Ar vartotojai turėtų būti priversti reguliariai iš naujo nustatyti slaptažodžius?

Vienas iš įprastų paskyros saugumo patarimų yra tai, kad vartotojai turėtų reguliariai keisti slaptažodžius. Šio metodo tikslas yra sumažinti bet kurio slaptažodžio galiojimo laiką, jei jis kada nors būtų pažeistas. Visa ši strategija pagrįsta istoriniais patarimais iš geriausių kibernetinio saugumo grupių, tokių kaip Amerikos NIST arba Nacionalinis standartų ir technologijų institutas.

Dešimtmečius vyriausybės ir įmonės laikėsi šio patarimo ir privertė savo vartotojus reguliariai nustatyti slaptažodžius iš naujo, paprastai kas 90 dienų. Tačiau laikui bėgant tyrimai parodė, kad šis metodas neveikė taip, kaip buvo numatyta, ir 2017 m. NIST kartu su JK NCSC arba Nacionaliniu kibernetinio saugumo centru pakeitė savo patarimus, kad slaptažodžio keitimas būtų reikalaujamas tik tada, kai yra pagrįstas įtarimas, kad jis buvo pažeistas.

Kodėl patarimas buvo pakeistas?

Patarimas reguliariai keisti slaptažodžius iš pradžių buvo įgyvendintas siekiant padidinti saugumą. Žvelgiant iš grynai loginės perspektyvos, patarimas reguliariai atnaujinti slaptažodžius yra prasmingas. Tačiau tikroji patirtis šiek tiek skiriasi. Tyrimai parodė, kad privertus vartotojus reguliariai keisti slaptažodžius jie žymiai labiau linkę pradėti naudoti panašų slaptažodį, kurį jie galėjo tik padidinti. Pavyzdžiui, užuot rinkę slaptažodžius, pvz., „9L=Xk&2>“, vartotojai naudotų tokius slaptažodžius kaip „2019 m. pavasaris!“.

Pasirodo, kai priversti sugalvoti ir atsiminti kelis slaptažodžius, o vėliau juos reguliariai keisti, žmonės nuolat naudoja lengvai įsimenamus slaptažodžius, kurie yra labiau nesaugūs. Problema dėl didėjančių slaptažodžių, pvz., „2019 m. pavasaris! yra tai, kad jie yra lengvai atspėti ir leidžia lengvai numatyti būsimus pokyčius. Kartu tai reiškia, kad priverstinis slaptažodžio nustatymas iš naujo verčia vartotojus pasirinkti lengviau įsimenamus, taigi ir silpnesnius slaptažodžius, kurie paprastai kenkia numatomai būsimos rizikos mažinimo naudai.

Pavyzdžiui, blogiausiu atveju įsilaužėlis gali pažeisti slaptažodį „2019 m. pavasaris! per kelis mėnesius nuo jo įsigaliojimo. Šiuo metu jie gali išbandyti variantus su „ruduo“, o ne „pavasaris“, ir greičiausiai gaus prieigą. Jei įmonė aptiks šį saugumo pažeidimą ir privers vartotojus pakeisti savo slaptažodžius, gana tikėtina, kad paveiktas vartotojas tiesiog pakeis slaptažodį į „Winter2019!“ ir mano, kad jie saugūs. Įsilaužėlis, žinantis šabloną, gali tai išbandyti, jei vėl galės pasiekti. Priklausomai nuo to, kiek laiko vartotojas laikosi šio modelio, užpuolikas gali jį naudoti siekdamas pasiekti kelerius metus, kol vartotojas jaučiasi saugus, nes reguliariai keičia slaptažodį.

Koks naujas patarimas?

Siekiant paskatinti vartotojus vengti formulinių slaptažodžių, dabar patariama iš naujo nustatyti slaptažodžius tik tada, kai yra pagrįstas įtarimas, kad jie buvo pažeisti. Neverčiant vartotojų reguliariai prisiminti naujo slaptažodžio, jie labiau linkę pirmiausia pasirinkti stiprų slaptažodį.

Kartu su tuo yra keletas kitų rekomendacijų, skirtų skatinti kurti stipresnius slaptažodžius. Tai apima užtikrinimą, kad visi slaptažodžiai būtų ne mažiau kaip aštuonių simbolių ilgio ir kad didžiausias simbolių skaičius būtų bent 64 simboliai. Ji taip pat rekomendavo įmonėms pradėti atsisakyti sudėtingumo taisyklių ir naudoti blokavimo sąrašus, naudojant silpnų slaptažodžių žodynus, tokius kaip „ChangeMe! ir „Password1“, kurie atitinka daugelį sudėtingumo reikalavimų.

Kibernetinio saugumo bendruomenė beveik vienbalsiai sutinka, kad slaptažodžių galiojimo laikas neturėtų baigtis automatiškai.

Pastaba: Deja, kai kuriais atvejais vis tiek gali prireikti tai padaryti, nes kai kurios vyriausybės dar turi pakeisti įstatymus, reikalaujančius slaptažodžio galiojimo pabaigos jautriose arba įslaptintose sistemose.