przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Polityka haseł w firmie. Jak ją stworzyć i wdrożyć?

Polityka haseł w firmie. Jak ją stworzyć i wdrożyć?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Polityka haseł to bardzo ważny element bezpieczeństwa danych w każdej organizacji. Choć obecnie korzystanie z nawet bardzo silnego hasła jako jedynego zabezpieczenia często uznawane jest za niewystarczające, nie zwalnia to nas ze stosowania odpowiednio złożonych fraz do zabezpieczenia naszych kont – zarówno służbowych, jak i prywatnych. W tym celu powinniśmy opracować i wdrożyć odpowiednią politykę haseł, jednocześnie pamiętając o najnowszych zaleceniach – rekomendacje sprzed kilku lat niejednokrotnie bywają nieaktualne.

Wymogi złożoności haseł

W przeszłości powszechnym zaleceniem było stosowanie minimum ośmioznakowych haseł, zawierających znaki specjalne. Warto pamiętać o tym, że obecnie tę regułę uznaje się za przestarzałą – hasła powinny być zdecydowanie dłuższe.

W opracowaniu „Kompleksowo o hasłach” sporządzonym przez CERT Polska w styczniu 2022 roku (zaktualizowanym w czerwcu 2025 roku) podkreślono, że obecnie zdecydowanie ważniejszym czynnikiem jest długość hasła niż jego złożoność. CSIRT poziomu krajowego rekomenduje tworzenie haseł nie krótszych niż 14 znaków, składających się z kilku wyrazów – np. „WlazlKostekNaMostekIStuka” czy „zielonyParkingDla3malychSamolotow”.

Co ważne, wspomniane frazy zostały uznane za silniejsze od m.in. „zaq1@WSXcde3$RFV” czy „Galwaniczny123$”. Pokazuje to kolejny ważny aspekt tworzenia haseł – powinniśmy unikać tworzenia schematycznych wyrażeń.

Nie wymagaj okresowej zmiany haseł

W lutym 2019 roku uchylono Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku, które narzucało zmianę haseł dostępu co 30 dni. CERT Polska w dokumencie „Rekomendacje techniczne CERT Polska dla systemów uwierzytelniania” ze stycznia 2022 roku jasno podkreśla, że obecnie nie powinno się wymuszać okresowej zmiany haseł.

Zmianę haseł dostępu zaleca się w sytuacji, gdy ktokolwiek je poznał – mowa tutaj np. o wycieku danych czy udanym ataku phishingowym. Warto podkreślić, że podobne zalecenia wydał amerykański NIST („Special Publication 800-63B”) oraz niemiecki Federalny Urząd Bezpieczeństwa Technologii Informacyjnych (BSI) w 2025 roku.

Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) w 2018 roku apelowało o zaprzestanie cyklicznej zmiany haseł co 30, 60 czy 90 dni. Organ argumentował to m.in. tworzeniem przez użytkowników haseł jedynie nieznacznie różniących się od poprzednich. NASK podał jako przykład hasła „praca/styczeń2022” i „biuro!luty2022” – można domyślić się, że za kolejne 30 dni fraza będzie różnić się jedynie nazwą miesiąca.

Unikatowość hasła

Polityka bezpieczeństwa haseł powinna jasno podkreślać, że hasło w zastosowaniach służbowych musi być unikatowe, czyli niewykorzystywane w żadnym innym miejscu. Jeśli korzystamy z prostego hasła w wielu portalach, wyciek poświadczeń logowania w jednym z nich może skutkować próbami przejmowania kolejnych naszych kont, szczególnie jeśli były przechowywane za pomocą przestarzałych algorytmów (np. MD5 lub SHA-1).

Użytkownik powinien być jasno poinformowany, że hasło do danego portalu w zastosowaniach służbowych musi być wykorzystywane wyłącznie do tego celu.

RODO i UODO o hasłach

Artykuł 32 unijnego Rozporządzenia Ogólnego o Ochronie Danych Osobowych (dalej: RODO) nakazuje administratorowi stosowanie „odpowiednich środków technicznych i organizacyjnych”, zależnych od m.in. ryzyka naruszenia praw i wolności osób fizycznych. Warto przy tym podkreślić, że Prezes Urzędu Ochrony Danych Osobowych również odnosił się do powszechnie przyjętych standardów dotyczących długości haseł. W decyzji z maja 2024 roku (DKN.5112.35.2021) podkreślił, że minimalna długość hasła w jednym z systemów spółki była mniejsza niż 12 znaków, co zostało uznane za nieodpowiadające „aktualnym praktykom stosowanym w branży informatycznej”. 

Oznacza to, że stosowanie odpowiednich środków technicznych powinno być regularnie weryfikowane i w miarę konieczności aktualizowane, co zawarto wprost w art. 32 ust. 1 lit. d RODO. 

Rekomendacje dla użytkowników

Zapamiętywanie dziesiątek unikatowych haseł może być uciążliwe. W tym celu warto posłużyć się tzw. menedżerami haseł – oprogramowaniem służącym do bezpiecznego przechowywania naszych danych logowania. Dzięki temu będziemy mogli korzystać z unikatowych i skomplikowanych haseł – np. losowego ciągu kilkudziesięciu znaków. Warto przy tym dodać, że z menedżerów haseł można korzystać zarówno na komputerach, jak i urządzeniach mobilnych.

Przykładami takiego oprogramowania może być Bitwarden, KeePass, LastPass i 1Password. Swoje rozwiązania oferuje również Google oraz wiele przeglądarek. Wybór odpowiedniego narzędzia powinien być poprzedzony analizą w zakresie ewentualnych zagrożeń – mowa tu głównie o podjęciu decyzji co do wyboru lokalnego i chmurowego rozwiązania.

Ważnym elementem polityki haseł powinno być również pozornie oczywiste wskazanie – hasła nie mogą być zapisywane w formie tekstu, szczególnie w ogólnodostępnych miejscach. Wiemy jednak, że w przeszłości takie sytuacje się zdarzały. 11 kwietnia 2024 roku jedna z posłanek udostępniła zdjęcie na portalu X, gdzie pod monitorem widniała mała kartka z napisem „HASŁO” oraz częściowo przysłoniętą frazą, która najprawdopodobniej służyła do logowania. Informacje widoczne na zdjęciu wskazują na to, że było to schematycznie stworzone hasło na podstawie jednego słowa i roku.

Podstawową zasadą powinno być również podkreślenie, że nikomu nie należy udostępniać swoich danych logowania. Warto również ostrzec użytkowników o potencjalnych próbach ataków phishingowych, które mogą służyć wyłudzaniu danych logowania poprzez fałszywą informację o rzekomej konieczności zmiany hasła.

Rekomendacje dla administratorów

Administratorzy powinni pamiętać o kluczowych rekomendacjach z zakresu przechowywania haseł. W przeszłości w tym celu używane były takie algorytmy jak m.in. MD5 czy SHA-1 – obecnie uznaje się je za przestarzałe, ponieważ odgadnięcie pierwotnej frazy (hasła) jest dość proste z racji na rozwój mocy obliczeniowych. Wśród rekomendowanych przez CERT Polska algorytmów znajdują się m.in.:

  • Argon2;
  • Bcrypt;
  • PBKDF2.

Należy również dodać aspekt wykorzystywania tzw. soli i pieprzu (ang. salt and pepper) do hashowania haseł (zapisywania ich w odpowiedniej formie możliwej do bezpiecznego przechowywania). Wartości te dodawane są do hasła podczas generowania hasha, przy czym „sól” jest unikatowa dla każdego użytkownika, „pieprz” zaś jest wspólny.

CSIRT poziomu krajowego rekomenduje również uniemożliwienie stosowania fraz z listy najpopularniejszych haseł i wskazywanie dokładnego powodu odrzucenia danego wyrażenia. Jednocześnie administrator nie powinien blokować możliwości wklejania tekstu w pole hasła, co wynika m.in. z upowszechnienia się menedżerów haseł.

Stosunkowo nową i nieoczywistą rekomendacją z opracowania CERT Polska ze stycznia 2022 roku jest niewymuszanie kryteriów złożoności, takich jak znaki specjalne czy cyfry. Wynika to z oparcia siły haseł na ich długości, co zostało wspomniane na początku artykułu. 

Administratorzy powinni również zadbać o ograniczenie prób logowania do systemu, co pozwala uniknąć ataków typu brute-force, polegających na wielu próbach logowania w krótkim czasie.

Przykładowa polityka haseł w JST

Besti@ to oprogramowanie powszechnie używane w jednostkach samorządu terytorialnego. Od wersji 7.060.00.24 (opublikowanej we wrześniu 2023 roku) administratorzy mogą ustawić odpowiednią politykę haseł w module „Administracja”. Oprogramowanie umożliwia m.in. określenie minimalnej długości hasła użytkownika w znakach, zablokowanie możliwości zawarcia loginu w haśle oraz ustawienie blokady czasowej po określonej ilości prób.

Podsumowanie

Polityka haseł to ważny element zabezpieczania dostępu do kont w organizacji. Należy jednak pamiętać, że podczas logowania powinniśmy wykorzystać tzw. drugi składnik w postaci jednorazowego kodu czy podpięcia fizycznego klucza. Taki proces nazywany jest dwuetapowym uwierzytelnianiem i warto go stosować wszędzie tam, gdzie to możliwe.

Zgodnie z zapisami RODO należy pamiętać o stosowaniu odpowiednich środków organizacyjnych i technicznych do danego ryzyka – oznacza to, że wspomniane zagadnienia trzeba uwzględnić w analizie ryzyka.

Kluczowym aspektem polityki haseł pozostaje to, że nie powinna być jedynie kolejnym dokumentem do „zapoznania się i podpisania”, lecz jej zapisy muszą mieć faktyczne przełożenie na użytkowników.

Warto również położyć odpowiedni nacisk na wykorzystanie funkcjonalności, które już są w naszych systemach – niejednokrotnie mniej lub bardziej rozbudowane funkcjonalności polityki haseł znajdują się w programach wykorzystywanych przez MŚP – np. w systemach ERP. Taką funkcjonalność udostępnia również Active Directory, stosowane w organizacjach różnego typu i wielkości.

Należy pamiętać, że z upływem lat rekomendacje mogą się zmieniać – ustanowiona polityka może okazać się przestarzała za kilka czy kilkanaście lat.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Księgowi na celowniku cyberoszustów – najczęstsze ...
Marzec 2026
19
Czwartek
  • PIT 11
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Księgowi na celowniku cyberoszustów – najczęstsze metody ataku
  2. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  3. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  4. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
  5. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Księgowi na celowniku cyberoszustów – najczęstsze metody ataku

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Energetyka – Społeczeństwo – Gospodarka. Przed nami 43. Konferencja Energetyczna EuroPOWER & OZE POWER
III Forum Efektywność w Produkcji: Ludzie i Procesy
AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia!
I Love Marketing & Technology wraca na wiosnę z XXI edycją wydarzenia!
HR WEEK 2026: „HR x AI TEAMING - nowe pytania i scenariusze przyszłości” Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów