Polityka haseł w firmie – jak skonfigurować bezpieczne reguły

Dlaczego stare zasady dotyczące haseł robią z was cel

Przez lata standardowa polityka haseł w firmach wyglądała tak samo: minimum osiem znaków, obowiązkowa wielka litera, cyfra i znak specjalny, zmiana co 90 dni, zakaz powtarzania poprzednich dziesięciu haseł. Na papierze brzmiało to rozsądnie. W praktyce doprowadziło do przewidywalnego chaosu.

Użytkownicy nauczyli się obchodzić te reguły: Kwiecien2024! zamieniał się w Maj2024!, a potem Czerwiec2024!. Wzorce były przewidywalne, a atakujący o tym doskonale wiedzą – ataki słownikowe uwzględniają sezonowe warianty popularnych haseł. Badania Microsoft pokazują, że wymuszanie regularnej rotacji prowadzi do wybierania słabszych haseł i ponownego ich używania na prywatnych serwisach.

Instytut NIST (National Institute of Standards and Technology) już w 2017 roku opublikował nowe wytyczne SP 800-63B, które wywróciły do góry nogami myślenie o hasłach. Microsoft, CISA i inne organizacje szybko je przyjęły. W 2026 roku wciąż wiele firm MŚP nie wie o tej zmianie – i płaci za to cenę w postaci incydentów bezpieczeństwa oraz sfrustrowanych pracowników.

Aktualne standardy – co zaleca NIST i Microsoft

Nowoczesne podejście do haseł opiera się na kilku zasadach, które różnią się od tego, czego uczono przez dekady:

• Długość ważniejsza niż złożoność – hasło mokrakotzielonebrzeszczot jest silniejsze niż P@s$w0rd!, choć nie zawiera cyfr ani wielkich liter. Minimalna długość powinna wynosić 12–15 znaków, dla kont uprzywilejowanych – minimum 20.
• Koniec obowiązkowej rotacji – hasła powinny być zmieniane wyłącznie wtedy, gdy istnieje podejrzenie kompromitacji lub gdy pojawiają się w znanych wyciekach danych. Regularne wymuszanie zmiany bez powodu tworzy przewidywalne wzorce.
• Aktywna blokada słabych haseł – zamiast wymuszać złożoność, należy porównywać hasła z listami najczęściej używanych i wyciekłych kombinacji oraz blokować te, które się tam znalazły.
• Brak arbitralnych ograniczeń znaków – dozwolone powinny być wszystkie znaki Unicode, w tym spacje. Frazy hasłowe (ang. passphrase) takie jak niebieskikot lubi kawę są bezpieczne i łatwiejsze do zapamiętania.
• MFA jako pierwsza linia obrony – nawet najsilniejsze hasło jest mniej istotne, jeśli konto wymaga dodatkowego czynnika przy każdym logowaniu. Microsoft wprost zaleca: jeśli MFA jest wdrożone dla wszystkich, wyłącz obowiązkowe wygasanie haseł.

Konfiguracja polityki haseł w Active Directory – krok po kroku

Jeśli firma korzysta z lokalnego Active Directory, politykę haseł konfiguruje się w dwóch miejscach: w domyślnej polityce domeny (dla wszystkich użytkowników) oraz w Fine-Grained Password Policies (FGPP) – dla wybranych grup, np. administratorów.

Konfiguracja domyślnej polityki domeny:

1. Otwórz Group Policy Management (gpmc.msc).
2. Kliknij prawym przyciskiem Default Domain Policy → Edit.
3. Przejdź do: Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy.
4. Ustaw: minimalna długość hasła – 14 znaków, historia haseł – 10 poprzednich, maksymalny wiek hasła – 365 dni (lub 0, jeśli MFA jest wdrożone), złożoność – włączona.

Fine-Grained Password Policy dla administratorów:

1. Otwórz Active Directory Administrative Center (dsac.exe).
2. Przejdź do: domena → System → Password Settings Container.
3. Utwórz nowy obiekt PSO z wymaganiami: minimalna długość – 20 znaków, historia – 24 poprzednie hasła, maksymalny wiek – 180 dni lub brak.
4. Przypisz PSO do grupy Domain Admins.

Polityka FGPP ma wyższy priorytet niż domyślna polityka domeny – pozwala stosować różne wymagania dla różnych grup bez tworzenia osobnych domen lub jednostek organizacyjnych.

Azure AD Password Protection – blokada słabych haseł w chmurze i on-premises

Azure AD Password Protection (dostępna w Microsoft Entra ID) to mechanizm blokujący hasła wyciekłe i popularne – zarówno w chmurze, jak i w lokalnym Active Directory po zainstalowaniu agenta.

Konfiguracja w portalu Entra (entra.microsoft.com):

1. Przejdź do: Protection → Authentication methods → Password protection.
2. W sekcji Custom banned passwords dodaj niestandardową listę zakazanych haseł: nazwę firmy, miasto, branżowe słowa kluczowe. Microsoft automatycznie blokuje też warianty (podmiany liter na cyfry, dodatkowe znaki na końcu).
3. Włącz opcję Enable password protection on Windows Server Active Directory.
4. Ustaw tryb: najpierw Audit (monitoruje bez blokowania). Po kilku dniach weryfikacji zmień na Enforced.

Dla środowisk on-premises: pobierz i zainstaluj dwie składowe – Azure AD Password Protection Proxy na serwerze z dostępem do internetu oraz DC Agent na każdym kontrolerze domeny. Po synchronizacji lokalne AD korzysta z tej samej globalnej bazy zakazanych haseł co Azure.

Microsoft utrzymuje globalną listę ponad 50 milionów skompromitowanych haseł, aktualizowaną na bieżąco na podstawie danych z wycieków – żadne lokalne rozwiązanie nie zapewni porównywalnej ochrony.

Polityka haseł, MFA i menedżer haseł – jak to połączyć

Polityka haseł nie działa w próżni – powinna być częścią szerszej strategii bezpieczeństwa tożsamości. Dwa narzędzia zmieniają tu reguły gry:

MFA sprawia, że samo hasło przestaje być wystarczającym zabezpieczeniem – i jednocześnie zmniejsza presję na jego skomplikowanie. Kluczowe zalecenie: jeśli MFA działa dla wszystkich kont, wyłącz przymus wygasania haseł. Skrócony cykl życia hasła nie dodaje ochrony tam, gdzie każde logowanie wymaga dodatkowego czynnika. Konfiguracja MFA w Microsoft 365 jest dostępna przez Entra admin center → Users → Per-user MFA lub – znacznie lepiej – przez Conditional Access z polityką wymaganą dla wszystkich użytkowników.

Menedżer haseł rozwiązuje problem, który polityki próbują obejść – ludzką pamięć. Gdy pracownik korzysta z narzędzia takiego jak Bitwarden, 1Password czy Keeper, może mieć unikalne, losowe hasło o długości 24+ znaków do każdego serwisu:

• Hasła są generowane automatycznie – brak wzorców i sezonowych przyrostków.
• Brak pokusy do ponownego użycia hasła z prywatnych serwisów.
• Zmiana hasła po incydencie jest prosta – menedżer aktualizuje wpis jednym kliknięciem.

Praktyczne zalecenie dla MŚP: wdróż menedżer haseł → włącz MFA dla wszystkich → ustaw minimalną długość hasła na 14–16 znaków bez obowiązkowej rotacji. To konfiguracja bezpieczna i niefrustująca pracowników.

Audyt polityki haseł – jak sprawdzić, czy reguły naprawdę działają

Skonfigurowanie polityki haseł to połowa sukcesu. Drugą połową jest weryfikacja, że reguły są egzekwowane i że nie istnieją konta z słabymi hasłami sprzed wprowadzenia zmian.

Co sprawdzać regularnie:

• Konta z opcją Password Never Expires – w PowerShell: Get-ADUser -Filter {PasswordNeverExpires -eq $true} | Select-Object Name, SamAccountName. Każde takie konto powinno mieć udokumentowane uzasadnienie.
• Konta z hasłem niezmienianym od ponad roku – mogą to być konta zombie lub zapomniane konta serwisowe z szerokim dostępem do zasobów firmy.
• Hasła w znanych wyciekach – narzędzie open-source DSInternals pozwala porównać lokalne skróty haseł AD z bazą Have I Been Pwned bez wysyłania haseł do zewnętrznych serwerów.
• Nieudane próby logowania – w Microsoft Entra ID: Protection → Sign-in logs → Status: Failure. Duża liczba błędów z jednego adresu IP to wyraźny sygnał ostrzegawczy.

W środowisku Microsoft 365 warto regularnie zaglądać do Microsoft Secure Score – rekomendacje dotyczące tożsamości i polityki haseł są tam oceniane i punktowane. To prosty sposób na bieżący audyt bez ręcznego sprawdzania każdej opcji konfiguracji.

Jeśli chcesz przeprowadzić kompleksowy przegląd konfiguracji Active Directory i Microsoft 365 w swojej firmie, specjaliści NovaSys pomogą Ci ocenić aktualny stan zabezpieczeń i wdrożyć nowoczesną politykę haseł bez ryzyka przerw w pracy.