Bezpieczne przechowywanie haseł: praktyczne zasady dla małej firmy

Bezpieczne przechowywanie haseł nie polega na wymyślaniu coraz trudniejszych kombinacji w głowie. Firma potrzebuje procesu: menedżer haseł, unikalne loginy, MFA, role użytkowników i szybkie odbieranie dostępu, gdy ktoś odchodzi.

Największe ryzyko w małych firmach to współdzielone hasła w arkuszu, wiadomościach i przeglądarce jednej osoby. Wystarczy jedno przejęte konto, żeby stracić pocztę, stronę albo panel reklamowy.

Podstawowe zasady

• każde konto ma unikalne hasło
• hasła są w menedżerze, nie w pliku tekstowym
• MFA jest włączone dla poczty, hostingu, domen i reklam
• dostępy są przypisane do osób, nie do „firmowego” konta bez właściciela
• stare konta są usuwane albo dezaktywowane

Menedżer haseł pomaga też w kontroli. Widać, kto ma dostęp, można udostępnić dane bez pokazywania hasła i łatwiej rotować sekrety po zmianach w zespole.

Jak uporządkować dostępy

1. Zrób listę krytycznych systemów: domeny, hosting, poczta, bank, reklamy, CRM.
2. Włącz MFA tam, gdzie go brakuje.
3. Przenieś hasła do menedżera i usuń kopie z czatów.
4. Ustaw role i minimalne uprawnienia.
5. Raz na kwartał zrób przegląd aktywnych użytkowników.

Najpierw zabezpiecz konta, które pozwalają przejąć inne: poczta, rejestrator domeny, hosting, Google, Meta, płatności. To są drzwi wejściowe do reszty firmy.

Czego nie robić

• nie wysyłaj haseł mailem lub komunikatorem
• nie używaj jednego hasła do kilku systemów
• nie trzymaj MFA wyłącznie na telefonie osoby, która może odejść
• nie dawaj pełnych uprawnień każdemu wykonawcy
• nie zostawiaj kont byłych pracowników

Dobre zarządzanie hasłami jest nudne, ale ratuje firmę w najgorszym momencie. Najpierw proces, potem narzędzia.

Źródła pomocnicze: NCSC: Passwords and 2FA, OWASP: Authentication Cheat Sheet.