Zasady polityki haseł – regulaminu kont użytkowników systemów PG (REG01)

1. Dostęp do poszczególnych części systemu informatycznego jest możliwy wyłącznie poprzez podanie prawidłowego identyfikatora przyznanego użytkownikowi podczas procesu aktywacji konta w systemie informatycznym oraz wygenerowanego przez niego hasła. 

2. W celu uwierzytelniania konieczne jest również potwierdzenie tożsamości na podstawie uwierzytelniania dwuskładnikowego. 

3. Hasła użytkowników do systemów powinny podlegać następującym zasadom: 

• hasło składa się z minimum 8 znaków; 

• hasło musi spełniać warunek złożoności polegający na występowaniu w nim: minimum jednej litery, oraz dwóch znaków spoza alfabetu; 

• w przypadku zmiany hasła kolejne hasła muszą być różne; 

• hasła należy przechowywać w sposób gwarantujący ich poufność. 

4. Zabrania się udostępniania haseł innym osobom. 

5. Hasło musi spełniać co najmniej poniższe warunki: 

• nie może zawierać nazwy konta użytkownika ani części pełnej nazwy użytkownika przekraczających dwa kolejne znaki; 

• musi mieć co najmniej 8 znaków; 

• musi zawierać znaki z trzech z następujących czterech kategorii: i. wielkie litery alfabetu angielskiego (A–Z), ii. małe litery alfabetu angielskiego (a–z), iii. cyfry dziesiętne (0–9), iv. znaki niealfabetyczne (na przykład: !, $, #, %). 

6. Zabrania się tworzenia haseł na podstawie: 

• cech i numerów osobistych (np. dat urodzenia, imion itp.); 

• sekwencji klawiszy klawiatury (np. qwerty, 12qwaszx); 

• identyfikatora użytkownika. 

7. Zabrania się tworzenia haseł łatwych do odgadnięcia. 

8. Hasło do systemu ustalane jest podczas aktywacji konta samodzielnie przez użytkownika systemu. W przypadku aktywacji konta za pośrednictwem Helpdesk, informacja o loginie przekazywana użytkownikowi, który uzyskuje hasło drogą resetu z wykorzystaniem SMSa za pośrednictwem numeru telefonu zdefiniowanego jako numer do odzyskiwania hasła. 

9. W przypadku podejrzenia ujawnienia haseł osobie nieupoważnionej, hasła muszą być natychmiast zmienione przez użytkownika. Zmiana może zostać wymuszona przez ASI. 

10. Zmiany hasła dokonuje użytkownik. W przypadku, gdy użytkownik zapomniał hasła, właściwy ASI lub pracownik o uprawnieniach administracyjnych po weryfikacji użytkownika wydaje kopertę do resetu hasła, umożliwia wpisanie użytkownikowi hasła lub włącza/zaleca wykonanie resetu hasła SMSem. 

11. Zabrania się przekazywania haseł za pomocą telefonu, faksu ani poczty e-mail w formie jawnej.

Zachęcamy do zapoznania się z materiałami edukacyjnymi CERT Polska ➡️
https://cert.pl/uploads/2022/01/hasla/resources/plakaty_informacyjne_hasla_a4.pdf

Aby hasło było jednocześnie zgodne z polityką bezpieczeństwa i łatwe do zapamiętania, proponujemy stosowanie poniższych metod:

Można utworzyć hasło w formie krótkiego, unikalnego zdania (minimum kilka wyrazów), a następnie dodać cyfry i znaki specjalne, aby spełnić wymagania złożoności.

Przykład (zgodny z wymaganiami złożoności):
ZielonyMostekDla3Kotow!

Należy unikać znanych cytatów, popularnych powiedzeń oraz oczywistych schematów.

Skuteczną metodą jest stworzenie hasła opisującego nietypową, łatwą do wyobrażenia scenę. Warto, aby zawierała element nierealistyczny lub abstrakcyjny.

Przykład:
FioletowyParkingDla7Balonow$

Takie hasła są trudniejsze do złamania metodami słownikowymi.

Hasło można zbudować z połączenia słów z kilku języków, dodając cyfry i znak specjalny.

Przykład:
DwaBialeFlyingKroliki9#

Takie konstrukcje znacząco utrudniają ataki słownikowe.