Home » » Kényszeríteni kell a felhasználókat jelszavaik rendszeres visszaállítására?

Kényszeríteni kell a felhasználókat jelszavaik rendszeres visszaállítására?

Az egyik gyakori fiókbiztonsági tanács, hogy a felhasználóknak rendszeresen módosítaniuk kell jelszavaikat. Ennek a megközelítésnek az az oka, hogy minimálisra kell csökkenteni a jelszó érvényességi idejét, arra az esetre, ha valaha is veszélybe kerülne. Ez az egész stratégia olyan vezető kiberbiztonsági csoportoktól származó történelmi tanácsokon alapul, mint az amerikai NIST vagy a National Institute of Standards and Technology.

Évtizedeken keresztül a kormányok és a vállalatok követték ezt a tanácsot, és arra kényszerítették felhasználóikat, hogy rendszeresen, jellemzően 90 naponként állítsák vissza jelszavaikat. Idővel azonban a kutatás kimutatta, hogy ez a megközelítés nem működött a szándék szerint, és 2017-ben a NIST az Egyesült Királyság NCSC-vel (National Cyber ​​Security Centre) együtt megváltoztatta tanácsát, és csak akkor követelte meg a jelszó megváltoztatását, ha megalapozottan gyanítható a kompromittálás.

Miért változott a tanács?

A jelszavak rendszeres megváltoztatására vonatkozó tanácsot eredetileg a biztonság növelése érdekében hajtották végre. Pusztán logikai szempontból a jelszavak rendszeres frissítésére vonatkozó tanácsnak van értelme. A valós élmény azonban kissé más. A kutatások kimutatták, hogy ha a felhasználókat arra kényszerítették, hogy rendszeresen változtassák jelszavaikat, jelentősen nagyobb valószínűséggel kezdenek el használni egy hasonló jelszót, amelyet csak növelni tudtak. A felhasználók például ahelyett, hogy olyan jelszavakat választanának, mint a „9L=Xk&2>”, olyan jelszavakat használnának, mint a „Tavasz2019!”.

Kiderült, hogy amikor arra kényszerülnek, hogy több jelszót találjanak ki és emlékezzenek, majd rendszeresen módosítsák azokat, az emberek következetesen könnyen megjegyezhető jelszavakat használnak, amelyek bizonytalanabbak. Probléma a növekményes jelszavakkal, például „2019 tavasz!” az, hogy könnyen kitalálhatók, és megkönnyítik a jövőbeli változások előrejelzését is. Ez együttesen azt jelenti, hogy a jelszó-visszaállítás kényszerítése arra készteti a felhasználókat, hogy könnyebben megjegyezhető és ezáltal gyengébb jelszavakat válasszanak, amelyek jellemzően aktívan aláássák a jövőbeli kockázatok csökkentésének tervezett előnyét.

Például a legrosszabb forgatókönyv esetén egy hacker feltörheti a „Spring2019!” jelszót. érvényességétől számított néhány hónapon belül. Ezen a ponton kipróbálhatják a „tavasz” helyett „ősz”-t tartalmazó változatokat, és valószínűleg hozzáférnek. Ha a vállalat észleli ezt a biztonsági rést, majd jelszavak megváltoztatására kényszeríti a felhasználókat, akkor meglehetősen valószínű, hogy az érintett felhasználó csak „Winter2019”-re módosítja a jelszavát! és úgy gondolja, hogy biztonságban vannak. A hacker, ismerve a mintát, megpróbálhatja ezt, ha újra hozzáférhet. Attól függően, hogy a felhasználó mennyi ideig ragaszkodik ehhez a mintához, a támadó több éven keresztül is használhatja ezt a hozzáféréshez, miközben a felhasználó biztonságban érzi magát, mert rendszeresen módosítja jelszavát.

Mi az új tanács?

Annak érdekében, hogy a felhasználókat arra ösztönözzük, hogy kerüljék a képletjelszavakat, azt tanácsoljuk, hogy mindig csak akkor állítsa vissza a jelszavakat, ha megalapozottan gyanítható, hogy feltörték őket. Ha nem kényszerítik a felhasználókat arra, hogy rendszeresen emlékezzenek egy új jelszóra, nagyobb valószínűséggel választanak először egy erős jelszót.

Ezzel párosul számos egyéb ajánlás, amelyek célja erősebb jelszavak létrehozásának ösztönzése. Ezek közé tartozik annak biztosítása, hogy minden jelszó legalább nyolc karakter hosszú legyen, és a maximális karakterszám legalább 64 karakter. Azt is javasolta, hogy a vállalatok kezdjenek el távolodni a bonyolultsági szabályoktól a tiltólisták használatára, amelyek gyenge jelszavakat tartalmazó szótárakat használnak, mint például a „ChangeMe!” és a „Jelszó1”, amelyek számos összetettségi követelménynek megfelelnek.

A kiberbiztonsági közösség szinte egyöntetűen egyetért azzal, hogy a jelszavak nem járhatnak le automatikusan.

Megjegyzés: Sajnos bizonyos forgatókönyvek esetén erre továbbra is szükség lehet, mivel egyes kormányoknak még meg kell változtatniuk azokat a törvényeket, amelyek megkövetelik a jelszó lejártát az érzékeny vagy minősített rendszerek esetében.


Leave a Comment

Mi a teendő, ha a WhatsApp Web nem működik

Mi a teendő, ha a WhatsApp Web nem működik

A WhatsApp web nem működik? Ne aggódj. Íme néhány hasznos tipp, amivel újra működésbe hozhatod a WhatsApp-ot.

Google Meet ülés indítása Gmailből

Google Meet ülés indítása Gmailből

A Google Meet kiváló alternatíva más videokonferencia alkalmazásokhoz, mint például a Zoom. Bár nem rendelkezik ugyanazokkal a funkciókkal, mégis használhat más nagyszerű lehetőségeket, például korlátlan értekezleteket és videó- és audio-előnézeti képernyőt. Tanulja meg, hogyan indíthat Google Meet ülést közvetlenül a Gmail oldaláról, a következő lépésekkel.

Hogyan ellenőrizzük a Direct X verzióját Windows 11 alatt

Hogyan ellenőrizzük a Direct X verzióját Windows 11 alatt

Ez a gyakorlati útmutató megmutatja, hogyan találhatja meg a DirectX verzióját, amely a Microsoft Windows 11 számítógépén fut.

7 Gyakori Spotify Probléma és Megoldásaik

7 Gyakori Spotify Probléma és Megoldásaik

A Spotify különféle gyakori hibákra utal, például zene vagy podcast lejátszásának hiányára. Ez az útmutató megmutatja, hogyan lehet ezeket orvosolni.

Opera Android: Sötét mód konfigurálása

Opera Android: Sötét mód konfigurálása

Ha a sötét módot konfigurálod Androidon, egy olyan téma jön létre, amely kíméli a szemed. Ha sötét környezetben kell nézned a telefonodat, valószínűleg el kell fordítanod a szemedet, mert a világos mód bántja a szemedet. Használj sötét módot az Opera böngészőben Androidra, és nézd meg, hogyan tudod konfigurálni a sötét módot.

Javítás – A Google Androidon offline-ként jelenik meg

Javítás – A Google Androidon offline-ként jelenik meg

Rendelkezik internetkapcsolattal a telefonján, de a Google alkalmazás offline problémával küzd? Olvassa el ezt az útmutatót, hogy megtalálja a bevált javításokat!

A Microsoft Edge biztonsági beállításainak megváltoztatása

A Microsoft Edge biztonsági beállításainak megváltoztatása

Az Edge megkönnyíti a biztonságos böngészést. Íme, hogyan változtathatja meg a biztonsági beállításokat a Microsoft Edge-ben.

Hogyan kezeljük a Google Play előfizetéseinket Androidon

Hogyan kezeljük a Google Play előfizetéseinket Androidon

Számos nagyszerű alkalmazás található a Google Playen, amelyekért érdemes lehet előfizetni. Idővel azonban a lista bővül, így kezelni kell a Google Play előfizetéseinket.

Hogyan javítsam ki a videofolytonossági problémákat a Windows 11-en?

Hogyan javítsam ki a videofolytonossági problémákat a Windows 11-en?

A videofolytonossági problémák megoldásához a Windows 11-en frissítse a grafikus illesztőprogramot a legújabb verzióra, és tiltsa le a hardveres gyorsítást.

Facebook: Hogyan rejtsük el a csoportbejegyzéseket a hírcsatornából

Facebook: Hogyan rejtsük el a csoportbejegyzéseket a hírcsatornából

Ha meg szeretné állítani a csoportbejegyzések megjelenését a Facebookon, menjen a csoport oldalára, és kattintson a További opciók-ra. Ezután válassza az Csoport leiratkozása lehetőséget.