Трябва ли потребителите да бъдат принуждавани редовно да нулират паролите си?

Един от често срещаните съвети за сигурност на акаунта е, че потребителите трябва редовно да променят паролите си. Причината зад този подход е да се сведе до минимум времето, за което е валидна паролата, в случай че някога бъде компрометирана. Цялата тази стратегия се основава на исторически съвети от водещи групи за киберсигурност като американския NIST или Националния институт за стандарти и технологии.

В продължение на десетилетия правителствата и компаниите следваха този съвет и принуждаваха своите потребители редовно да нулират пароли, обикновено на всеки 90 дни. С течение на времето обаче изследванията показаха, че този подход не работи по предназначение и през 2017 г. NIST, заедно с NCSC на Обединеното кралство или Национален център за киберсигурност, промениха съвета си, за да изискват промени на паролата само когато има разумно подозрение за компромис.

Защо съветът беше променен?

Съветът за редовна смяна на паролите първоначално беше приложен, за да помогне за повишаване на сигурността. От чисто логическа гледна точка съветът за редовно опресняване на паролите има смисъл. Изживяването в реалния свят обаче е малко по-различно. Изследванията показват, че принуждаването на потребителите да променят редовно паролите си ги прави значително по-склонни да започнат да използват подобна парола, която могат просто да увеличат. Например, вместо да избират пароли като „9L=Xk&2>“, потребителите ще използват пароли като „Пролет 2019!“.

Оказва се, че когато са принудени да измислят и запомнят множество пароли и след това редовно да ги променят, хората постоянно използват лесни за запомняне пароли, които са по-несигурни. Проблемът с инкременталните пароли като „Пролет 2019!“ е, че те лесно се отгатват и след това улесняват прогнозирането на бъдещи промени. Комбинирано това означава, че принудителното нулиране на паролата кара потребителите да избират по-лесни за запомняне и следователно по-слаби пароли, които обикновено активно подкопават предвидената полза от намаляване на бъдещия риск.

Например, в най-лошия сценарий, хакер може да компрометира паролата „Пролет 2019!“ в рамките на няколко месеца от влизането му в сила. В този момент те могат да опитат варианти с „Есен“ вместо „Пролет“ и вероятно ще получат достъп. Ако компанията открие това нарушение на сигурността и след това принуди потребителите да променят паролите си, е доста вероятно засегнатият потребител просто да промени паролата си на „Winter2019!“ и смятат, че са сигурни. Хакерът, знаейки модела, може да опита това, ако успее да получи достъп отново. В зависимост от това колко дълго потребителят се придържа към този модел, нападателят може да го използва за достъп в продължение на няколко години, докато потребителят се чувства в безопасност, защото редовно променя паролата си.

Какъв е новият съвет?

За да се насърчи потребителите да избягват шаблонни пароли, сега съветът е да нулират паролите само когато има разумно подозрение, че са били компрометирани. Като не принуждавате потребителите редовно да запомнят нова парола, те са по-склонни да изберат на първо място силна парола.

В комбинация с това са и редица други препоръки, насочени към насърчаване на създаването на по-силни пароли. Те включват гарантиране, че всички пароли са дълги поне осем знака при абсолютния минимум и че максималният брой знаци е най-малко 64 знака. Той също така препоръчва на компаниите да започнат да се отдалечават от правилата за сложност към използването на списъци за блокиране, използвайки речници на слаби пароли като „ChangeMe!“ и „Password1“, които отговарят на много изисквания за сложност.

Общността за киберсигурност почти единодушно се съгласява, че паролите не трябва да изтичат автоматично.

Забележка: За съжаление, в някои сценарии все още може да е необходимо да го направите, тъй като някои правителства все още не са променили законите, изискващи изтичане на паролата за чувствителни или класифицирани системи.