Wiele firm i użytkowników prywatnych staje przed tym samym pytaniem: jak niezawodnie chronić hasła i inne poufne informacje, a jednocześnie korzystać z nich w wygodny sposób – łącznie z usuwaniem danych niepotrzebnych w sposób zgodny z zasadami audytu i bez niepotrzebnego ryzyka związanego z lokalizacjami w chmurze?

Poniżej pokazujemy, w jaki sposób Password Depot zapewnia wysoki standard bezpieczeństwa – od zarządzania hasłami, poprzez silne szyfrowanie i bezpieczne generowanie haseł, aż po ostateczne usuwanie danych i bezpieczne lokalizacje przechowywania.

Efektywne zarządzanie danymi uwierzytelniającymi

Liczba wymaganych danych dostępowych (hasła, identyfikatory użytkowników, kody PIN) stale rośnie. Notatki, tabele lub pamięć przeglądarki są powszechnie stosowane w codziennym życiu, ale są podatne na błędy i sprzyjają ponownemu wykorzystywaniu haseł. Dlatego też specjalistyczne organy, takie jak BSI i brytyjski NCSC, zalecają stosowanie menedżera haseł: generuje on silne hasła, ostrzega przed słabymi lub naruszającymi bezpieczeństwo hasłami i ułatwia ich jednoznaczne przypisanie. Źródło: BSI, Źródło: NCSC

Wskazówka praktyczna: Proszę używać osobnego, silnego hasła dla każdej usługi i w miarę możliwości aktywować uwierzytelnianie wieloskładnikowe (MFA).

Maksymalne bezpieczeństwo przechowywania i dostępu

Password Depot przechowuje hasła i inne poufne informacje (np. klucze licencyjne, dane tożsamości i płatności) w postaci zaszyfrowanej. Wykorzystywany jest standard AES‑256 – procedura znormalizowana przez FIPS 197; NSA stosuje AES‑256 w aktualnym pakiecie CNSA 2.0. FIPS 197, NSA CNSA 2.0

Hasło główne jest kluczem do Państwa bazy danych. Nie jest ono przechowywane w postaci zwykłego tekstu; zamiast tego podczas logowania używana jest wartość pochodna kryptograficzna. Nowoczesne wytyczne wymagają między innymi trudnych do zapamiętania metod haszowania haseł i soli, a także ograniczenia szybkości po stronie weryfikatora. NIST SP 800‑63B‑4

Ważne: Zasady dotyczące złożoności (obowiązkowe stosowanie znaków specjalnych itp.) są uważane za nieefektywne. Zaleca się stosowanie długich haseł i porównywanie ich z listami blokowanych haseł (często używane/naruszone hasła). Zmiana hasła powinna nastąpić tylko w przypadku podejrzenia naruszenia bezpieczeństwa – nie w ustalonych odstępach czasu. NIST SP 800‑63B‑4, NCSC: Trzy losowe słowa

Generowanie silnych haseł – prawdziwie losowych i odpowiednio sprawdzonych

Password Depot wykorzystuje kryptograficznie bezpieczne wartości losowe do generowania silnych haseł. Entropia może pochodzić m.in. z nieprzewidywalnych interakcji użytkownika (np. ruchy myszki) oraz źródeł systemowych, aby zainicjować generator liczb losowych o wysokiej jakości. Dodatkowo generator sprawdza jakość (w tym porównuje z listami słownikowymi i listami wycieków), aby zapobiec tworzeniu słabych lub już znanych haseł – zgodnie z aktualnymi wytycznymi dotyczącymi porównywania z wartościami naruszającymi bezpieczeństwo. NIST SP 800‑63B‑4

Zalecenie: Należy stosować automatycznie generowane hasła o dużej długości (np. ≥ 20 znaków) lub – w przypadku gdy ma to kluczowe znaczenie dla użyteczności – długie frazy haseł (np. trzy do czterech losowych słów). Informacje ogólne NCSC

Ostateczne usuwanie danych – co naprawdę obowiązuje dzisiaj

Password Depot udostępnia procedury bezpiecznego usuwania poufnych plików, w tym często cytowaną procedurę nadpisywania DoD 5220.22-M (wielokrotne przejścia). Istotne z historycznego punktu widzenia – ale: W przypadku nowoczesnych nośników (zwłaszcza dysków SSD) obecnie obowiązującym standardem jest NIST SP 800‑88 Rev.1. Rozróżnia on Clear, Purge (np. Cryptographic Erase, ATA Secure Erase) i Destroy oraz odnosi się do procedur specyficznych dla danego urządzenia. NIST SP 800‑88 Rev.1

W praktyce oznacza to, że dyski twarde można w wielu przypadkach bezpiecznie wyczyścić poprzez udokumentowane nadpisanie (Clear/Purge), natomiast w przypadku dysków SSD preferowanymi metodami są Sanitize/Secure Erase lub Cryptographic Erase. NIST wyraźnie wymienia te opcje (w tym polecenia TCG/ATA). Szczegóły w NIST SP 800‑88 Rev.1

Tekst jawny: DoD 5220.22-M jest raczej odniesieniem historycznym; w amerykańskim systemie regulacyjnym wytyczne NISPOM (DoD 5220.22-M) zostały obecnie zastąpione przez 32 CFR Part 117 (NISPOM Rule). Obecnie standardem w zakresie praktyk dotyczących usuwania danych jest NIST 800-88. DCSA dotycząca zasady NISPOM, NIST SP 800-88 Rev.1

Bezpieczne przechowywanie i suwerenność danych dzięki Password Depot

Password Depot zapewnia organizacjom maksymalną elastyczność: dzięki Password Depot Client i Password Depot Enterprise Server Państwo sami decydują o miejscu przechowywania danych – np. całkowicie na miejscu (bez przekazywania danych do krajów trzecich) lub w wybranym przez Państwa hostingu w UE.

Kontekst prawny (przepływ danych UE↔USA): W 2020 r. ETS uchylił Privacy Shield (Schrems II), od tego czasu konieczne są dodatkowe środki w przypadku przekazywania danych do państw trzecich. W 2023 r. Komisja Europejska przyjęła nowe ramy ochrony danych UE-USA (DPF), które zostały potwierdzone przez Trybunał UE w 2025 r. – istnieje pewna pewność prawna, ale debaty prawne trwają nadal. Osoby, które samodzielnie wybierają lokalizacje przechowywania danych (np. hosting lokalny lub hosting w UE), minimalizują zależności. EuGH C‑311/18, decyzja wykonawcza UE 2023/1795, Potwierdzenie 2025

Podsumowanie

Bezpieczeństwo nie jest jednorazowym projektem, ale procesem. Password Depot pomaga w tworzeniu silnych danych dostępowych, bezpiecznym ich przechowywaniu, kontrolowanym wykorzystywaniu i – w razie potrzeby – ostatecznym usuwaniu. W połączeniu z jasnymi wytycznymi (MFA, hasła, regularne sprawdzanie naruszonych haseł, procesami usuwania zgodnymi z NIST) można osiągnąć solidny, praktyczny poziom ochrony.