Trebaju li korisnici biti prisiljeni redovito resetirati svoje lozinke?

Jedan od uobičajenih savjeta o sigurnosti računa je da korisnici trebaju redovito mijenjati svoje lozinke. Obrazloženje iza ovog pristupa je minimiziranje vremena za koje je bilo koja lozinka valjana, u slučaju da ikada bude ugrožena. Cijela se ova strategija temelji na povijesnim savjetima vrhunskih skupina za kibernetičku sigurnost kao što je američki NIST ili Nacionalni institut za standarde i tehnologiju.

Desetljećima su vlade i tvrtke slijedile ovaj savjet i prisiljavale svoje korisnike da redovito poništavaju lozinke, obično svakih 90 dana. Međutim, s vremenom je istraživanje pokazalo da ovaj pristup ne funkcionira kako je predviđeno i 2017. NIST je zajedno s britanskim NCSC-om ili Nacionalnim centrom za kibernetičku sigurnost promijenio svoj savjet da zahtijeva promjenu lozinke samo kada postoji razumna sumnja na kompromis.

Zašto je savjet promijenjen?

Savjet za redovito mijenjanje lozinki izvorno je implementiran kako bi se povećala sigurnost. Iz čisto logične perspektive, savjet o redovitom osvježavanju lozinki ima smisla. Iskustvo u stvarnom svijetu ipak je malo drugačije. Istraživanje je pokazalo da je prisiljavanje korisnika da redovito mijenjaju svoje lozinke značajno povećalo vjerojatnost da će početi koristiti sličnu zaporku koju bi mogli samo povećati. Na primjer, umjesto odabira lozinki poput "9L=Xk&2>", korisnici bi umjesto toga koristili lozinke poput "Proljeće2019!".

Ispostavilo se da, kada su prisiljeni smisliti i zapamtiti više lozinki te ih zatim redovito mijenjati, ljudi dosljedno koriste nesigurnije lozinke koje se lako pamte. Problem s inkrementalnim lozinkama poput "Proljeće 2019.!" je da se lako pogađaju, a zatim olakšavaju i predviđanje budućih promjena. Kombinirano to znači da prisilno poništavanje lozinke tjera korisnike da biraju lakše za pamćenje i stoga slabije lozinke, koje obično aktivno potkopavaju namjeravanu korist od smanjenja budućeg rizika.

Na primjer, u najgorem slučaju, haker bi mogao kompromitirati lozinku "Proljeće 2019.!" u roku od nekoliko mjeseci od njegovog važenja. U ovom trenutku mogu isprobati varijante s "Jesen" umjesto "Proljeće" i vjerojatno će dobiti pristup. Ako tvrtka otkrije ovu sigurnosnu povredu, a zatim prisili korisnike da promijene svoje lozinke, prilično je vjerojatno da će pogođeni korisnik samo promijeniti svoju lozinku u "Winter2019!" i misle da su sigurni. Haker, poznavajući obrazac, može to pokušati ako ponovno dobije pristup. Ovisno o tome koliko dugo se korisnik drži ovog obrasca, napadač ga može koristiti za pristup tijekom više godina, a sve dok se korisnik osjeća sigurnim jer redovito mijenja svoju lozinku.

Koji je novi savjet?

Kako bismo potaknuli korisnike da izbjegavaju formulične lozinke, savjet je da se lozinke poništavaju samo kada postoji opravdana sumnja da su kompromitirane. Ne prisiljavajući korisnike da redovito pamte novu zaporku, vjerojatnije je da će na prvom mjestu odabrati jaku zaporku.

U kombinaciji s tim su brojne druge preporuke usmjerene na poticanje stvaranja jačih lozinki. To uključuje osiguravanje da sve lozinke imaju najmanje osam znakova u apsolutnom minimumu i da maksimalni broj znakova iznosi najmanje 64 znaka. Također je preporučio da se tvrtke počnu odmicati od pravila složenosti prema korištenju popisa blokiranih pomoću rječnika slabih lozinki kao što je "ChangeMe!" i "Password1" koji ispunjavaju mnoge zahtjeve složenosti.

Zajednica kibernetičke sigurnosti gotovo se jednoglasno slaže da lozinke ne bi trebale isteći automatski.

Napomena: Nažalost, u nekim scenarijima to će možda biti potrebno učiniti jer neke vlade tek trebaju promijeniti zakone koji zahtijevaju istek lozinke za osjetljive ili povjerljive sustave.