Polityka haseł to temat, na którym wiele firm tkwi w latach dwutysięcznych. Wymuszona zmiana co trzydzieści dni, wymóg znaku specjalnego i wielkiej litery, a efekt jest taki, że ludzie zapisują hasła na karteczkach i dodają na końcu jedynkę. Aktualne zalecenia, w tym wytyczne instytucji takich jak NIST, mówią coś zupełnie innego. Pokażę, jak ustawić politykę, która realnie podnosi bezpieczeństwo, zamiast tylko utrudniać życie.

Dlaczego stare zasady szkodzą

Intuicja podpowiada, że im częstsza zmiana i im więcej dziwnych znaków, tym lepiej. Praktyka pokazuje coś przeciwnego.

  • Wymuszona częsta zmiana prowadzi do haseł przewidywalnych. Zima2026 zmienia się w Wiosna2026, a to dla atakującego żadna przeszkoda.
  • Skomplikowane reguły znaków wcale nie dają długiego, mocnego hasła. Haslo1! jest krótkie i słabe, mimo że spełnia wymogi.
  • Za dużo zasad sprawia, że ludzie zapisują hasła w widocznych miejscach albo używają jednego wszędzie.

Najgorsze hasło to nie takie, które jest za proste. To takie, które ten sam człowiek ma jednocześnie w firmowej poczcie, w banku i na forum, które wyciekło trzy lata temu. Wyciek w jednym miejscu otwiera wtedy wszystkie drzwi naraz.

Jak wygląda sensowna polityka haseł

Nowoczesne podejście stawia na długość i unikalność zamiast na sztuczną komplikację.

  1. Długość ponad złożoność. Minimum dwanaście znaków, a najlepiej fraza z kilku słów, na przykład zielony rower pod mostem. Łatwa do zapamiętania, trudna do złamania.
  2. Bez wymuszonej zmiany cyklicznej. Hasło zmieniamy tylko wtedy, gdy jest podejrzenie wycieku albo kompromitacji, a nie z kalendarza.
  3. Unikalność dla każdego serwisu. Żadnego jednego hasła do wszystkiego. To zadanie dla menedżera haseł.
  4. Sprawdzanie wycieków. Blokowanie haseł, które trafiły do znanych wycieków, zamiast liczenia znaków specjalnych.
  5. MFA jako obowiązek, zwłaszcza na poczcie, VPN i kontach administracyjnych. Nawet dobre hasło samo w sobie nie wystarcza.

W środowisku Microsoft dużą część tych zasad da się wymusić centralnie. Przez Entra ID ustawisz zakaz typowych słabych haseł, ochronę przed atakami i wymóg MFA dla całej organizacji, bez ręcznego pilnowania każdego konta.

Menedżer haseł, czyli fundament całości

Nie da się w głowie utrzymać kilkudziesięciu długich, unikalnych haseł. I nie trzeba. Menedżer haseł to program, który przechowuje je w zaszyfrowanym sejfie, a użytkownik pamięta tylko jedno hasło główne.

Co daje w praktyce.

  • Generuje mocne, losowe hasła dla każdego serwisu automatycznie.
  • Podpowiada logowanie tylko na właściwej stronie, co przy okazji chroni przed phishingiem, bo na podrobionej domenie nie zaproponuje danych.
  • Pozwala bezpiecznie dzielić dostęp w zespole bez wysyłania haseł mailem czy na czacie.
  • Pokazuje słabe i powtórzone hasła, dzięki czemu widać, co poprawić w pierwszej kolejności.

Jak wdrożyć menedżer w firmie

Sam zakup licencji to nie wdrożenie. Żeby zespół faktycznie z niego korzystał, warto przejść kilka kroków.

  1. Wybór wersji firmowej z panelem administracyjnym, a nie prywatnych, luźnych kont.
  2. Krótkie szkolenie pokazujące, jak dodać hasło i jak logować się jednym kliknięciem. Wygoda jest tu najlepszym argumentem.
  3. Migracja istniejących haseł i przy okazji wymiana tych najsłabszych na nowe, mocne.
  4. Zasady współdzielenia, czyli kto ma dostęp do kont wspólnych i jak odbieramy dostęp przy odejściu pracownika.
  5. Hasło główne pod ochroną MFA, bo to ono chroni cały sejf.

Kluczowy jest ten drugi punkt. Menedżer, który jest wygodniejszy niż karteczka, wygrywa. Menedżer, który przeszkadza, zostanie porzucony. Dlatego wdrożenie warto połączyć z szkoleniem security awareness, żeby zespół rozumiał nie tylko jak, ale i po co.

Częste błędy

  • Trzymanie haseł w arkuszu kalkulacyjnym albo w notatkach w telefonie.
  • Wysyłanie haseł mailem lub na czacie, gdzie zostają na zawsze.
  • Jedno hasło administracyjne znane połowie firmy, bez śladu kto i kiedy go użył.
  • Brak procedury odbierania dostępu, gdy ktoś odchodzi.

Każdy z tych punktów to typowy początek incydentu. Uporządkowanie ich kosztuje niewiele, a zamyka realne luki.

Od czego zacząć

Jeśli chcesz zrobić jeden krok o największym efekcie, zacznij od włączenia MFA na poczcie i wdrożenia firmowego menedżera haseł. Potem uprość politykę: postaw na długość i unikalność, a wyrzuć wymuszaną zmianę co miesiąc. Na końcu uporządkuj konta współdzielone i proces odbierania dostępu. To kilka dni pracy, a nie wielki projekt.

Jeśli chcesz ustawić politykę haseł i wdrożyć menedżer tak, żeby zespół naprawdę go używał, pomożemy dobrać rozwiązanie i przeprowadzić wdrożenie bez chaosu. Zacznij od rozmowy o tym, jak dziś wyglądają hasła w Twojej firmie.