Problem w wielu organizacjach: „Zmieniaj hasło co 30 dni. Wielka litera, cyfra, znak specjalny”. Efekt w praktyce: frustracja pracowników, lawina resetów haseł w IT, przewidywalne schematy haseł, a finalnie… niższy poziom bezpieczeństwa. Jeśli organizacja nadal wymusza cykliczną zmianę haseł bez konkretnego powodu (np. incydentu lub wycieku), najpewniej korzysta z polityki sprzed epoki MFA i passkeys.

Dlaczego zatem rotacja haseł często nie działa? No cóż, wytyczne bezpieczeństwa (np. National Institute of Standards and Technology) od lat wskazują, że obowiązkowa zmiana haseł bez uzasadnienia prowadzi do tzw. password fatigue – zmęczenia hasłami. A zmęczony użytkownik nie zwiększa bezpieczeństwa. On je obchodzi.

Do najczęstszych efektów należą przewidywalne modyfikacje, w rodzaju: Haslo2023! przechodzi w Haslo2024!, a to z kolei w Haslo2025!. Dla narzędzi łamiących hasła to kosmetyka. Kolejny problem to niebezpieczne przechowywanie kartki pod klawiaturą, pliki tekstowe i notatki w telefonie. To często reakcja na zbyt restrykcyjne zasady. Podobnie jak powielanie haseł. Im częstsza zmiana, tym większa pokusa używania jednego hasła wszędzie, a wtedy jeden wyciek może oznaczać kompromitację systemów firmowych.

Co wdrażają nowoczesne organizacje?

Hasło zmieniamy wtedy, gdy istnieje realne ryzyko jego przejęcia – nie dlatego, że tak mówi kalendarz. Zamiast rotacji warto postawić na długość. Długie passphrase okazują się trudniejsze do złamania i łatwiejsze do zapamiętania. Kolejne przydatne narzędzie to MFA (uwierzytelnianie wieloskładnikowe czy wielopoziomowe) jako standard. Hasło prędzej czy później gdzieś wycieknie, a wtedy drugi składnik zwykle zatrzymuje atak. I wreszcie sensowne są menedżery haseł zamiast pamięci pracownika. Człowiek nie jest systemem do zarządzania sekretami, a narzędzia jak najbardziej tak.

Dokąd to zmierza?

Najwięksi gracze technologiczni systematycznie eliminują hasła i robią to już w praktyce, nie tylko w zapowiedziach. Apple, Google i Microsoft wdrażają passkeys (klucze dostępu) jako domyślną metodę logowania w swoich ekosystemach – użytkownik potwierdza dostęp odciskiem palca, Face ID lub PIN-em urządzenia, a klasyczne hasło przestaje być potrzebne. W wielu bankach logowanie biometrią w aplikacji mobilnej jest dziś standardem, a klucze sprzętowe (np. YubiKey) są powszechnie stosowane w firmach technologicznych i administracji publicznej.

Przykład z życia: pracownik logujący się do systemów Google Workspace może używać klucza FIDO2 zamiast hasła – nawet jeśli ktoś pozna jego login, bez fizycznego klucza nie uzyska dostępu. Podobnie w środowiskach deweloperskich GitHub czy GitLab coraz częściej wymagają MFA lub passkeys jako warunku dostępu do repozytoriów.

To nie przyszłość – to proces, który już trwa i który stopniowo zmienia sposób myślenia o uwierzytelnianiu: mniej sekretów do zapamiętania, więcej kryptografii i urządzeń, które użytkownik faktycznie kontroluje.

Wniosek dla biznesu jest taki, że bezpieczeństwo, którego ludzie nie są w stanie stosować, nie jest bezpieczeństwem. To iluzja kontroli. Towarzyszy temu paradoks cyberbezpieczeństwa: zbyt restrykcyjna polityka często tworzy nowe ryzyka zamiast je ograniczać. Czasem największą luką bezpieczeństwa nie jest haker – tylko procedura, która dobrze wygląda na papierze.

Łukasz Kokoszka Łukasz Kokoszka  

Autor pełni rolę Cybersecurity Consultant w Sisoft.