Hasła
Hasła w małej firmie - menedżer haseł krok po kroku
W małej firmie hasła zwykle kończą się w jednym z dwóch miejsc: w zeszycie u właściciela albo w pliku Excel z nazwą „hasła.xlsx”. Oba sposoby są ryzykowne. Ten poradnik pokazuje, jak za jednorazowe 10-30 zł miesięcznie zamknąć ten temat raz na zawsze.
Najczęstsze błędy w hasłach w małej firmie
- trzymanie haseł w zeszycie albo na karteczce pod klawiaturą
- plik Excel/Word z hasłami na dysku firmowym
- te same 2-3 hasła do wszystkich kont (firmowych i prywatnych)
- hasła wysyłane mailem albo na komunikatorze
- hasła w przeglądarce na komputerze, do którego ma dostęp więcej osób
Dlaczego to ryzykowne
Atakujący zwykle nie wkrada się przez „skomplikowane luki w systemie”. Wystarczy, że zdobędzie jedno hasło — z wycieku innej usługi, z phishingu albo ze starego komputera. Jeśli to samo hasło otwiera mu dostęp do skrzynki mailowej, panelu sklepu, banku i kont w mediach społecznościowych — wystarczy jeden ruch.
Co to jest menedżer haseł
Aplikacja, która generuje, przechowuje i automatycznie wpisuje hasła. Pracownik pamięta tylko jedno (master password) — resztą zarządza menedżer. Działa w przeglądarce, na komputerze i w telefonie. Synchronizuje się między urządzeniami.
Które narzędzie wybrać
Dla małej firmy w Polsce sensowne są trzy opcje:
- 1Password Business / Teams — Płatne, bardzo dobre dla MŚP, polski interfejs, wsparcie
- Bitwarden — Wersja darmowa wystarczy dla 1 osoby, plan biznesowy tani, open source
- KeePassXC — Darmowe i offline, dla osób technicznych - wymaga ręcznego synca
Rekomendacja CyberStart
Dla większości firm 1-10 osobowych: Bitwarden Teams (ok. 4 USD / osoba / mc) albo 1Password Business (ok. 8 USD / osoba / mc). Oba mają polski język, prosty onboarding i działają na każdym urządzeniu. KeePass — tylko jeśli masz osobę techniczną w zespole.
Jak wdrożyć - prosty plan
Dzień 1. Właściciel zakłada konto firmowe w menedżerze, dodaje pierwszych pracowników. Tworzy wspólny „skarbiec” firmowy na hasła używane przez kilka osób (poczta info@, social media, dostęp do strony).
Dzień 2-3. Każdy pracownik dostaje 30 minut na instalację rozszerzenia w przeglądarce i aplikacji w telefonie. Loguje się na swoje konta i pozwala menedżerowi zapisać hasła.
Dzień 4-7. Pracownicy zmieniają hasła do najważniejszych kont na nowe, generowane przez menedżer (16-20 znaków). Zaczynają od poczty, banku, panelu sklepu.
Dzień 8+. Wszystkie nowe konta są zakładane z hasłami z menedżera. Stare słabe hasła stopniowo wymieniane.
Dobre praktyki, które warto wdrożyć od razu
- Każdy pracownik ma osobne konto w menedżerze haseł
- Hasła generowane losowo (16+ znaków, mieszane)
- Każde konto ma inne hasło — zero powtórek
- Master password do menedżera jest długie (passphrase) i niemożliwe do zgadnięcia
- Awaryjny dostęp: właściciel firmy ma kopię awaryjnego klucza zapisaną poza firmą
Co z hasłami współdzielonymi w zespole?
Konta typu info@firma.pl, panele admin sklepu, social media — często ma do nich dostęp więcej osób. W menedżerze haseł utwórz „skarbiec firmowy” i udostępniaj uprawnienia konkretnym osobom. Nigdy nie udostępniaj hasła przez maila ani Slacka — to ślad, który zostaje na zawsze.
Podsumowanie
Menedżer haseł to drugi (po MFA) najlepszy zwrot z 30 minut inwestycji w bezpieczne nawyki w zespole małej firmy. Koszt 4-8 USD na osobę miesięcznie, korzyści — ogromne. Nie trzeba być firmą technologiczną — wystarczy raz wdrożyć i pilnować, żeby zespół tego używał.