Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Karta samooceny — Menedżer haseł | Davidson Consulting
Davidson Consulting · Karta samooceny

Menedżer haseł.
Weryfikacja konfiguracji i procesów

Menedżer haseł (password manager) jest tak bezpieczny, jak jego konfiguracja i procesy wokół niego. Odpowiedz na 12 pytań i sprawdź, czy Twoja organizacja naprawdę nim zarządza, czy tylko jest jego szczęśliwą posiadaczką?

Punktacja: Tak = 3 pkt  ·  Częściowo = 1 pkt  ·  Nie = 0 pkt  ·  Maksimum: 36 pkt
Blok 1

Konfiguracja techniczna menedżera

Czy narzędzie jest ustawione bezpiecznie?

01Czy Twój menedżer używa algorytmu wyprowadzania klucza (KDF) Argon2id lub bcrypt (a nie PBKDF2 w domyślnych ustawieniach)?
02Automatyczne wypełnianie formularzy (autofill) wymaga ręcznej interakcji użytkownika — nie wypełnia się samoczynnie przy załadowaniu strony?
03Rozszerzenie przeglądarkowe menedżera haseł jest regularnie aktualizowane, a organizacja ma proces weryfikacji dostępnych poprawek bezpieczeństwa?
Blok 2

Hasło główne i uwierzytelnianie

Najsłabszy punkt całego systemu — zasady i ich egzekwowanie.

04Pracownicy korzystają z fraz hasłowych (co najmniej cztery losowe słowa) jako hasła głównego menedżera — zamiast złożonych ciągów znaków?
05Konto menedżera haseł jest chronione uwierzytelnianiem dwuskładnikowym (2FA) opartym na aplikacji lub kluczu sprzętowym — nie na SMS-ie?
06Procedura odzyskiwania dostępu do menedżera (utrata urządzenia, zapomnienie hasła głównego) jest udokumentowana i przetestowana?
Blok 3

Zarządzanie dostępem w organizacji

Procesy ICT — onboarding, offboarding, współdzielone konta.

07Istnieje udokumentowana procedura offboardingu, która obejmuje natychmiastowe cofnięcie dostępu do współdzielonych haseł przy odejściu pracownika?
08Współdzielone hasła do systemów są zarządzane przez menedżera haseł z przypisaniem do ról (nie są przechowywane w e-mailach, arkuszach kalkulacyjnych ani komunikatorach)?
09Audyt sejfu (przegląd uprawnień, identyfikacja haseł do nieaktywnych kont) odbywa się co najmniej raz na kwartał?
Blok 4

Gotowość na incydent

Czego zwykle nie ma, a co decyduje o czasie reakcji.

10Organizacja ma zdefiniowaną procedurę na wypadek kompromitacji konta menedżera haseł — np. przejęcia hasła głównego pracownika lub incydentu u dostawcy usługi?
11Wiadomo, które systemy są dostępne wyłącznie przez menedżera haseł i co się stanie z ciągłością działania, jeśli dostęp do niego zostanie utracony lub zablokowany?
12Ostatni przegląd konfiguracji menedżera haseł (algorytm KDF, ustawienia autofill, lista aktywnych użytkowników) miał miejsce w ciągu ostatnich sześciu miesięcy?

Odpowiedz na wszystkie pytania, aby przejść dalej

Twoje dane

Zanim przejdziesz do pytań, podaj swoje dane. Dzięki temu po zakończeniu testu wyślemy Ci na email szczegółowe podsumowanie z lukami do uzupełnienia — przydatne przy ustalaniu priorytetów z zespołem lub przygotowaniu dokumentacji do audytu NIS2 lub DORA.

To pole jest wymagane
Podaj poprawny adres e-mail
Prosimy o podanie służbowego adresu e-mail, nie prywatnego konta pocztowego.

* Pola oznaczone gwiazdką są wymagane

Zgody i informacje RODO
Zgoda jest wymagana, aby otrzymać wynik.
Administratorem danych osobowych jest Davidson Consulting i Wspólnicy Sp. z o.o. Dane przetwarzamy wyłącznie zgodnie z udzielonymi zgodami. Masz prawo dostępu, sprostowania i usunięcia danych oraz cofnięcia zgody — wystarczy napisać na [email protected]. Szczegóły w Polityce Prywatności.

Wynik według bloków

Jeśli w bloku 3 lub 4 większość odpowiedzi brzmi "Częściowo" lub "Nie", warto przyjrzeć się procesom zarządzania dostępem — zanim zrobi to audytor NIS2 lub DORA.

Davidson Consulting przeprowadza audyty zarządzania dostępem i tożsamością cyfrową. Bezpłatna konsultacja wstępna: [email protected]

Davidson Consulting i Wspólnicy Sp. z o.o.  ·  Zarządzanie ryzykiem operacyjnym, BCM, cyberbezpieczeństwo  ·  davidson.pl