A duhet të detyrohen përdoruesit të rivendosin rregullisht fjalëkalimet e tyre?

Një nga këshillat e zakonshme të sigurisë së llogarisë është se përdoruesit duhet të ndryshojnë rregullisht fjalëkalimet e tyre. Arsyetimi pas kësaj qasjeje është të minimizohet kohëzgjatja për të cilën çdo fjalëkalim është i vlefshëm, në rast se ai ndonjëherë komprometohet. E gjithë kjo strategji bazohet në këshillat historike nga grupet kryesore të sigurisë kibernetike si NIST Amerikan, ose Instituti Kombëtar i Standardeve dhe Teknologjisë.

Për dekada, qeveritë dhe kompanitë e ndoqën këtë këshillë dhe i detyruan përdoruesit e tyre të rivendosin rregullisht fjalëkalimet, zakonisht çdo 90 ditë. Megjithatë, me kalimin e kohës, hulumtimi tregoi se kjo qasje nuk po funksiononte siç synohej dhe në vitin 2017 NIST së bashku me NCSC të Mbretërisë së Bashkuar , ose Qendra Kombëtare e Sigurisë Kibernetike, ndryshuan këshillat e tyre për të kërkuar vetëm ndryshime të fjalëkalimit kur ekziston dyshimi i arsyeshëm për kompromis.

Pse u ndryshua këshilla?

Këshilla për të ndryshuar rregullisht fjalëkalimet u zbatua fillimisht për të ndihmuar në rritjen e sigurisë. Nga një këndvështrim thjesht logjik, këshilla për të rifreskuar rregullisht fjalëkalimet ka kuptim. Megjithatë, përvoja e botës reale është paksa e ndryshme. Hulumtimet treguan se detyrimi i përdoruesve për të ndryshuar rregullisht fjalëkalimet e tyre i bëri ata dukshëm më të prirur për të filluar përdorimin e një fjalëkalimi të ngjashëm që ata thjesht mund ta rrisnin. Për shembull, në vend që të zgjedhin fjalëkalime si "9L=Xk&2>", përdoruesit do të përdorin në vend të kësaj fjalëkalime si "Pranverë 2019!".

Rezulton se kur detyrohen të krijojnë dhe mbajnë mend fjalëkalime të shumta dhe më pas t'i ndryshojnë ato rregullisht, njerëzit përdorin vazhdimisht fjalëkalime të lehta për t'u mbajtur mend që janë më të pasigurta. Problemi me fjalëkalimet shtesë si "Pranverë 2019!" është se ato merren me mend lehtësisht dhe më pas e bëjnë të lehtë parashikimin e ndryshimeve të ardhshme. E kombinuar kjo do të thotë se detyrimi i rivendosjes së fjalëkalimit i shtyn përdoruesit të zgjedhin fjalëkalime më të lehta për t'u mbajtur mend dhe për rrjedhojë më të dobëta, që zakonisht minojnë në mënyrë aktive përfitimin e synuar të reduktimit të rrezikut në të ardhmen.

Për shembull, në një skenar të rastit më të keq, një haker mund të komprometojë fjalëkalimin "Pranverë 2019!" brenda pak muajsh nga vlefshmëria e tij. Në këtë pikë, ata mund të provojnë variante me "Fall" në vend të "Spring" dhe ka të ngjarë të kenë akses. Nëse kompania zbulon këtë shkelje të sigurisë dhe më pas i detyron përdoruesit të ndryshojnë fjalëkalimet e tyre, ka shumë të ngjarë që përdoruesi i prekur thjesht të ndryshojë fjalëkalimin e tij në "Winter2019!" dhe mendoni se janë të sigurt. Hakeri, duke e ditur modelin, mund ta provojë këtë nëse ata janë në gjendje të fitojnë përsëri akses. Në varësi të kohëzgjatjes së një përdoruesi me këtë model, një sulmues mund ta përdorë këtë për akses gjatë shumë viteve, ndërkohë që përdoruesi ndihet i sigurt sepse ai po ndryshon rregullisht fjalëkalimin e tij.

Cila është këshilla e re?

Për të ndihmuar në inkurajimin e përdoruesve që të shmangin fjalëkalimet me formula, këshilla tani është që të rivendosni fjalëkalimet vetëm kur ekziston një dyshim i arsyeshëm se ato janë komprometuar. Duke mos i detyruar përdoruesit t�� mbajnë mend rregullisht një fjalëkalim të ri, ata kanë më shumë gjasa të zgjedhin një fjalëkalim të fortë në radhë të parë.

Të kombinuara me këtë janë një sërë rekomandimesh të tjera që synojnë të inkurajojnë krijimin e fjalëkalimeve më të forta. Këto përfshijnë sigurimin që të gjitha fjalëkalimet të jenë të paktën tetë karaktere të gjata në minimumin absolut dhe që numri maksimal i karaktereve të jetë së paku 64 karaktere. Ai rekomandoi gjithashtu që kompanitë të fillojnë të largohen nga rregullat e kompleksitetit drejt përdorimit të listave të bllokimit duke përdorur fjalorë me fjalëkalime të dobëta si "ChangeMe!" dhe “Password1” të cilat plotësojnë shumë kërkesa kompleksiteti.

Komuniteti i sigurisë kibernetike pothuajse unanimisht pajtohet që fjalëkalimet nuk duhet të skadojnë automatikisht.

Shënim: Fatkeqësisht, në disa skenarë, mund të jetë ende e nevojshme të bëhet një gjë e tillë, pasi disa qeveri nuk kanë ndryshuar ende ligjet që kërkojnë skadimin e fjalëkalimit për sistemet e ndjeshme ose të klasifikuara.