Masz politykę haseł? To jeszcze nic nie znaczy.

unshade.pl bezpieczeństwo hasła

Firmy inwestują ogromne pieniądze w narzędzia takie jak SIEM, EDR, NDR, wdrażają MFA i przeprowadzają szkolenia. I bardzo słusznie.
Ale jest jeden problem, większość nadal nie wie, jak silne (czy raczej słabe) są ich hasła.

Powód jest banalny. Ot nikt ich nie sprawdza a bezpieczeństwo pozostaje w stanie superpozycji, troche jak z kotem Schrödingera. Mało kto ma świadomość rzeczywistego poziomu bezpieczeństwa(siły) haseł w swojej organizacji. Ignorowane są też raporty, z których wynika, że kolejny raz pentesterzy wykorzystali słabe hasła jako punkt wejścia, do eskalacji czy do przemieszczania sie po infrastrukturze.

Audyt haseł - weryfikacja polityk haseł

Co to właściwie jest audyt haseł?

Większość firm posiada wdrożoną politykę haseł, która wymusza między innymi długość i złożoność haseł i jest to oczywiście słuszny i niezbędny krok tylko,że nie zawsze ma to realny wpływ na bezpieczeństwo a właściwie bez dodatkowych działań można by powiedzieć, że jest to bardzo niebezpieczne, ponieważ przez ustawienie polityki haseł bez jej weryfikacji w praktyce mamy fałszywe poczucie bezpieczeństwa.

Z doświadczenia wiemy, że wymuszenie długości czy złożoności haseł w rzeczywistości skutkuje hasłami, które są powtórzone kilka razy czy posiadają dopisane proste ciągi znaków:

Password audits

Wszystkie powyższe hasła spełnią zdecydowaną większość polityk bezpieczeństwa (każde ponad 24 znaki, posiadają cyfry, małe i duże litery oraz znaki specjalne) a są trywialne do złamania. Są realnym zagrożeniem dla organizacji.

Audyt haseł to techniczna analiza haseł, która sprawdza m. in:

  • czy w całej organizacji jest odpowiednio wdrożona polityka haseł i czy obejmuje wszystkie konta.
  • czy używane są hasła słownikowe i hasła z wycieków
  • realny poziom siły haseł w organizacji
  • czy pracownicy używają powtarzalnych wzorców związanych z firmą czy jej produktami.

Audyt haseł daje konkretne, mierzalne dane:

  • odsetek haseł złamanych w czasie 1h / 24h / 7 dni,
  • używania haseł znanych z różnych wycieków,
  • naruszenia polityki: długość, złożoność, unikalność, rotacja,konta bez wdrożonej polityki,
  • identyczne hasło na kontach o różnych rolach (np. konto lokalne i administrator domeny),
  • współdzielone hasło użytkownika w różnych domenach lub systemach.
  • wykrycie słabych lub zduplikowanych haseł administracyjnych i serwisowych,

Przebieg audytu (w dużym skrócie):

  1. Zrzut danych uwierzytelniających z Active Directory – pozyskanie pełnych plików ntds.dit, SYSTEM (opcjonalnie również SECURITY), zgodnie z kontrolowaną i bezpieczną procedurą, bez wpływu na dostępność i działanie kontrolera domeny.

  2. Zmiana haseł w organizacji.

  3. Bezpieczne pozyskanie danych – wszystkie pliki są niezwłocznie szyfrowane (PGP) i przesyłane wyłącznie w postaci zaszyfrowanej, aby zapewnić poufność i integralność informacji na każdym etapie. Dane nigdy nie trafiają do sieci, zaszyfrowane pliki w pgp, zapisywane są na szyfrowanych zewnętrznych nośnikach.

  4. Analiza danych w trybie offline – wszystkie operacje, takie jak parsowanie bazy, ekstrakcja hashy, łamanie haseł oraz korelacja informacji, odbywają się wyłącznie w izolowanym środowisku offline. Cały proces łamania haseł realizowany jest na dedykowanych cracking rigach, działających w odizolowanej sieci offline, co wyklucza ryzyko nieautoryzowanego dostępu lub wycieku danych.

  5. Korelacja wyników z infrastrukturą AD – uzyskane dane są mapowane do struktury katalogu Active Directory oraz analizowane w kontekście polityk haseł.

  6. Raport końcowy – rezultatem analizy jest szczegółowy raport techniczny zawierający m. in.:

    statystyki,
    rekomendacje dotyczące polityk bezpieczeństwa,

  7. Bezpieczne usuwanie danych – po zakończeniu analizy wszystkie pozyskane dane, hashe oraz wyniki łamania haseł są bezpiecznie usuwane zgodnie z przyjętymi standardami (np. wielokrotne nadpisywanie danych, zgodność z normami typu NIST 800-88 lub ISO/IEC 27040). Na życzenie klienta możliwe jest również udokumentowanie procesu kasowania (np. protokół zniszczenia).

Cykl życia audytu haseł

Proces audytu haseł jest z założenia cykliczny. W zależności od dojrzałości organizacji, możliwości i potrzeb audyty realizowane są zazwyczaj z częstotliwością raz na kwartał.

Okres intensywnych audytów trwa zwykle od 1 roku do 4 lat, w zależności od tempa osiągania wyznaczonych wskaźników bezpieczeństwa. W organizacjach o niskim poziomie świadomości lub wysokim ryzyku operacyjnym audyty mogą być przeprowadzane nawet co tydzień — zwłaszcza w kontekście weryfikacji haseł użytkowników o podwyższonych uprawnieniach (np. administratorów,tier0,etc). Celem takich przyspieszonych działań jest wymuszenie stosowania realnie silnych haseł w możliwie najkrótszym czasie.

Po osiągnięciu założonych celów, proces audytu przechodzi w fazę, gdzie audyty realizowane są raz do roku. Pozwala to na bieżącą weryfikację stanu bezpieczeństwa oraz utrzymanie świadomości w organizacji.

Audyt haseł - unshade.pl

Rola szkoleń w procesie audytu haseł

Integralną częścią procesu audytu haseł są krótkie, skoncentrowane szkolenia trwające 20–60 minut, realizowane w niewielkich grupach. Ich celem jest:

  • Podniesienie świadomości zagrożeń wynikających ze stosowania słabych lub skompromitowanych haseł.
  • Budowanie umiejętności tworzenia silnych i bezpiecznych haseł - łatwych do zapamiętania a trudnych do złamania, w tym praktycznych technik zarządzania hasłami (np. menedżery haseł).

Szkolenia są dynamicznie dostosowywane do aktualnej sytuacji, bazują na danych uzyskanych z audytu. Takie podejście znacząco przyspiesza proces zmian a co za tym idzie poprawy poziomu bezpieczeństwa haseł w środowisku. Próba wymuszenia używania silnych, dobrych haseł nigdy nie zadziała - pracownik musi być świadomy jakie ryzyko niesie używanie słabych haseł i przede wszystkim musi wiedzieć jakie hasła są słabe i jak wymyślić silne hasło i jak nimi zarządzać. W większości przypadków użytkownicy nie zdają sobie sprawy, że hasła jakie używaja są słabe.

Dlaczego my?

Zespół Unshade od lat bierze udział w najbardziej zaawansowanych konkursach łamania haseł oraz przeprowadził wiele prelekcji i wykładów dotyczących łamania haseł.

  • Crack Me If You Can na konferencji DEFCON – regularnie w TOP5.
  • CrackTheCon na konferencji CypherCon – debiut w 2025 i 3. miejsce.

Złamaliśmy miliardy hashy, wiemy które hasła są łamane jako pierwsze – i dlaczego.

Podsumowanie

Nie wystarczy mieć politykę haseł. Trzeba jeszcze sprawdzić czy działa i czy nie daje złudnego poczucia bezpieczeństwa.

🔐 Potrzebujesz audytu haseł?

Odezwij się:
👉 https://unshade.pl/pl/uslugi/audyt-hasel

Poprzedni post Następny post