Polityka haseł – co w niej zawrzeć

Polityka haseł - kilka słów o rekomendacjach CNIL

CNIL (Commission Nationale de l’Informatique et des Libertés) to Francuska Komisja Krajowa ds. Informatyki oraz Wolności Obywatelskich. Jest to francuski organ ochrony danych, który niedawno opublikował nowe rekomendacje dotyczące polityki haseł w organizacji. Zawarte w nich wytyczne nie są oczywiście obligatoryjne, niemniej jednak warto rozważyć ich zastosowanie także w polskich firmach.

Minimalny poziom bezpieczeństwa hasła

Pierwsze z zaleceń CNIL dotyczy minimalnego poziomu bezpieczeństwa hasła. Chodzi tu o zapewnienie wystarczającej długości i złożoności hasła. Takim minimum jest 80-bitowa entropia. Alternatywą ma być tzn. odgadywalność hasła, określana za pomocą dedykowanych algorytmów. W tym zakresie wskazano, że minimalna odporność hasła to 10¹⁴ prób jego łamania.

Przykładowa regulacja polityki haseł może brzmieć następująco:

1. Hasła muszą mieć co najmniej 12 znaków i zawierać duże i małe litery, cyfry oraz znaki specjalne z listy co najmniej 37 możliwych znaków specjalnych.

2. Hasła muszą mieć długość co najmniej 14 znaków, w tym duże i małe litery oraz cyfry, bez wymaganych znaków specjalnych.

3. Hasła oparte na słowach „narodowych” muszą mieć długość co najmniej 7 słów.

Jak konstruować hasła

Konstruując hasła warto kierować się wytyczną CNIL, zgodnie z którą:„Każda reguła konstruowania hasła prowadzi do ograniczenia przestrzeni możliwych wyborów, a więc do ograniczenia jego entropii”. Przede wszystkim w polityce haseł należy ograniczyć możliwość konstruowania haseł na bazie słów łatwych do zapamiętania lub ich pochodnych. Takie słowa są bowiem łatwe do złamania za pomocą metody brute force czyli atakuopartego na metodzie prób i błędów, których celem jest odgadnięcie danych.