Pitäisikö käyttäjien pakottaa uusimaan salasanansa säännöllisesti?

Yksi yleisimmistä tilin turvaohjeista on, että käyttäjien tulee vaihtaa salasanansa säännöllisesti. Tämän lähestymistavan perusteluna on minimoida salasanan voimassaoloaika siltä varalta, että se joskus vaarantuu. Tämä koko strategia perustuu historiallisiin neuvoihin huippukyberturvallisuusryhmiltä, ​​kuten American NIST:ltä tai National Institute of Standards and Technologylta.

Vuosikymmenien ajan hallitukset ja yritykset seurasivat tätä neuvoa ja pakottivat käyttäjänsä vaihtamaan salasanat säännöllisesti, yleensä 90 päivän välein. Ajan mittaan tutkimukset kuitenkin osoittivat, että tämä lähestymistapa ei toiminut tarkoitetulla tavalla, ja vuonna 2017 NIST yhdessä Ison-Britannian NCSC :n eli National Cyber ​​Security Centren kanssa muuttivat neuvojaan vaatimaan salasanan vaihtamista vain silloin, kun on perusteltua syytä epäillä vaarantumisesta.

Miksi neuvoa muutettiin?

Salasanojen säännöllinen vaihtamisohje otettiin alun perin käyttöön turvallisuuden lisäämiseksi. Puhtaasti loogisesta näkökulmasta katsottuna salasanan säännöllinen päivittäminen on järkevää. Tosielämän kokemus on kuitenkin hieman erilainen. Tutkimukset osoittivat, että käyttäjien pakottaminen vaihtamaan salasanansa säännöllisesti sai heidät todennäköisemmin käyttämään samanlaista salasanaa, jota he voisivat vain lisätä. Esimerkiksi "9L=Xk&2>" kaltaisten salasanojen poimimisen sijaan käyttäjät käyttävät salasanoja, kuten "Kevät2019!".

Osoittautuu, että kun ihmiset joutuvat keksimään ja muistamaan useita salasanoja ja vaihtamaan ne säännöllisesti, ihmiset käyttävät jatkuvasti helposti muistettavia salasanoja, jotka ovat epävarmempia. Ongelma lisäsalasanoissa, kuten "Kevät2019!" on se, että ne ovat helposti arvattavissa ja helpottavat myös tulevien muutosten ennustamista. Yhdessä tämä tarkoittaa, että salasanan nollausten pakottaminen pakottaa käyttäjät valitsemaan helpommin muistettavia ja siten heikompia salasanoja, jotka tyypillisesti heikentävät aiottua hyötyä tulevan riskin vähentämisestä.

Esimerkiksi pahimmassa tapauksessa hakkeri voi vaarantaa salasanan "Kevät2019!" muutaman kuukauden kuluessa sen voimaantulosta. Tässä vaiheessa he voivat kokeilla muunnelmia, joissa on "syksy" "kevään" sijaan, ja he todennäköisesti saavat pääsyn. Jos yritys havaitsee tämän tietoturvaloukkauksen ja pakottaa käyttäjät vaihtamaan salasanansa, on melko todennäköistä, että kyseinen käyttäjä vaihtaa salasanansa "Talvi2019!" ja luulevat olevansa turvassa. Hakkeri, joka tietää kuvion, voi hyvinkin kokeilla tätä, jos he pääsevät uudelleen käsiksi. Riippuen siitä, kuinka kauan käyttäjä noudattaa tätä mallia, hyökkääjä voi käyttää sitä useiden vuosien ajan, vaikka käyttäjä tuntee olonsa turvalliseksi, koska hän vaihtaa säännöllisesti salasanaansa.

Mikä on uusi neuvo?

Käyttäjien rohkaisemiseksi välttämään kaavallisia salasanoja neuvotaan nyt nollaamaan salasanat vain, jos on perusteltua syytä epäillä, että ne ovat vaarantuneet. Jos käyttäjiä ei pakoteta muistamaan säännöllisesti uutta salasanaa, he valitsevat todennäköisesti ensiksi vahvan salasanan.

Tämän lisäksi on useita muita suosituksia, joiden tarkoituksena on rohkaista luomaan vahvempia salasanoja. Näihin kuuluu varmistaa, että kaikki salasanat ovat vähintään kahdeksan merkkiä pitkiä ja että merkkien enimmäismäärä on vähintään 64 merkkiä. Se suositteli myös, että yritykset alkaisivat siirtyä monimutkaisuussäännöistä kohti estolistaen käyttöä heikkojen salasanojen sanakirjoja, kuten "ChangeMe!" ja “Password1”, jotka täyttävät monet monimutkaisuusvaatimukset.

Kyberturvallisuusyhteisö on lähes yksimielisesti samaa mieltä siitä, että salasanoja ei pidä vanhentua automaattisesti.

Huomautus: Valitettavasti joissakin skenaarioissa se voi silti olla tarpeen tehdä niin, koska jotkin hallitukset eivät ole vielä muuttaneet lakeja, jotka edellyttävät salasanan vanhenemista arkaluonteisissa tai turvaluokiteltuissa järjestelmissä.