Ætti notendur að neyðast til að endurstilla lykilorð sín reglulega?

Eitt af algengum öryggisráðleggingum reikninga er að notendur ættu að breyta lykilorðum sínum reglulega. Rökin á bak við þessa nálgun eru að lágmarka þann tíma sem hvaða lykilorð er gilt fyrir, ef það verður einhvern tíma í hættu. Öll þessi stefna er byggð á sögulegum ráðleggingum frá helstu netöryggishópum eins og bandarísku NIST, eða National Institute of Standards and Technology.

Í áratugi fylgdu stjórnvöld og fyrirtæki þessu ráði og neyddu notendur sína til að endurstilla lykilorð reglulega, venjulega á 90 daga fresti. Með tímanum sýndu rannsóknir hins vegar að þessi nálgun virkaði ekki eins og til stóð og árið 2017 breyttu NIST ásamt NCSC í Bretlandi , eða National Cyber ​​Security Centre, ráðleggingum sínum til að krefjast breytinga á lykilorði þegar rökstuddur grunur er um málamiðlun.

Hvers vegna var ráðgjöfinni breytt?

Ráðið um að skipta reglulega um lykilorð var upphaflega útfært til að auka öryggi. Frá eingöngu rökréttu sjónarhorni eru ráðin um að endurnýja lykilorð reglulega skynsamleg. Raunveruleg upplifun er þó aðeins öðruvísi. Rannsóknir sýndu að það að neyða notendur til að skipta reglulega um lykilorð gerði þá verulega líklegri til að byrja að nota svipað lykilorð sem þeir gætu bara aukið. Til dæmis, frekar en að velja lykilorð eins og „9L=Xk&2>“ myndu notendur í staðinn nota lykilorð eins og „Vor2019!“.

Það kemur í ljós að þegar fólk er þvingað til að finna upp og muna mörg lykilorð og breyta þeim reglulega, notar fólk stöðugt auðveld lykilorð sem eru óöruggari. Vandamálið með stigvaxandi lykilorð eins og „Vor2019!“ er að auðvelt er að giska á þær og þá er auðvelt að spá fyrir um breytingar í framtíðinni líka. Samanlagt þýðir þetta að þvingun á endurstillingu lykilorða ýtir notendum til að velja auðveldara að muna og þar af leiðandi veikari lykilorð, sem venjulega grafa virkan undan fyrirhuguðum ávinningi af því að draga úr áhættu í framtíðinni.

Til dæmis, í versta tilviki, gæti tölvuþrjótur brotið lykilorðið „Vor2019! innan nokkurra mánaða frá því að hún öðlast gildi. Á þessum tímapunkti geta þeir prófað afbrigði með „Fall“ í stað „Vor“ og þeir eru líklegir til að fá aðgang. Ef fyrirtækið uppgötvar þetta öryggisbrest og neyðir síðan notendur til að breyta lykilorðum sínum, er nokkuð líklegt að notandinn sem verður fyrir áhrifum muni bara breyta lykilorðinu sínu í „Winter2019! og halda að þeir séu öruggir. Tölvuþrjóturinn, sem þekki mynstrið, gæti vel reynt þetta ef hann getur fengið aðgang aftur. Það fer eftir því hversu lengi notandi heldur sig við þetta mynstur, árásarmaður gæti notað þetta til að fá aðgang í mörg ár, allt á meðan notandanum finnst hann öruggur vegna þess að hann er reglulega að breyta lykilorðinu sínu.

Hvað er nýja ráðið?

Til að hjálpa til við að hvetja notendur til að forðast lykilorð með formúluformi er ráðleggingin nú að endurstilla lykilorð alltaf þegar rökstuddur grunur er um að þeim hafi verið í hættu. Með því að neyða ekki notendur til að muna reglulega eftir nýju lykilorði er líklegra að þeir velji sterkt lykilorð í fyrsta lagi.

Ásamt þessu er fjöldi annarra ráðlegginga sem miða að því að hvetja til að búa til sterkari lykilorð. Þetta felur í sér að tryggja að öll lykilorð séu að minnsta kosti átta stafir að lágmarki og að hámarksfjöldi stafa sé að minnsta kosti 64 stafir. Það var einnig mælt með því að fyrirtæki færu að hverfa frá flóknum reglum í átt að notkun á bannlista með því að nota orðabækur með veik lykilorð eins og "ChangeMe!" og „Password1“ sem uppfylla margar flóknar kröfur.

Netöryggissamfélagið er nánast einróma sammála um að lykilorð eigi ekki að renna út sjálfkrafa.

Athugið: Því miður, í sumum tilfellum, gæti samt verið nauðsynlegt að gera það, þar sem sum stjórnvöld hafa enn ekki breytt lögum sem krefjast þess að lykilorð rennur út fyrir viðkvæm eða flokkuð kerfi.