Identyczne hasła: ryzyko związane z ponownym użyciem hasła
Włamanie do jednego konta – zagrożenie dla wszystkich kont.
Administratorzy IT ponoszą główną odpowiedzialność za ochronę systemów i danych. Szczególnie trudnym do wyeliminowania zagrożeniem są identyczne lub ponownie wykorzystywane hasła. W ten sposób użytkownicy – często nieświadomie – otwierają atakującym drzwi do credential stuffingu, przejmowania kont i ruchów bocznych w sieci. Badania pokazują, że wykorzystanie skradzionych danych dostępowych jest jednym z najczęstszych wektorów początkowych w przypadku incydentów związanych z bezpieczeństwem (patrz źródła poniżej).
Ryzyko naruszenia bezpieczeństwa na wielu poziomach
W przypadku naruszenia bezpieczeństwa konta atakujący automatycznie testują te same dane dostępowe w innych usługach (Credential‑Stuffing). W ten sposób pojedynczy wyciek może wywołać reakcję łańcuchową – od poczty elektronicznej, przez narzędzia do współpracy, aż po usługi w chmurze. Rezultat: kradzież danych, nadużycie tożsamości i nieautoryzowany dostęp do zasobów przedsiębiorstwa.
Szczególnie krytyczne są „podstawowe ataki na aplikacje internetowe”, w których dominują skradzione lub ponownie wykorzystane dane dostępowe – co jasno wskazuje, że ponowne wykorzystanie hasła jest w praktyce bezpośrednio możliwe do wykorzystania (patrz źródła).
Oprogramowanie ransomware i przejmowanie kont
Gdy atakujący zdobędą ważne dane dostępowe, mogą rozszerzyć swoje uprawnienia, poruszać się po sieci i wdrażać złośliwe oprogramowanie – aż do dostarczenia oprogramowania ransomware. W związku z tym oficjalne zalecenia podkreślają: wyeliminowanie ponownego wykorzystywania haseł i aktywowanie odpornej na phishing uwierzytelniania wieloskładnikowego (MFA) (np. FIDO2/klucze dostępu) tam, gdzie jest to technicznie możliwe (CISA, NIST).
Środki poprawiające bezpieczeństwo haseł
Wytyczne (polityka)
- Brak prewencyjnej, regularnej zmiany hasła – wymusić tylko w przypadku podejrzenia lub dowodu naruszenia bezpieczeństwa (NIST, NCSC).
- Jedno hasło na konto/usługę – surowo zabronić ponownego używania (NIST, NCSC).
- Zwiększenie minimalnej długości (np. ≥ 14 znaków) i unikanie niepotrzebnych ograniczeń dotyczących złożoności; zamiast tego należy skupić się na długości, unikalności i blokowaniu „popularnych haseł” (NIST).
- Sprawdzaj hasła pod kątem naruszenia bezpieczeństwa list (NIST SP 800‑63B) – zobacz praktyczną wskazówkę dotyczącą Password Depot poniżej.
- Obowiązkowe uwierzytelnianie wieloskładnikowe, najlepiej odporne na phishing (FIDO2/klucze dostępu), przynajmniej w przypadku dostępu administracyjnego, zdalnego i do chmury (CISA).
Kontrole techniczne
- Ograniczanie szybkości i monitorowanie podczas logowania; wykrywanie i blokowanie podejrzanych wzorców (np. wiele prób logowania z rozproszonych sieci) (NIST).
- Zezwól na „wklejanie”, aby umożliwić bezpieczne korzystanie z menedżerów haseł – nie zabraniaj kopiowania/wklejania w polu hasła (NIST).
- Wymagaj wyzwań MFA opartych na ryzyku i konsekwentnej rejestracji MFA (CISA).
- Wprowadź klucze dostępu tam, gdzie to możliwe; w perspektywie zastąp wprowadzanie haseł.
- Zidentyfikuj naruszenia haseł: w Password Depot sprawdź w Narzędzia → Kontrola bezpieczeństwa → Sprawdź hasła w Pwned i natychmiast zmień odpowiednie wpisy.
Świadomość i działanie
- Regularnie szkol użytkowników w zakresie credential stuffing, phishingu i ponownego wykorzystywania haseł (NCSC/CISA).
- Zalecaj i udostępniaj menedżery haseł; cel: długie, losowe, unikalne hasła dla każdej usługi.
- Zdefiniuj incydenty (wycieki, phishing, ataki złośliwego oprogramowania) jako powód do natychmiastowej zmiany hasła i odnowienia tokenu (NIST/CISA).
Wprost: Ponowne użycie jest prawdziwym wrogiem. Wymuszone, regularne zmiany bez powodu pogarszają jakość haseł – i nie rozwiązują problemu. Postaw na długość, unikalność, MFA/klucze dostępu i sprawdzanie pod kątem skompromitowanych list (np. bezpośrednio w Password Depot).
Wniosek: Wielokrotne używanie haseł stanowi poważne zagrożenie dla bezpieczeństwa i sprzyja przejmowaniu kont, a nawet atakom ransomware. Zespoły administracyjne muszą wdrożyć jasne, aktualne wytyczne i zabezpieczyć je technicznie – w tym regularne sprawdzanie haseł, które mogły zostać naruszone, za pomocą Password Depot – w celu zapewnienia trwałej ochrony tożsamości i systemów.
Źródła (wybór)
- NIST SP 800‑63B: Wytyczne dotyczące tożsamości cyfrowej – zapamiętane sekrety (m.in. brak wymuszonych zmian; porównywanie z listami naruszonych haseł; zezwolenie na wklejanie)
- CISA „Secure Our World”: Use Strong Passwords (zalecenia dotyczące menedżerów haseł i unikalnych haseł)
- NCSC (Wielka Brytania): Problems with forcing regular password expiry & Credential‑Stuffing Advisory
- Verizon DBIR: Strona raportu i streszczenie (aktualizowane co roku)
- Have I Been Pwned: Pwned Passwords (publiczne źródło danych dotyczących naruszonych haseł)