PoliciesPolityka haseł

Polityka haseł

Nasze podejście do bezpieczeństwa haseł i najlepszych praktyk

W Appbox traktujemy bezpieczeństwo haseł poważnie i stosujemy wiele warstw ochrony danych uwierzytelniających. Niniejsza polityka wyjaśnia, jak obsługujemy hasła, oraz przedstawia wytyczne pomagające tworzyć silne i bezpieczne hasła do usług Appbox.

Przechowywanie haseł w Appbox

Appbox wykorzystuje standardowe w branży platformy bezpieczeństwa, aby zapewnić płynne doświadczenie użytkownika. Poniższe sekcje opisują, jak zarządzamy hasłami w naszych różnych systemach.

Client Area (WHMCS)

Appbox Client Area, obsługiwany przez WHMCS, odpowiada za zarządzanie kontem, provisionowanie usług, komunikację i płatności. Twoje hasło w tym systemie jest bezpiecznie hashowane przy użyciu Bcrypt, nowoczesnego algorytmu kryptograficznego zaprojektowanego specjalnie do ochrony haseł.

Appbox Control Panel

Nasz Control Panel zapewnia scentralizowany interfejs do zarządzania usługami Appbox, zainstalowanymi aplikacjami i ustawieniami konta. Jest zbudowany z użyciem bezpiecznych frameworków i nowoczesnych standardów uwierzytelniania.

Hasło logowania do Control Panel

Hasło używane do dostępu do Appbox Control Panel jest chronione przy użyciu bcrypt, adaptacyjnej funkcji hashującej opartej na symetrycznym szyfrze blokowym Blowfish. Nasza implementacja korzysta z komponentu bezpieczeństwa Phalcon, który używa funkcji PHP password_hash z silnymi współczynnikami pracy, aby zapewnić optymalne bezpieczeństwo. Oznacza to, że:

  1. Każdy hash hasła zawiera unikalną sól zapobiegającą atakom rainbow table
  2. Algorytm hashujący jest celowo wolny, aby ograniczyć próby brute force
  3. Współczynnik pracy (cost) jest ustawiony tak, aby ataki były kosztowne obliczeniowo
  4. Nasz system może przejść na nowsze algorytmy, takie jak Argon2i, gdy będzie to potrzebne dla zwiększenia bezpieczeństwa

To standardowe w branży podejście zapobiega ujawnieniu haseł nawet w przypadku kompromitacji bazy danych.

Hasła aplikacji

Hasła do aplikacji instalowanych przez nasz Control Panel są przechowywane w postaci jawnej i są dostępne zarówno dla Ciebie, jak i zespołu wsparcia Appbox. Taka dostępność jest niezbędna do zapewnienia pomocy technicznej, gdy o nią poprosisz. Nasz zespół wsparcia uzyska dostęp do Twoich aplikacji wyłącznie wtedy, gdy wyraźnie poprosisz o pomoc przez oficjalne kanały wsparcia. Zalecamy ustawianie tymczasowych haseł, jeśli potrzebujesz wsparcia przy konkretnej aplikacji.

Hasła aplikacji stron trzecich

Niektóre aplikacje mogą przechowywać dane uwierzytelniające i informacje wrażliwe w postaci jawnej w ramach swojej domyślnej funkcjonalności. To zachowanie pozostaje poza kontrolą Appbox i jest określane przez twórców tych aplikacji. Twoje środowisko Appbox jest zabezpieczone tak, aby tylko Ty mieć dostęp do własnych danych, zapewniając izolację między użytkownikami mimo wszelkich ograniczeń przechowywania haseł na poziomie aplikacji.

Zalecenia dotyczące bezpieczeństwa haseł

Możesz pomóc wzmocnić bezpieczeństwo konta, stosując następujące najlepsze praktyki dotyczące haseł:

Używaj unikalnych haseł

  • Nigdy nie używaj ponownie tych samych haseł w różnych stronach internetowych lub usługach
  • Używanie tego samego hasła na wielu kontach tworzy istotne ryzyko bezpieczeństwa - jeśli jedna usługa zostanie skompromitowana, wszystkie konta stają się podatne
  • Utwórz inne hasło dla każdej z usług Appbox

Twórz silne, zapamiętywalne hasła

  • Celuj w hasła o długości co najmniej 12 znaków
  • Rozważ użycie:
    • Zapamiętywalnego cytatu z filmu lub książki
    • Unikalnej frazy lub wyrażenia
    • Kombinacji niepowiązanych słów ze znakami specjalnymi
  • Unikaj używania:
    • Informacji osobistych (dat urodzenia, imion, inicjałów)
    • Powszechnych słów lub fraz
    • Prostych wzorców klawiaturowych (qwerty, 12345)
    • Odwróconych słów lub prostych podstawień

Włącz uwierzytelnianie dwuskładnikowe

Zdecydowanie zalecamy włączenie uwierzytelniania dwuskładnikowego (2FA) dla konta Appbox:

  • 2FA dodaje niezbędną drugą warstwę bezpieczeństwa poza hasłem
  • Nawet jeśli hasło zostanie skompromitowane, atakujący będą potrzebowali drugiego składnika, aby uzyskać dostęp do konta
  • Możesz włączyć 2FA na swojej stronie bezpieczeństwa konta
  • Appbox obsługuje tokeny czasowe z aplikacji uwierzytelniających, w tym:
    • Google Authenticator
    • Authy
    • Microsoft Authenticator
    • Duo Mobile
    • Oraz większość innych standardowych aplikacji zgodnych z TOTP

Rozważ użycie menedżera haseł

Jeśli trudno Ci tworzyć i pamiętać unikalne hasła do wszystkich kont, rozważ użycie renomowanego menedżera haseł. Narzędzia te mogą generować silne hasła i bezpiecznie je przechowywać. Do wiarygodnych opcji należą:

Oświadczenie dotyczące słabych haseł

Chociaż Appbox zachęca do używania silnych haseł, ostatecznie bezpieczeństwo danych uwierzytelniających konta jest Twoją odpowiedzialnością. Appbox nie ponosi odpowiedzialności, jeśli Twoje konto zostanie skompromitowane z powodu słabych haseł lub ponownego używania haseł w wielu serwisach. Atakujący często używają ataków brute force lub słownikowych do przejmowania kont ze słabymi hasłami. Zdecydowanie zalecamy stosowanie wytycznych bezpieczeństwa opisanych powyżej, aby chronić konto i dane.