Dobre hasło ma być długie, unikalne i możliwe do użycia bez karteczki pod klawiaturą. Nie musi wyglądać jak Qx!92%zz. Takie hasła często kończą w notatniku, SMS-ie albo tym samym wariancie używanym na dziesięciu kontach.

W firmie problem jest większy niż prywatne konto do newslettera. Jedno słabe hasło do WordPressa, hostingu, poczty albo panelu sklepu może otworzyć drogę do danych klientów, faktur, formularzy i całej strony.

Co naprawdę robi hasło bezpiecznym?

Długość. Dłuższe hasło jest trudniejsze do zgadnięcia i złamania metodą prób.
Unikalność. Hasło z jednego wycieku nie może otwierać kolejnych kont.
Brak oczywistych wzorców. Nazwa firmy, rok, wykrzyknik na końcu i wielka litera na początku to żaden spryt.
Dodatkowe zabezpieczenie. 2FA potrafi zatrzymać część szkód, gdy samo hasło wycieknie.

Najgorszy układ to krótkie hasło używane wszędzie. Drugi najgorszy to “skomplikowane” hasło używane wszędzie.

Fraza hasłowa zamiast losowego hałasu

Jeśli musisz coś zapamiętać, lepsza bywa fraza z kilku losowych słów niż krótki zestaw znaków specjalnych. Łatwiej zapamiętać obraz w głowie niż ciąg symboli. Ważne, żeby słowa nie tworzyły oczywistego cytatu, nazwy firmy ani żartu znanego całemu biuru.

Przykład kierunku, nie gotowe hasło: trzy lub cztery niezwiązane ze sobą słowa, liczba w środku tylko jeśli nie jest przewidywalna, brak prostego schematu typu sezon + rok + znak. Nie twórz hasła z danych, które można znaleźć na Facebooku albo w stopce maila.

Menedżer haseł rozwiązuje problem skali

Nie da się sensownie pamiętać setek unikalnych haseł. Dlatego do kont firmowych najlepszy model to menedżer haseł, mocne hasło główne, 2FA i jasne zasady współdzielenia dostępów. Hasło do hostingu wysłane na WhatsAppie zostaje tam długo po tym, jak wszyscy zapomną, że je wysłali.

każde ważne konto ma inne hasło,
dostęp dostaje osoba, nie “wszyscy w firmie”,
po odejściu pracownika uprawnienia są odbierane,
hasła nie są trzymane w arkuszu nazwanym “dostępy”,
awaryjny dostęp jest opisany, ale nie leży publicznie.

Gdzie 2FA jest obowiązkowe?

Włącz 2FA wszędzie tam, gdzie konto może narobić realnych szkód: poczta firmowa, hosting, WordPress admin, panel sklepu, Stripe/PayU, Google, Meta, CRM, domeny i narzędzia do wysyłki maili. Jeśli ktoś przejmie pocztę, często może zresetować hasła do reszty usług.

Najlepiej używać aplikacji uwierzytelniającej albo klucza sprzętowego tam, gdzie jest taka możliwość. SMS jest lepszy niż brak 2FA, ale nie traktowałbym go jako złotego standardu przy ważnych kontach.

Jak rozpoznać złe hasło?

zawiera nazwę firmy, domenę, imię dziecka albo rocznik,
jest wariantem starego hasła z dopisaną cyfrą,
występuje w kilku miejscach,
zna je ktoś, kto już nie powinien mieć dostępu,
musi być zapisane na kartce, bo nikt nie jest w stanie go używać.

Hasło, którego nikt nie pamięta i wszyscy sobie przesyłają, nie jest bezpieczne. Jest niewygodne i przez to ryzykowne.

Mały plan porządkowania firmowych dostępów

Spisz najważniejsze konta: domeny, hosting, poczta, CMS, płatności, analityka, reklamy.
Włącz 2FA na kontach administracyjnych.
Zmień powtarzające się hasła.
Przenieś dostępy do menedżera haseł.
Usuń konta osób, które już nie pracują przy projekcie.
Ustal, kto jest właścicielem dostępu do domeny. To krytyczne.

Nie trzeba robić z bezpieczeństwa ceremonii. Trzeba usunąć najbardziej oczywiste słabe punkty. Długie unikalne hasła, menedżer i 2FA załatwiają więcej niż dziesięć firmowych zasad, których nikt nie czyta.

Źródło pomocnicze: NCSC: Password managers.