Twoja organizacja nie może już sobie pozwolić na pozostawienie bezpieczeństwa haseł w rękach poszczególnych członków zespołu. Mimo najlepszych chęci, ludzie domyślnie wybierają wygodne, ale ryzykowne nawyki, takie jak zapisywanie danych logowania w przeglądarkach, arkuszach kalkulacyjnych lub na przyklejanych karteczkach.
Silna zasada haseł ustanawia jasny, możliwy do wyegzekwowania standard tworzenia, przechowywania, udostępniania, sprawdzania i ochrony haseł w całej Twojej organizacji. Nowoczesna zasada zmniejsza ryzyko związane z danymi logowania, wspiera zgodność z przepisami i zapewnia spójność bezpieczeństwa dostępu w systemach, zespołach i procesach roboczych.
To nie jest coś, co firmy mogą zignorować. Raport Verizon z 2025 roku dotyczący dochodzeń w sprawie naruszeń danych wykazał, że nadużycia danych logowania stanowiły 22% głównych wektorów ataków w potwierdzonych naruszeniach. Koszt słabego bezpieczeństwa danych logowania objawia się również w zakłóceniach operacyjnych, narażeniu na kary regulacyjne, uszkodzeniu reputacji i przedłużających się przestojach, które następują, gdy zespoły próbują odzyskać utracony lub zagrożony dostęp.
Oprócz stworzenia zasady haseł, Twoja organizacja potrzebuje systemów i narzędzi, które ułatwią przyjęcie bezpiecznych nawyków. Same reguły nie wystarczą, aby zapewnić bezpieczeństwo operacyjne, ponieważ tam, gdzie pojawiają się utrudnienia, nawet specjaliści o dobrych intencjach będą szukać skrótów. Celem jest sprawienie, by higiena haseł była ścieżką najmniejszego oporu.
Poniższy szablon zasady haseł pomoże Twojej firmie trzymać się aktualnych najlepszych praktyk i wytycznych zgodnych z NIST. Możesz go zaadaptować jako wewnętrzną zasadę, podręcznik bezpieczeństwa lub kontrolę zarządzania dla organizacji, które potrzebują czegoś bardziej praktycznego niż ogólne porady.
Szablon zasady haseł (przykład)
| Sekcja | Wymóg zasady (przykładowy opis) | Uwagi dotyczące wdrożenia |
| Zakres | Niniejsza zasada dotyczy wszystkich pracowników, kontrahentów, dostawców i osób trzecich, które uzyskują dostęp do systemów lub danych firmy za pomocą uwierzytelniania opartego na haśle. Obejmuje ona wszystkie systemy, w tym platformy SaaS, usługi w chmurze, narzędzia wewnętrzne, punkty końcowe i środowiska administracyjne. | Upewnij się, że żadne systemy ani grupy użytkowników nie wykraczają poza zakres. Uwzględnij dostawców i środowiska współdzielone. |
| Obowiązki użytkownika | Wszyscy użytkownicy muszą tworzyć hasła, zarządzać nimi i je przechowywać zgodnie z niniejszą zasadą. Użytkownikom nie wolno udostępniać danych logowania, używać ponownie tych samych haseł ani przechowywać ich w niezatwierdzonych lokalizacjach. Podejrzenie, że dane logowania są zagrożone, należy natychmiast zgłosić. | Uwzględnij w procesie wdrażania i szkoleniach z zakresu bezpieczeństwa. |
| Obowiązki kierownictwa | Menedżerowie muszą zapewnić terminową komunikację dotyczącą wdrażania pracowników, zmian stanowisk i odchodzenia z pracy, aby umożliwić właściwą kontrolę dostępu i aktualizację danych logowania. | Powiąż z procesami kadrowymi (HR). |
| Obowiązki IT i ds. bezpieczeństwa | Zespoły IT i ds. bezpieczeństwa są odpowiedzialne za egzekwowanie niniejszej zasady, zatwierdzanie narzędzi do zarządzania hasłami, monitoring zgodności oraz reagowanie na incydenty związane z danymi logowania. | Wyznacz jasną odpowiedzialność wewnętrzną. |
| Długość hasła | Hasła muszą spełniać następujące minimalne długości: 15 znaków (konta standardowe), 16 znaków (konta uprzywilejowane) oraz 20 znaków (konta współdzielone lub serwisowe, o ile to możliwe). | Systemy powinny wspierać długie hasła (najlepiej do 64 znaków). |
| Tworzenie haseł | Hasła muszą być generowane losowo przy użyciu zatwierdzonego przez organizację menedżera haseł dla firm. Hasła tworzone przez użytkownika w oparciu o schematy, dane osobowe lub przewidywalne struktury są niedozwolone. | Proton Pass for Business pozwala zautomatyzować tworzenie silnych, losowych haseł. |
| Unikalność haseł | Hasła muszą być unikalne dla każdego konta, systemu i usługi. Ponowne używanie haseł w systemach służbowych, kontach osobistych lub środowiskach klientów jest surowo wzbronione. | Egzekwuj poprzez narzędzia i szkolenia, a nie tylko polegając na pamięci pracowników. |
| Testowanie siły hasła | Hasła nie mogą być słabe, używane ponownie ani wcześniej ujawnione w znanych naruszeniach danych. | Tam, gdzie to możliwe, używaj systemów, które wspierają wykrywanie haseł pochodzących z wycieków. |
| Praktyki zabronione | Zabronione są: ponowne używanie haseł; używanie terminów osobistych lub związanych z firmą; przewidywalne wzorce; przechowywanie haseł jako zwykły tekst; udostępnianie danych logowania pocztą e-mail, na czacie lub w notatkach. | Sformułuj tę sekcję w sposób jednoznaczny, aby uniknąć niejasności. |
| Uwierzytelnianie wieloskładnikowe (MFA) | MFA musi być włączone we wszystkich systemach, które je wspierają, w szczególności w poczcie e-mail, u dostawców tożsamości, w dostępie zdalnym, systemach finansowych, platformach kadrowych (HR) i kontach administracyjnych. | W pierwszej kolejności priorytetowo traktuj systemy wysokiego ryzyka. |
| Przechowywanie haseł | Wszystkie dane logowania muszą być przechowywane wyłącznie w zatwierdzonym przez organizację menedżerze haseł. Przechowywanie w przeglądarkach lub narzędziach lokalnych jest niedozwolone, chyba że są one zarządzane centralnie i zatwierdzone. | Proton Pass for Business zapewnia zaszyfrowane sejfy z kontrolowanym dostępem. |
| Zabronione metody przechowywania | Haseł nie wolno przechowywać w arkuszach kalkulacyjnych, dokumentach, szkicach wiadomości, systemach zgłoszeniowych, współdzielonych dyskach ani w notatkach osobistych. | Regularnie przeprowadzaj audyty pod tym kątem, ponieważ są to bardzo powszechne praktyki. |
| Udostępnianie haseł | Haseł nie wolno udostępniać kanałami nieformalnymi. Jeśli udostępnienie jest wymagane, musi odbywać się za pośrednictwem zatwierdzonych, bezpiecznych systemów, które wspierają kontrolę dostępu, audyt i cofanie uprawnień. | Proton Pass for Business umożliwia bezpieczne udostępnianie danych logowania bez ujawniania samego hasła. |
| Konta współdzielone | Dane logowania do kont współdzielonych lub usługowych muszą mieć wyznaczonego właściciela, ograniczony dostęp, bezpieczną przestrzeń dyskową oraz podlegać regularnym przeglądom. Dane logowania muszą być zmieniane w przypadku zmian kadrowych lub podejrzenia, że bezpieczeństwo zostało zagrożone. | W miarę możliwości preferuj konta indywidualne. |
| Szkolenia i świadomość | Wszyscy użytkownicy muszą przejść szkolenie z zakresu bezpieczeństwa haseł i danych logowania podczas onboardingu, a następnie okresowo. Szkolenie musi obejmować zarządzanie hasłami, korzystanie z MFA, świadomość w zakresie prób wyłudzenia informacji oraz zgłaszanie incydentów. | Dbaj o to, by szkolenia były praktyczne i aktualne. |
| Reagowanie na incydenty | Każde podejrzenie lub potwierdzenie, że dane logowania są zagrożone, musi zostać natychmiast zgłoszone. Dane logowania, których to dotyczy, muszą zostać zresetowane, sesje unieważnione, a dostęp zweryfikowany. Incydenty muszą być dokumentowane. | Szybkość reakcji ma większe znaczenie niż perfekcja. |
| Wymogi dotyczące zgłaszania | Użytkownicy muszą zgłaszać podejrzenie ujawnienia danych logowania za pośrednictwem wyznaczonego kanału zgłoszeniowego. Zgłoszenia w dobrej wierze nie będą skutkować żadnymi działaniami dyscyplinarnymi. | Zachęca do wczesnego zgłaszania. |
| Monitorowanie i logi | Aktywność związana z uwierzytelnianiem musi być rejestrowana w logach tam, gdzie to możliwe, w tym próby logowania, zmiany danych logowania oraz dostęp uprzywilejowany. Logi powinny być okresowo przeglądane pod kątem anomalii. | W pierwszej kolejności skup się na systemach wysokiego ryzyka. |
| Offboarding i unieważnianie dostępu | W przypadku zmiany stanowiska lub rozwiązania umowy dostęp musi zostać natychmiast odebrany. Współdzielone dane logowania muszą zostać sprawdzone i w razie potrzeby zmienione. | Kluczowe, ponieważ jest to jeden z najczęstszych słabych punktów w organizacjach. |
| Zgodność z przepisami | Ta zasada wspiera zgodność organizacji z uznanymi standardami, takimi jak wymogi kontroli dostępu NIST oraz ISO 27001. | Przydatne podczas audytów i zarządzania. |
| Egzekwowanie | Nieprzestrzeganie tej zasady może skutkować ponownym szkoleniem, ograniczeniem dostępu lub działaniami dyscyplinarnymi, w zależności od powagi naruszenia. | Zastosuj konsekwentnie. |
| Cykl przeglądu | Ta zasada musi być przeglądana co najmniej raz w roku lub po wprowadzeniu istotnych zmian w systemach, ryzykach lub wymogach regulacyjnych. | Wyznacz osobę odpowiedzialną za aktualizacje. |
Co to jest zasada haseł? Definicja, cel i założenia
Zasada haseł to formalny zestaw reguł, który definiuje, w jaki sposób dane logowania są tworzone, zarządzane, przechowywane i chronione w systemach organizacji.
Koncepcja zasady haseł brzmi prosto, ale jej wpływ jest szeroki. To znacznie więcej niż tylko nakaz korzystania z biznesowego menadżera haseł dla firmowych danych logowania. W nowoczesnych organizacjach zasady haseł stanowią fundament bezpieczeństwa tożsamości.
Bez spójnej zasady określającej sposób postępowania z danymi logowania w różnych systemach, praktyki dotyczące haseł stają się rozproszone, a organizacje stopniowo tracą wgląd w to, jak faktycznie zarządzany jest dostęp.
Cel silnej zasady haseł
Dobrze zdefiniowana zasada haseł eliminuje luki w bezpieczeństwie poprzez określenie jasnych oczekiwań co do sposobu postępowania z danymi logowania w Twojej organizacji. Ustanawia ona spójne standardy tworzenia, przechowywania i udostępniania haseł oraz zarządzania cyklem ich życia.
Zasady haseł odgrywają również ważną rolę w zarządzaniu i zgodności. Wytyczne dotyczące bezpieczeństwa, takie jak NIST Digital Identity Guidelines(nowe okno) oraz standardy takie jak ISO 27001(nowe okno), podkreślają znaczenie silnych praktyk uwierzytelniania jako elementu nowoczesnej kontroli dostępu.
Od organizacji przetwarzających wrażliwe dane, w szczególności dane osobowe, dokumentację finansową lub zastrzeżone informacje biznesowe, coraz częściej oczekuje się wykazania, że dostęp do tych systemów jest regulowany przez udokumentowane mechanizmy kontroli bezpieczeństwa.
Dzięki zasadzie haseł Twoja organizacja określa minimalne wymagania dotyczące tworzenia, przechowywania, udostępniania i zarządzania hasłami używanymi do uzyskiwania dostępu do systemów firmowych, usług, urządzeń, aplikacji i danych.
Co powinna zapewniać zasada haseł?
Dokument zasady haseł ma na celu:
- Zmniejszenie liczby incydentów bezpieczeństwa związanych z hasłami
- Zapobieganie ponownemu używaniu haseł i niebezpiecznym praktykom ich przechowywania
- Wymuszanie bezpiecznych praktyk tworzenia haseł i zarządzania nimi
- Wsparcie bezpiecznego dostępu dla pracowników, dostawców i systemów
- Wzmocnienie gotowości do audytu i zarządzania dostępem
- Zdefiniowanie procedur reagowania w przypadku danych logowania, których bezpieczeństwo zostało zagrożone
Wszystkie te cele pomagają zapewnić, że bezpieczeństwo haseł jest traktowane jako standard operacyjny, a nie tylko nieformalne oczekiwanie.
Zasada haseł: zakres, stanowiska i odpowiedzialność
Silna zasada haseł powinna jasno precyzować dwie kwestie. Po pierwsze, powinna dokładnie określać, którzy użytkownicy, systemy i dane muszą podlegać tej zasadzie.
Po drugie, powinna wyjaśniać, kto jest odpowiedzialny za przestrzeganie, wdrażanie i utrzymywanie tych standardów w całej Twojej organizacji.
Zdefiniuj zakres swojej zasady haseł
W nowoczesnych organizacjach dostęp rzadko ogranicza się do pracowników etatowych w sieciach wewnętrznych. Kontrahenci i dostawcy usług mogą również wymagać dostępu do systemów korporacyjnych, dlatego zasada powinna obejmować każdego, kto wchodzi w interakcję z systemami lub danymi firmy poprzez uwierzytelnianie oparte na haśle.
Powinna ona również mieć zastosowanie w całym środowisku technologicznym, w tym w:
- Platformy w chmurze
- Narzędzia SaaS
- Systemy wewnętrzne
- Środowiska programistyczne
- Konsole administracyjne
- Udostępnione konta operacyjne
To ważne, ponieważ atakujący rzadko rozróżniają systemy główne i pomocnicze podczas szukania punktów wejścia.
Określ stanowiska i zakresy odpowiedzialności w ramach swojej zasady dotyczącej haseł
Bez wyraźnej odpowiedzialności zarządzanie hasłami staje się rozproszone. Pracownicy zakładają, że dział IT zajmuje się bezpieczeństwem automatycznie, podczas gdy IT zakłada, że użytkownicy samodzielnie stosują najlepsze praktyki. Skuteczne zabezpieczenie danych logowania wymaga koordynacji w całej Twojej organizacji.
Podczas gdy pracownicy i kontrahenci dbają o bezpieczeństwo haseł w codziennych kontaktach z systemami, menedżerowie nadzorują zarządzanie dostępem podczas wdrażania nowych osób, zmian stanowisk i odchodzenia z pracy. Zespoły IT i ds. bezpieczeństwa będą odpowiedzialne za wdrażanie technicznych środków kontroli i monitoring zgodności. Właściciele systemów dopilnują również przestrzegania standardów w aplikacjach i środowiskach, którymi zarządzają.
Wytyczne dotyczące zasady haseł w zakresie minimalnej długości haseł i wymogów dotyczących entropii
Długość hasła to jeden z najważniejszych czynników określających siłę danych logowania. Dłuższe hasła radykalnie zwiększają liczbę możliwych kombinacji, które atakujący musiałby przetestować podczas ataku brute-force.
W rzeczywistości NIST zaleca(nowe okno) priorytetowe traktowanie długości hasła nad rygorystycznymi zasadami dotyczącymi jego składu. Zamiast zmuszać użytkowników do używania określonych kombinacji symboli, cyfr i wielkich liter, nowoczesne zasady skupiają się na zapewnieniu, że hasła są odpowiednio długie i sprawdzane pod kątem znanych, zagrożonych danych logowania.
W związku z tym organizacje powinny również dbać o to, aby ich systemy obsługiwały dłuższe, bardziej złożone hasła wszędzie tam, gdzie jest to technicznie wykonalne. Takie działanie pozwala zespołom ds. bezpieczeństwa na wdrażanie silniejszych standardów danych logowania z upływem czasu i daje pewność, że Twoja organizacja jest przygotowana na przyszłe, ewoluujące wymogi bezpieczeństwa.
Silne hasło powinno spełniać lub przewyższać następujące kluczowe wymogi:
- Wystarczająca długość, aby odeprzeć ataki brute-force i zautomatyzowane próby łamania haseł
- Unikalność dla pojedynczego konta lub usługi, co zapobiega ponownemu użyciu danych logowania w różnych systemach
- Trudność do odgadnięcia – unikanie danych osobowych, nawiązań do firmy lub przewidywalnych wzorców
- Losowość lub wysoka nieprzewidywalność, najlepiej przy użyciu hasła wygenerowanego przez zatwierdzony menedżer haseł
- Brak wcześniejszego wycieku w znanych naruszeniach danych lub obecności na popularnych listach haseł
Pamiętaj, że hasła oparte na imionach, datach urodzenia, terminach firmowych lub prostych wzorach klawiatury często można szybko złamać za pomocą zautomatyzowanych narzędzi, niezależnie od ich długości. Zapoznaj się z naszym szczegółowym przewodnikiem na temat wymogów dotyczących silnych haseł zarówno dla osób prywatnych, jak i firm.
Losowość i złożoność hasła
Nowoczesne standardy bezpieczeństwa zalecają losowe generowanie haseł zamiast proszenia użytkowników o ich ręczne wymyślanie. Losowe hasła generowane przez zatwierdzone narzędzia do zarządzania hasłami zapewniają znacznie silniejszą ochronę, ponieważ pozwalają uniknąć przewidywalnych wzorców i mogą mieć długość, która jest niemożliwa do zapamiętania.
Możesz na przykład skorzystać z bezpiecznego generatora haseł i praktyk bezpiecznego zarządzania danymi logowania wbudowanych w Proton Pass. Narzędzia te pomagają generować silne, nieprzewidywalne hasła, jednocześnie rozwiązując typowe wyzwania związane z ich przechowywaniem w przestrzeni dyskowej, udostępnianiem i zarządzaniem cyklem życia.
Poniższe minimalne wymogi można uwzględnić w zasadzie dotyczącej haseł, aby zniechęcić do stosowania słabych lub powtarzających się haseł:
- Standardowe hasła do kont użytkowników muszą mieć co najmniej 15 znaków.
- Hasła do kont uprzywilejowanych lub administratorów muszą mieć co najmniej 16 znaków.
- Dane logowania do kont współdzielonych lub usługowych powinny mieć co najmniej 20 znaków, jeśli jest to technicznie możliwe.
- Systemy powinny w miarę możliwości obsługiwać hasła o długości co najmniej 64 znaków.
- Tam, gdzie jest to obsługiwane i stosowne, można używać długich haseł.
- Przed użyciem hasła muszą spełniać zatwierdzone przez organizację wymogi dotyczące siły i weryfikacji.
Używanie unikalnych haseł dla każdego systemu lub usługi
Ponowne używanie haseł to jedna z najczęstszych przyczyn incydentów bezpieczeństwa związanych z danymi logowania. Gdy to samo hasło jest używane w wielu usługach, pojedyncze naruszenie może naraz odsłonić dostęp do kilku systemów.
Atakujący rutynowo wykorzystują to zachowanie, stosując technikę znaną jako credential stuffing, w której skradzione nazwy użytkownika i hasła z jednej usługi są automatycznie testowane na innych platformach.
Z tego powodu unikalność jest wymogiem niepodlegającym negocjacjom. Każde konto, usługa i system powinny mieć własne hasło, którego nigdy nie używa się nigdzie indziej.
Zarządzanie dziesiątkami lub setkami unikalnych haseł byłoby nierealne bez wsparcia bezpiecznych narzędzi do zarządzania hasłami. Narzędzia do zarządzania hasłami w przedsiębiorstwach sprawiają, że wymóg ten staje się praktyczny, automatycznie generując silne hasła i przechowując je w bezpieczny sposób, co pozwala pracownikom zachować unikalne dane logowania bez konieczności polegania na pamięci.
Wymogi dotyczące uwierzytelniania wieloskładnikowego (MFA)
Uwierzytelnianie wieloskładnikowe (MFA) to jeden z najskuteczniejszych sposobów na zmniejszenie ryzyka nieautoryzowanego dostępu, szczególnie w środowiskach, w których dane logowania mogą zostać ujawnione poprzez phishing, złośliwe oprogramowanie(nowe okno) lub zewnętrzne naruszenia danych.
MFA działa poprzez wymaganie od użytkowników zweryfikowania swojej tożsamości za pomocą co najmniej dwóch niezależnych czynników przed uzyskaniem dostępu do konta. Obejmują one:
- Coś, co użytkownik zna (hasło)
- Coś, co użytkownik posiada (np. klucz bezpieczeństwa, aplikacja uwierzytelniająca lub urządzenie mobilne)
- Coś, czym są (uwierzytelnianie biometryczne, takie jak odcisk palca lub rozpoznawanie twarzy).
Ponieważ atakujący rzadko mają dostęp do wszystkich tych czynników jednocześnie, MFA znacznie zmniejsza prawdopodobieństwo, że same skradzione dane logowania wystarczą do przejęcia zagrożonego konta.
Wytyczne organizacji takich jak NIST i CISA zdecydowanie zachęcają(nowe okno) do stosowania uwierzytelniania wieloskładnikowego wszędzie tam, gdzie używany jest dostęp oparty na haśle, szczególnie w przypadku systemów zawierających wrażliwe dane lub zapewniających uprawnienia administracyjne.
Wprowadzenie MFA do Twojej zasady haseł
Twoja organizacja może dodatkowo wzmocnić wdrażanie MFA, korzystając z narzędzi, które ułatwiają wdrożenie uwierzytelniania dwustopniowego i zarządzanie nim na różnych kontach. Na przykład Proton Pass może przechowywać i automatycznie uzupełniać oparte na czasie jednorazowe hasła (TOTP) wraz z zapisanymi danymi logowania, upraszczając proces logowania przy jednoczesnym zachowaniu zaszyfrowanych danych uwierzytelniających.
Dla organizacji, które wolą rozdzielić składniki uwierzytelniania, Proton oferuje również dedykowaną aplikację Proton Authenticator, która generuje bezpieczne, sześciocyfrowe kody weryfikacyjne i może synchronizować je między urządzeniami przy użyciu szyfrowania end-to-end. Authenticator działa w trybie offline i ma otwarty kod źródłowy, co pozwala organizacjom wdrażać MFA na kontach firmowych przy jednoczesnym zachowaniu przejrzystości i silnej ochrony prywatności.
Praktyki bezpiecznego udostępniania haseł
Chociaż wiele wytycznych dotyczących bezpieczeństwa odradza udostępnianie haseł w ogóle, rzeczywiste środowiska biznesowe nadal tego wymagają. Konta usługowe, dostęp dla dostawców i procedury awaryjne mogą sporadycznie wymagać, aby wielu upoważnionych użytkowników miało dostęp do tych samych danych logowania.
Gdy udostępnianie odbywa się w sposób nieformalny, na przykład za pośrednictwem poczty e-mail, czatu lub komunikacji ustnej, dane logowania zostają ujawnione i stają się trudne do kontrolowania. Po udostępnieniu ich przez takie kanały zazwyczaj nie ma niezawodnego sposobu na śledzenie, kto ma do nich dostęp, ani na jego późniejsze unieważnienie.
Zasady dotyczące haseł powinny zatem określać, jak i kiedy udostępnianie jest dozwolone. W większości organizacji powinno się to odbywać wyłącznie za pośrednictwem zatwierdzonych narzędzi do zarządzania danymi logowania, które zapewniają kontrolę dostępu, audyt oraz możliwość unieważnienia dostępu w razie potrzeby.
Procedury offboardingu i unieważniania dostępu
Gdy pracownicy zmieniają stanowiska, opuszczają organizację lub relacje z dostawcami wygasają, dostęp musi zostać niezwłocznie zweryfikowany i dostosowany. Brak unieważnienia danych logowania w odpowiednim czasie to jedna z najczęstszych przyczyn nieautoryzowanego dostępu.
Silna zasada dotycząca haseł powinna być zintegrowana z procesami onboardingu i offboardingu, zapewniając natychmiastową aktualizację uprawnień dostępu w celu odzwierciedlenia zmian na stanowiskach lub odejść, w tym wyłączanie kont, rotację udostępnionych danych logowania i unieważnianie niepotrzebnego dostępu do systemu.
Jeśli wiele osób miało dostęp do współdzielonego konta usługi, hasło powinno zostać zmienione (zrotowane) natychmiast po wystąpieniu zmian kadrowych, aby zapobiec zachowaniu dostępu przez byłych pracowników lub kontrahentów po wyłączeniu ich kont.
Wypełnij lukę między zasadami dotyczącymi haseł a ludzkimi nawykami
Zasady dotyczące haseł są skuteczne tylko wtedy, gdy ludzie ich przestrzegają.
W większości organizacji błędy nie zdarzają się dlatego, że brakuje zasad; zdarzają się dlatego, że zasady te nie są osadzone w codziennych procesach pracy. Pracownicy korzystają ze skrótów, gdy procesy są niejasne, narzędzia niewystarczające, a oczekiwania nie są egzekwowane. Przy prawidłowym wdrożeniu (i w połączeniu z biznesowym menadżerem haseł), silna zasada dotycząca haseł zastępuje nieformalne nawyki spójnymi mechanizmami kontroli, zmniejsza ryzyko związane z danymi logowania i sprawia, że bezpieczne zarządzanie dostępem staje się częścią codziennych operacji, a nie tylko dodatkiem.
