Měli by být uživatelé nuceni pravidelně obnovovat svá hesla?

Jednou z běžných rad pro zabezpečení účtu je, že by uživatelé měli pravidelně měnit svá hesla. Důvodem tohoto přístupu je minimalizace doby platnosti jakéhokoli hesla pro případ, že by bylo někdy prozrazeno. Celá tato strategie je založena na historických radách předních skupin kybernetické bezpečnosti, jako je americký NIST nebo Národní institut pro standardy a technologie.

Po celá desetiletí se vlády a společnosti řídily touto radou a nutily své uživatele pravidelně obnovovat hesla, obvykle každých 90 dní. Postupem času však výzkum ukázal, že tento přístup nefunguje tak, jak bylo zamýšleno, a v roce 2017 NIST spolu s britským NCSC neboli Národním centrem pro kybernetickou bezpečnost změnily své doporučení tak, aby vyžadovaly změny hesla pouze v případě, že existuje důvodné podezření na kompromitaci.

Proč byla rada změněna?

Rada pravidelně měnit hesla byla původně implementována za účelem zvýšení bezpečnosti. Z čistě logického hlediska má rada pravidelně obnovovat hesla smysl. Skutečná zkušenost je však trochu jiná. Výzkum ukázal, že nucení uživatelů, aby si pravidelně měnili svá hesla, výrazně zvýšilo pravděpodobnost, že začnou používat podobné heslo, které by mohli jen zvýšit. Například namísto vybírání hesel jako „9L=Xk&2>“ by uživatelé místo toho používali hesla jako „Jaro 2019!“.

Ukazuje se, že když jsou lidé nuceni vymýšlet a pamatovat si více hesel a poté je pravidelně měnit, neustále používají snadno zapamatovatelná hesla, která jsou více nezabezpečená. Problém s přírůstkovými hesly jako „Jaro 2019!“ je, že se dají snadno uhodnout a pak je také snadné předvídat budoucí změny. V kombinaci to znamená, že vynucení resetování hesel nutí uživatele, aby si zvolili snadněji zapamatovatelná a tedy slabší hesla, která obvykle aktivně podkopávají zamýšlený přínos snížení budoucího rizika.

Například v nejhorším případě by hacker mohl prolomit heslo „Jaro 2019!“ do několika měsíců od jeho platnosti. V tuto chvíli mohou vyzkoušet varianty s „Podzim“ namísto „Jaro“ a pravděpodobně získají přístup. Pokud společnost zjistí toto narušení bezpečnosti a poté donutí uživatele, aby si změnili svá hesla, je poměrně pravděpodobné, že postižený uživatel si pouze změní heslo na „Zima 2019!“ a myslí si, že jsou v bezpečí. Hacker, který zná vzor, ​​to může zkusit, pokud bude schopen znovu získat přístup. V závislosti na tom, jak dlouho se uživatel tohoto vzoru drží, by ho útočník mohl využít k přístupu po několik let, a to vše, zatímco se uživatel cítí bezpečně, protože pravidelně mění své heslo.

Jaká je nová rada?

Abychom pomohli přimět uživatele, aby se vyhýbali vzorovým heslům, nyní se doporučuje resetovat hesla pouze v případě, že existuje důvodné podezření, že byla prozrazena. Tím, že nenutíte uživatele, aby si pravidelně pamatovali nové heslo, je pravděpodobnější, že si na prvním místě zvolí silné heslo.

S tím je spojena řada dalších doporučení zaměřených na podporu vytváření silnějších hesel. Mezi ně patří zajištění toho, aby všechna hesla byla dlouhá minimálně osm znaků a aby maximální počet znaků byl alespoň 64 znaků. Společnost také doporučila, aby se začaly odklánět od pravidel složitosti směrem k používání seznamů blokovaných pomocí slovníků slabých hesel, jako je „ChangeMe!“. a „Password1“, které splňují mnoho požadavků na složitost.

Komunita kybernetické bezpečnosti se téměř jednomyslně shoduje na tom, že platnost hesel by neměla automaticky vypršet.

Poznámka: Bohužel v některých scénářích může být stále nutné tak učinit, protože některé vlády musí ještě změnit zákony vyžadující vypršení platnosti hesla pro citlivé nebo utajované systémy.