Przez wiele lat zasady stosowania haseł służących do zabezpieczania systemów, w których przetwarzane są dane osobowe regulowało rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). Przepisy rozporządzenia wprowadzały powszechnie znany standard, zgodnie z którym na poziomie podstawowym do uwierzytelniania użytkowników należało używać hasła składającego się z co najmniej 6 znaków, zaś na poziomie podwyższonym z co najmniej 8 znaków, w tym małych i wielkich liter oraz cyfr lub znaków specjalnych. W obu przypadkach rozporządzenie wymagało zmiany hasła nie rzadziej niż co 30 dni. Rozporządzenie zostało uchylone 6 lutego 2019 r., jednak jeszcze dzisiaj wiele systemów opiera się na określonych w nim standardach.
Obecnie nie ma przepisów, które określałyby precyzyjne wymagania dotyczące zabezpieczenia urządzeń i systemów informatycznych służących do przetwarzania danych osobowych danych osobowych hasłem. Z przepisów RODO wynika jedynie nakaz, aby stosowane przez administratora środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa danych osobowych były odpowiednie do ryzyka naruszenia praw lub wolności osób fizycznych związanego z przetwarzaniem ich danych osobowych.
Szukając odpowiedzi na pytanie jak przy współczesnych uwarunkowaniach powinno wyglądać skuteczne hasło, warto odwołać się do wytycznych, działającego w strukturach NASK - Państwowego Instytutu Badawczego, zespołu CERT Polska, który został powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. W 2022 r. CERT Polska przygotował dokument skierowany do administratorów, twórców i projektantów systemów informatycznych wymagających kontroli dostępu użytkowników i pozwalających na uwierzytelnienie z użyciem hasła, w którym przedstawił rekomendacje dla systemów uwierzytelniających użytkownika.
Zgodnie z rekomendacjami CERT Polska system uwierzytelniający użytkownika powinien stosować bezpieczny algorytm hashujący do przechowywania haseł. Do zalecanych przez CERT Polska rozwiązań należą: Argon2, Bcrypt, PBKDF2 oraz Scrypt, które pozwalają na ustawienie parametru definiującego kosztowność przetworzenia hasła. W dalszej kolejności wskazuje się, że system uwierzytelniający użytkownika powinien ustalać minimalną długość hasła na co najmniej 12 znaków (w innych miejscach CERT Polska zaleca stosowanie haseł składających się z więcej niż 14 znaków) i jednocześnie powinien pozwalać na ustawienie hasła o długości co najmniej 64 znaków. System nie powinien wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter, z drugiej zaś strony nie powinien pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi) lub hasła znajdującego się na liście słabych/często używanych haseł (polską wersję listy słabych/często używanych haseł CERT Polska publikuje na swojej stronie internetowej). CERT zaleca, aby system wyświetlał użytkownikowi wskaźnik szacujący siłę nowego hasła, oraz by podawał dokładny powód w przypadku odrzucenia hasła proponowanego przez użytkownika. Zgodnie z zaleceniami system nie powinien blokować możliwości korzystania z funkcji “wklej” na polu hasła. System uwierzytelniający nie powinien też wymuszać okresowej zmiany haseł użytkownika; ale powinien to robić jeśli zostało potwierdzone, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione. Dodatkowo CERT Polska zaleca udostępnienie wsparcia dla uwierzytelniania dwuskładnikowego. Jego pierwszym etapem może być wprowadzenie hasła lub PINu, zaś drugim wpisanie kodu jednorazowego, potwierdzenie logowania w aplikacji lub użycie dedykowanego klucza USB. Aby ułatwić korzystanie z wielu długich haseł CERT Polska proponuje korzystanie z menedżerów haseł, które często są wbudowane w przeglądarkę internetową.
Niezależnie od zaleceń dotyczących algorytmów hashujących stosowanych do przechowywania haseł i rekomendacji odnoszących się do struktury hasła, zawsze należy pamiętać o podstawowych zasadach bezpieczeństwa przy posługiwaniu się ustalonym hasłem. Do zasad tych należy zaliczyć m.in. każdorazowe sprawdzanie czy domena portalu, na którym następuje logowanie jest prawidłowa; unikanie zapisywania hasła w postaci notatki; nieudostępnianie hasła innym osobom, czy też używanie danego hasła tylko w jednym systemie. W przypadku podejrzenia przejęcia hasła należy niezwłocznie je zmieć, sprawdzić dostępną historię logowania i zakończyć wszystkie aktywne sesje.
Aby zapewnić bezpieczeństwo danych, my rekomendujemy systematyczne śledzenie stron CERT Polska i wdrażanie publikowanych tam zaleceń.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.