílí svá hesla na pracovišti přes 40 % zaměstnanců. Komu? Mimo jiné kolegům z práce, dodavatelům, ale také svým rodinným příslušníkům nebo přátelům.

Další bezpečnostní riziko představuje posílání hesel prostřednictvím e-mailu, WhatsAppu, Messengeru či jiných nešifrovaných a nezabezpečených komunikačních kanálů. Tyto metody přenosu nejsou většinou šifrovány end-to-end, což znamená, že hesla mohou během přenosu snadno zachytit a následně zneužít kybernetičtí zločinci. Z těchto důvodů je nezbytné využívat bezpečné metody pro sdílení hesel, jako jsou správci hesel nabízející šifrované sdílení, které chrání vaše data před neoprávněným přístupem.

8. Upusťte od častého měnění hesel

Ještě donedávna platilo pravidlo, že by se hesla měla měnit pravidelně. Tento mýtus vyvrátil americký Národní institut pro standardy a technologie (NIST). Jejich aktualizované pokyny naopak nedoporučují časté obnovování hesel, které podle nich vedlo k volbě slabších hesel a předvídatelným vzorcům při jejich tvorbě. Místo toho doporučují vytvářet komplexní hesla nebo heslové fráze a měnit je pouze v případě podezření, že heslo uniklo a dostalo se do nesprávných rukou. To lze ověřit například na stránce Have I been pwned.

Co si z článku odnést:

Na web unikla databáze s 26 miliardami údajů, je velmi pravděpodobné, že jsou mezi nimi i hesla vaše a vašich zaměstnanců.
Každá firma by měla mít jasně stanovenou politiku vytváření, uchovávání a sdílení hesel.
Pro větší bezpečí ve firmě využívejte moderní způsoby zabezpečení přihlašovacích údajů. Základem by měla být dvoufaktorová autentizace, používání správců hesel nebo využití biometrických údajů.
Pravidelná změna hesel je mýtus, který (nejen) ve firmách spíše škodí, než přispívá k větší bezpečnosti.