Vaše organizace si již nemůže dovolit ponechávat bezpečnost hesel na jednotlivých členech týmu. I přes nejlepší úmysly mají lidé sklon k pohodlným, ale riskantním návykům, jako je ukládání přihlašovacích údajů v prohlížečích, tabulkách nebo na nalepovacích lístcích.
Silné zásady používání hesel stanovují jasný a vymahatelný standard pro to, jak jsou hesla v rámci Vaší organizace vytvářena, ukládána, sdílena, kontrolována a chráněna. Moderní zásady snižují riziko zneužití přihlašovacích údajů, podporují soulad s předpisy a vnášejí konzistenci do zabezpečení přístupu napříč systémy, týmy a pracovními postupy.
To není něco, co by si firmy mohly dovolit ignorovat. Zpráva společnosti Verizon o vyšetřování úniků dat z roku 2025 zjistila, že zneužití přihlašovacích údajů tvořilo 22 % hlavních počátečních vektorů útoků u potvrzených úniků informací. Náklady na špatné zabezpečení přihlašovacích údajů se projevují také v narušení provozu, vystavení se regulačním postihům, poškození pověsti a dlouhotrvajících výpadcích, které následují, když se týmy snaží obnovit ztracený nebo kompromitovaný přístup.
Kromě vytvoření zásad používání hesel potřebuje Vaše organizace systémy a nástroje, které usnadňují osvojení bezpečných návyků. Pravidla k zajištění bezpečnosti provozu nestačí, protože tam, kde existují překážky, si i dobře naladění profesionálové budou hledat zkratky. Cílem je učinit hygienu hesel cestou nejmenšího odporu.
Níže uvedená šablona zásad používání hesel může Vaší firmě pomoci držet se aktuálních osvědčených postupů a pokynů v souladu se standardy NIST. Můžete ji upravit do podoby interních zásad, bezpečnostní příručky nebo kontrolního mechanismu pro správu v organizacích, které potřebují něco praktičtějšího než jen obecné rady.
Šablona zásad používání hesel (vzor)
| Oddíl | Požadavek zásady (příklad formulace) | Poznámky k implementaci |
| Rozsah | Tyto zásady se vztahují na všechny zaměstnance, dodavatele, prodejce a třetí strany, kteří přistupují k firemním systémům nebo datům pomocí ověření na základě hesla. Zahrnují všechny systémy, včetně platformy SaaS, cloudových služeb, interních nástrojů, koncových bodů a administrativních prostředí. | Zajistěte, aby žádné systémy ani uživatelské skupiny nespadaly mimo rozsah. Zahrňte dodavatele a sdílená prostředí. |
| Odpovědnost uživatelů | Všichni uživatelé musí vytvářet, ukládat a spravovat hesla v souladu s těmito zásadami. Uživatelé nesmí sdílet přihlašovací údaje, opakovaně používat hesla ani je ukládat na neschválených umístěních. Podezření na kompromitované přihlašovací údaje musí být okamžitě nahlášeno. | Zahrňte do onboardingu a bezpečnostního školení. |
| Odpovědnost vedení | Manažeři musí zajistit včasnou komunikaci o onboardingu, změnách rolí a offboardingu, aby byla umožněna řádná správa přístupu a aktualizace přihlašovacích údajů. | Propojte s pracovními postupy HR. |
| Odpovědnost IT a zabezpečení | IT a bezpečnostní týmy odpovídají za vymáhání těchto zásad, schvalování nástrojů pro správu hesel, sledování shody a reagování na incidenty související s přihlašovacími údaji. | Interně přiřaďte jasné vlastnictví. |
| Délka hesla | Hesla musí splňovat následující minimální délky: 15 znaků (standardní účty), 16 znaků (privilegované účty) a 20 znaků (sdílené nebo servisní účty, pokud je to proveditelné). | Systémy by měly podporovat dlouhá hesla (ideálně až 64 znaků). |
| Vytváření hesel | Hesla musí být náhodně generována pomocí schváleného podnikového správce hesel organizace. Hesla vytvořená uživatelem na základě vzorů, osobních údajů nebo předvídatelných struktur nejsou povolena. | Proton Pass for Business může automatizovat vytváření silných, náhodných hesel. |
| Unikátnost hesel | Hesla musí být unikátní pro každý účet, systém a službu. Opakované používání napříč pracovními systémy, osobními účty nebo klientskými prostředími je přísně zakázáno. | Vymáhejte prostřednictvím nástrojů a školení, nikoli pouze paměti. |
| Testování síly hesel | Hesla nesmí být slabá, opakovaně používaná nebo dříve odhalená ve známých únicích informací. | Pokud je to možné, používejte systémy, které podporují detekci uniklých hesel. |
| Zakázané praktiky | Zakázáno je následující: opakované používání hesel; používání osobních údajů nebo údajů souvisejících se společností; předvídatelné vzory; ukládání hesel v prostém textu; sdílení přihlašovacích údajů prostřednictvím e-mailu, chatu nebo poznámek. | Ponechte tuto sekci explicitní, abyste odstranili nejednoznačnost. |
| Vícefaktorové ověření (MFA) | MFA musí být aktivováno u všech systémů, které ho podporují, zejména u e-mailu, poskytovatelů identit, vzdáleného přístupu, finančních systémů, platforem HR a administrativních účtů. | Upřednostněte nejprve vysoce rizikové systémy. |
| Ukládání hesel | Všechny přihlašovací údaje musí být uloženy pouze ve schváleném správci hesel organizace. Ukládání v prohlížečích nebo lokálních nástrojích není povoleno, pokud není centrálně spravováno a schváleno. | Proton Pass for Business poskytuje šifrované trezory s řízeným přístupem. |
| Zakázané způsoby ukládání | Hesla nesmí být ukládána v tabulkách, dokumentech, konceptech e-mailů, systémech pro správu požadavků, sdílených discích ani osobních poznámkách. | Tyto způsoby pravidelně auditujte, protože jsou velmi časté. |
| Sdílení hesel | Hesla nesmí být sdílena prostřednictvím neformálních kanálů. Tam, kde je sdílení vyžadováno, musí probíhat prostřednictvím schválených bezpečných systémů, které podporují řízení přístupu, auditování a odvolání přístupu. | Proton Pass for Business umožňuje bezpečné sdílení přihlašovacích údajů bez odhalení samotného hesla. |
| Sdílené účty | Sdílené nebo servisní přihlašovací údaje k účtu musí mít určeného vlastníka, omezený přístup, zabezpečené úložiště a musí být pravidelně kontrolovány. Přihlášovací údaje musí být obměněny, pokud dojde ke změnám personálu nebo při podezření, že byly kompromitovány. | Pokud je to možné, upřednostňujte individuální účty. |
| Školení a osvěta | Všichni uživatelé musí při nástupu a poté periodicky absolvovat školení o zabezpečení hesel a přihlašovacích údajů. Školení musí zahrnovat správu hesel, používání MFA, povědomí o phishingu a hlášení incidentů. | Udržujte školení praktická a aktuální. |
| Reakce na incidenty | Jakékoli podezření na kompromitované přihlašovací údaje nebo jejich potvrzené zneužití musí být okamžitě nahlášeno. Dotčené přihlašovací údaje musí být resetovány, relace ukončeny a přístup přezkoumán. Incidenty musí být zdokumentovány. | Rychlost reakce je důležitější než dokonalost. |
| Požadavky na hlášení | Uživatelé musí nahlásit podezření na únik přihlašovacích údajů prostřednictvím určeného ohlašovacího kanálu. Z nahlášení v dobré víře nebudou vyvozeny žádné disciplinární důsledky. | Podporuje včasné hlášení. |
| Sledování a logování | Aktivita ověření musí být logována, kde je to proveditelné, včetně pokusů o přihlášení, změn přihlašovacích údajů a privilegovaného přístupu. Logy by měly být pravidelně kontrolovány z hlediska anomálií. | Zaměřte se nejprve na vysoce rizikové systémy. |
| Ukončení přístupu a odvolání oprávnění | Při změně role nebo ukončení pracovního poměru musí být přístup okamžitě odebrán. Sdílené přihlašovací údaje musí být zkontrolovány a v případě potřeby obměněny. | Zcela zásadní, jelikož se jedná o jeden z nejčastějších slabých bodů organizací. |
| Soulad s předpisy | Tato zásada podporuje soulad organizace s uznávanými rámci, jako jsou požadavky na řízení přístupu dle norem NIST a ISO 27001. | Užitečné pro audity a správu řízení. |
| Vymáhání | Nedodržení této zásady může v závislosti na závažnosti vést k přeškolení, omezení přístupu nebo disciplinárnímu řízení. | Uplatňujte konzistentně. |
| Cyklus revize | Tato zásada musí být revidována minimálně jednou ročně nebo po významných změnách v systémech, rizicích či regulačních požadavcích. | Určete odpovědnou osobu pro aktualizace. |
Co jsou zásady používání hesel? Definice, účel a cíle
Zásady používání hesel jsou formální soubor pravidel, který definuje, jak jsou přihlašovací údaje vytvářeny, spravovány, ukládány a chráněny v rámci systémů organizace.
Koncept zásad používání hesel zní jednoduše, ale dopad je široký. Jde o mnohem víc než jen nařízení používat firemního správce hesel pro pracovní přihlašovací údaje. V moderních organizacích slouží zásady používání hesel jako základ bezpečnosti identity.
Bez konzistentní zásady upravující nakládání s přihlašovacími údaji napříč systémy mají postupy při práci s hesly tendenci k roztříštěnosti a organizace postupně ztrácejí přehled o tom, jak je přístup skutečně spravován.
Účel silných zásad používání hesel
Jasně definované zásady používání hesel řeší bezpečnostní mezery tím, že stanovují jasná očekávání ohledně toho, jak by se mělo s přihlašovacími údaji v celé organizaci nakládat. Stanovují konzistentní standardy pro vytváření, ukládání, sdílení a správu životního cyklu hesel.
Zásady používání hesel hrají také důležitou roli v řízení a dodržování předpisů. Bezpečnostní rámce, jako jsou pokyny NIST pro digitální identitu(nové okno) a standardy jako ISO 27001(nové okno), zdůrazňují význam silných postupů ověření jako součásti moderního řízení přístupu.
Od organizací, které nakládají s citlivými daty, zejména s osobními údaji, finančními záznamy nebo chráněnými obchodními informacemi, se stále častěji očekává, že prokážou, že přístup k těmto systémům se řídí zdokumentovanými bezpečnostními kontrolami.
Prostřednictvím zásad používání hesel vaše organizace definuje minimální požadavky na vytváření, ukládání, sdílení a správu hesel používaných k přístupu do firemních systémů, služeb, zařízení, aplikací a k datům.
Co by měly zásady používání hesel zajišťovat?
Dokument zásad používání hesel má za cíl:
- Snížit počet bezpečnostních incidentů souvisejících s hesly
- Zabránit opakovanému používání hesel a nezabezpečeným postupům při jejich ukládání
- Vyžadovat bezpečné postupy při vytváření a správě hesel
- Podporovat zabezpečený přístup napříč zaměstnanci, dodavateli a systémy
- Posílit připravenost na audit a správu přístupu
- Definovat postupy reakce pro případ kompromitovaných přihlašovacích údajů
Společně tyto cíle pomáhají zajistit, aby se na bezpečnost hesel pohlíželo jako na provozní standard, nikoli pouze jako na neformální očekávání.
Zásady používání hesel: rozsah, role a odpovědnosti
Silné zásady používání hesel by měly jasně stanovovat dvě věci. Zaprvé by měly přesně definovat, kteří uživatelé, systémy a data musí tyto zásady dodržovat.
Zadruhé by měly ujasnit, kdo je odpovědný za dodržování, implementaci a udržování těchto standardů v rámci celé vaší organizace.
Definujte rozsah svých zásad používání hesel
V moderních organizacích se přístup málokdy omezuje pouze na zaměstnance na plný úvazek v interních sítích. Smluvní partneři, prodejci a poskytovatelé služeb mohou rovněž vyžadovat přístup k firemním systémům, proto by se zásady měly vztahovat na každého, kdo přichází do styku s firemními systémy nebo daty prostřednictvím ověření založeného na hesle.
Měly by se také uplatňovat v celém technologickém prostředí, včetně:
- Cloudové platformy
- Nástroje SaaS
- Interní systémy
- Vývojová prostředí
- Administrativní konzole
- Sdílené provozní účty
To je důležité, protože útočníci při hledání vstupních bodů zřídkakdy rozlišují mezi primárními a sekundárními systémy.
Definujte role a odpovědnosti v rámci svých zásad pro hesla
Bez jasného vlastnictví se správa hesel stává fragmentovanou. Zaměstnanci předpokládají, že IT řeší bezpečnost automaticky, zatímco IT předpokládá, že uživatelé nezávisle dodržují osvědčené postupy. Efektivní zabezpečení přihlašovacích údajů vyžaduje koordinaci v rámci celé vaší organizace.
Zatímco zaměstnanci a dodavatelé udržují bezpečnost hesel při každodenní interakci se systémy, manažeři dohlížejí na správu přístupu během přijímání zaměstnanců, změn rolí a ukončování pracovního poměru. Týmy IT a bezpečnosti budou zodpovědné za implementaci technických kontrol a sledování souladu s předpisy. Vlastníci systémů budou rovněž zajišťovat prosazování standardů v rámci aplikací a prostředí, které spravují.
Pokyny zásad pro hesla týkající se minimální délky hesla a požadavků na entropii
Délka hesla je jedním z nejdůležitějších faktorů určujících sílu přihlašovacích údajů. Delší hesla dramaticky zvyšují počet možných kombinací, které by útočník musel otestovat během útoku hrubou silou.
Ve skutečnosti NIST doporučuje(nové okno) upřednostňovat délku hesla před přísnými pravidly pro jeho složení. Namísto nucení uživatelů k používání specifických kombinací symbolů, čísel a velkých písmen se moderní zásady zaměřují na zajištění dostatečné délky hesel a jejich prověřování proti známým kompromitovaným přihlašovacím údajům.
Organizace by proto měly také zajistit, aby jejich systémy podporovaly delší a složitější hesla všude tam, kde je to technicky proveditelné. Takový postup umožní bezpečnostním týmům postupem času přijímat silnější standardy pro přihlašovací údaje a zajistí, že vaše organizace bude připravena splnit vyvíjející se bezpečnostní požadavky v budoucnu.
Silné heslo by mělo splňovat nebo překračovat tyto klíčové požadavky:
- Dostatečná délka pro odolnost vůči útokům hrubou silou a automatizovaným pokusům o prolomení
- Unikátnost pro jeden účet nebo službu, což zabraňuje opakovanému použití přihlašovacích údajů v různých systémech
- Obtížná uhodnutelnost, vyhýbání se osobním informacím, firemním údajům nebo předvídatelným vzorcům
- Náhodnost nebo vysoká nepředvídatelnost, ideálně vygenerované schváleným správcem hesel
- Absence v předchozích známých únicích informací nebo v seznamech běžných hesel
Upozorňujeme, že hesla založená na jménech, narozeninách, firemních termínech nebo jednoduchých vzorech na klávesnici lze často rychle prolomit pomocí automatizovaných nástrojů pro lámání hesel, a to bez ohledu na jejich délku. Přečtěte si našeho podrobného průvodce požadavky na silná hesla pro jednotlivce i firmy.
Náhodnost a složitost hesel
Moderní bezpečnostní rámce doporučují generovat hesla náhodně, místo aby po uživatelích vyžadovaly jejich manuální vymýšlení. Náhodná hesla vygenerovaná schválenými nástroji pro správu hesel poskytují výrazně silnější ochranu, protože postrádají předvídatelné vzorce a mohou být vytvořena v délkách, které si nelze zapamatovat.
Můžete například využít zabezpečený generátor hesel a postupy pro bezpečnou správu přihlašovacích údajů integrované v Proton Pass. Tyto nástroje společně pomáhají generovat silná, nepředvídatelná hesla a zároveň řeší běžné výzvy spojené s ukládáním, sdílením a správou životního cyklu hesel.
Do zásad pro hesla lze zahrnout následující minimální požadavky, které odradí od používání slabých nebo opakovaně používaných hesel:
- Standardní hesla k uživatelským účtům musí mít délku alespoň 15 znaků.
- Hesla k privilegovaným nebo administrátorským účtům musí mít délku alespoň 16 znaků.
- Přihlašovací údaje ke sdíleným nebo servisním účtům by měly mít délku alespoň 20 znaků, pokud je to technicky proveditelné.
- Systémy by měly podporovat hesla o délce alespoň 64 znaků, pokud je to možné.
- Dlouhé heslové fráze lze použít tam, kde jsou podporovány a kde je to vhodné.
- Hesla musí před použitím splňovat požadavky organizace na schválenou sílu a prověřování.
Používání unikátních hesel pro každý systém nebo službu
Opakované používání hesel je jednou z nejčastějších příčin bezpečnostních incidentů založených na přihlašovacích údajích. Pokud se stejné heslo používá ve více službách, může jediný únik informací odhalit přístup k několika systémům najednou.
Útočníci toto chování běžně zneužívají pomocí techniky známé jako credential stuffing, kdy jsou ukradená uživatelská jména a hesla z jedné služby automaticky testována na jiných platformách.
Z tohoto důvodu je unikátnost nesmlouvavým požadavkem. Každý účet, služba a systém by měly mít vlastní heslo, které se nikdy nepoužívá jinde.
Správa desítek nebo stovek unikátních hesel by byla bez podpory nástrojů pro bezpečné spravování hesel nereálná. Nástroje pro firemní správu hesel činí tento požadavek praktickým díky automatickému generování silných hesel a jejich bezpečnému ukládání, což zaměstnancům umožňuje používat unikátní přihlašovací údaje, aniž by se museli spoléhat na vlastní paměť.
Požadavky na vícefázové ověření (MFA)
Vícefázové ověření (MFA) je jedním z nejúčinnějších způsobů, jak snížit riziko neoprávněného přístupu, zejména v prostředích, kde mohou být přihlašovací údaje vystaveny phishingu, malwaru(nové okno) nebo externím únikům informací.
MFA funguje tak, že vyžaduje, aby uživatelé před získáním přístupu k účtu ověřili svou identitu prostřednictvím alespoň dvou nezávislých faktorů. Mezi ně patří:
- Něco, co uživatel zná (heslo)
- Něco, co má (například bezpečnostní klíč, ověřovací aplikace nebo mobilní zařízení)
- Něco, čím je (biometrické ověření, jako je otisk prstu nebo rozpoznání obličeje).
Vzhledem k tomu, že útočníci mají zřídkakdy přístup ke všem těmto faktorům současně, MFA výrazně snižuje pravděpodobnost, že samotné ukradené přihlašovací údaje mohou být použity ke kompromitaci účtu.
Pokyny organizací, jako jsou NIST a CISA, důrazně doporučují(nové okno) používat vícefázové ověření všude tam, kde se používá přístup založený na hesle, zejména u systémů, které obsahují citlivá data nebo poskytují administrativní oprávnění.
Zahrnutí MFA do vašich zásad pro hesla
Vaše organizace může dále posílit zavádění MFA používáním nástrojů, které usnadňují nasazení a správu dvoufázového ověření napříč účty. Například Proton Pass dokáže ukládat a automaticky vyplňovat časově omezená jednorázová hesla (TOTP) spolu s uloženými přihlašovacími údaji, což zjednodušuje přihlašovací procesy při zachování šifrování ověřovacích dat.
Pro organizace, které dávají přednost oddělení ověřovacích faktorů, nabízí Proton také specializovanou aplikaci Proton Authenticator, která generuje bezpečné šestimístné ověřovací kódy a dokáže je synchronizovat napříč zařízeními pomocí koncového šifrování. Tento autentizátor funguje offline a má otevřený zdrojový kód, což organizacím umožňuje implementovat MFA napříč firemními účty při zachování transparentnosti a silné ochrany soukromí.
Postupy pro bezpečné sdílení hesel
Ačkoli mnoho bezpečnostních pokynů doporučuje se sdílení hesel zcela vyhnout, reálné firemní prostředí ho stále vyžaduje. Servisní účty, přístup pro dodavatele a nouzové postupy mohou příležitostně vyžadovat, aby ke stejným přihlašovacím údajům přistupovalo více oprávněných uživatelů.
Pokud ke sdílení dochází neformálně, například prostřednictvím e-mailu, chatu nebo ústní komunikace, přihlašovací údaje jsou vystaveny riziku a lze je jen obtížně kontrolovat. Jakmile jsou sdíleny těmito kanály, obvykle neexistuje spolehlivý způsob, jak sledovat, kdo má k nim přístup, nebo jej později odvolat.
Zásady hesel by proto měly definovat, jak a kdy je sdílení povoleno. Ve většině organizací by k němu mělo docházet pouze prostřednictvím schválených nástrojů pro správu přihlašovacích údajů, které poskytují kontrolu přístupu, audit a možnost v případě potřeby přístup odvolat.
Postupy pro ukončení pracovního poměru a odvolání přístupu
Při změně role zaměstnance, odchodu z organizace nebo ukončení dodavatelských vztahů musí být přístup neprodleně přezkoumán a upraven. Neodvolání přihlašovacích údajů včas je jedním z nejčastějších zdrojů neoprávněného přístupu.
Silná zásada hesel by měla být integrována s procesy nástupu a odchodu zaměstnanců a zajišťovat, aby přístupová oprávnění byla okamžitě aktualizována tak, aby odrážela změny rolí nebo odchody, včetně deaktivace účtů, rotace sdílených přihlašovacích údajů a odvolání nepotřebného přístupu do systému.
Pokud mělo k účtu sdílené služby přístup více osob, mělo by být heslo změněno (rotováno) ihned po personálních změnách, aby se zabránilo bývalým zaměstnancům nebo dodavatelům v zachování přístupu po deaktivaci jejich účtů.
Překlenutí propasti mezi zásadami hesel a lidskými návyky
Zásady hesel jsou účinné pouze tehdy, pokud je lidé dodržují.
Ve většině organizací nedochází k selháním proto, že by zásady chyběly, ale proto, že zásady nejsou začleněny do každodenních pracovních postupů. Zaměstnanci si hledají zkratky, když jsou procesy nejasné, nástroje nedostatečné nebo očekávání nejsou vymáhána. Při správné implementaci (a v kombinaci s podnikovým správcem hesel) nahradí silná zásada hesel neformální návyky konzistentními kontrolami, sníží riziko spojené s přihlašovacími údaji a učiní bezpečnou správu přístupu součástí každodenního provozu, nikoli jen dodatečnou myšlenkou.
