Propozycja gry dla informatyków
Propozycja gry dla informatyków – pionów i działów IT powstała na bazie merytorycznego opracowania CERT. Problematyka polityki haseł to jednak temat, który jednak należy traktować nie w kategorii gier i zabaw. Aby jednak uświadomić czytelnikom, powagę sytuacji i pozwolić im na samodzielne podjęcie decyzji co do dalszego stosowania przyjętych przez siebie standardów działań – zdecydowaliśmy się na zaproszenie wszystkich chętnych do zagrania w grę …. „Znajdź swoje hasło”
Rekomendacje CERT dotyczące haseł
CERT Polska rekomenduje następujące zasady dla systemu uwierzytelniającego użytkownika:
- POWINIEN stosować bezpieczny algorytm hashujący do przechowywania haseł1
- NIE POWINIEN wymuszać okresowej zmiany haseł użytkowników2
- NIE POWINIEN pozwalać na ustawienie hasła znajdującego się na liście słabych/często używanych haseł3
- NIE POWINIEN pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
- POWINIEN ustalać minimalną długość hasła na co najmniej 12 znaków
- POWINIEN pozwalać na ustawienie hasła o długości co najmniej do 64 znaków
- NIE POWINIEN wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter
- POWINIEN wymuszać zmianę hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione
- POWINIEN podawać dokładny powód w przypadku odrzucenia nowego hasła
- NIE POWINIEN blokować wykorzystania funkcji “wklej” na polu hasła
- ZALECA SIĘ wsparcie dla uwierzytelniania dwuskładnikowego
- ZALECA SIĘ wyświetlanie użytkownikowi wskaźnika szacującego siłę nowego hasła
Propozycja gry dla informatyków - "Znajdź swoje hasło"
CERT Polska opublikował polską wersję słownika haseł będącą wynikiem analizy danych upublicznionych w wyciekach. Lista zawiera około miliona najpopularniejszych haseł, posortowanych malejąco od haseł najbardziej popularnych.
Zasady gry ...
- Pobieramy opublikowaną przez CERT listę słownika haseł. (Plik XLS)
- Uruchamiamy plik
- Poszukujemy „znanego nam” hasła Ctrl+F
- Wygrywa ten, którego wynik ma najmniejszą wartość pozycji w kolumnie numer 1
Źródło:
Rekomendacje techniczne CERT Polska dla systemów uwierzytelniania [Link aktywny: 01.14.2022r., godz.: 12:00]