Vai lietotājiem jābūt spiestiem regulāri atiestatīt savas paroles?

Viens no izplatītākajiem konta drošības padomiem ir tāds, ka lietotājiem regulāri jāmaina paroles. Šīs pieejas iemesls ir samazināt paroles derīguma laiku, ja tā kādreiz tiek apdraudēta. Visa šī stratēģija ir balstīta uz vēsturiskiem padomiem no vadošajām kiberdrošības grupām, piemēram, Amerikas NIST vai Nacionālā standartu un tehnoloģiju institūta.

Gadu desmitiem valdības un uzņēmumi ievēroja šo ieteikumu un piespieda savus lietotājus regulāri atiestatīt paroles, parasti ik pēc 90 dienām. Tomēr laika gaitā pētījumi parādīja, ka šī pieeja nedarbojās, kā paredzēts, un 2017. gadā NIST kopā ar Apvienotās Karalistes NCSC jeb Nacionālo kiberdrošības centru mainīja savus ieteikumus, lai pieprasītu paroles maiņu tikai tad, ja ir pamatotas aizdomas par uzlaušanu.

Kāpēc padoms tika mainīts?

Ieteikums regulāri mainīt paroles sākotnēji tika ieviests, lai palīdzētu palielināt drošību. No tīri loģiskā viedokļa padoms regulāri atsvaidzināt paroles ir saprātīgs. Tomēr reālā pieredze ir nedaudz atšķirīga. Pētījumi parādīja, ka, liekot lietotājiem regulāri mainīt paroles, viņi ievērojami palielināja iespēju sākt lietot līdzīgu paroli, kuru viņi varēja tikai palielināt. Piemēram, tā vietā, lai izvēlētos paroles, piemēram, “9L=Xk&2>”, lietotāji izmanto tādas paroles kā “Pavasaris2019!”.

Izrādās, kad cilvēki ir spiesti izdomāt un atcerēties vairākas paroles un pēc tam tās regulāri mainīt, cilvēki pastāvīgi izmanto viegli iegaumējamas paroles, kas ir nedrošākas. Problēma ar papildu parolēm, piemēram, “Pavasaris2019!” ir tas, ka tos ir viegli uzminēt un pēc tam ir viegli paredzēt arī turpmākās izmaiņas. Tas kopā nozīmē, ka paroles atiestatīšanas piespiešana liek lietotājiem izvēlēties vieglāk iegaumējamas un līdz ar to vājākas paroles, kas parasti aktīvi mazina plānoto ieguvumu, samazinot nākotnes risku.

Piemēram, sliktākajā gadījumā hakeris var apdraudēt paroli “Pavasaris2019!” dažu mēnešu laikā pēc tā stāšanās spēkā. Šajā brīdī viņi var izmēģināt variantus ar “Rudens”, nevis “Pavasaris”, un viņi, visticamāk, iegūs piekļuvi. Ja uzņēmums konstatē šo drošības pārkāpumu un pēc tam liek lietotājiem mainīt savas paroles, ir diezgan iespējams, ka ietekmētais lietotājs vienkārši nomainīs savu paroli uz “Ziema 2019!” un domā, ka viņi ir droši. Hakeris, zinot modeli, var to izmēģināt, ja atkal varēs piekļūt. Atkarībā no tā, cik ilgi lietotājs pieturas pie šī modeļa, uzbrucējs to var izmantot piekļuvei vairākus gadus, kamēr lietotājs jūtas droši, jo regulāri maina savu paroli.

Kāds ir jauns padoms?

Lai mudinātu lietotājus izvairīties no formulām parolēm, tagad ir ieteicams atiestatīt paroles tikai tad, ja ir pamatotas aizdomas, ka tās ir apdraudētas. Neliekot lietotājiem regulāri atcerēties jaunu paroli, viņi, visticamāk, vispirms izvēlēsies spēcīgu paroli.

Kopā ar to ir vairāki citi ieteikumi, kuru mērķis ir veicināt spēcīgāku paroļu izveidi. Tie ietver nodrošināšanu, ka visas paroles ir vismaz astoņas rakstzīmes garas un maksimālais rakstzīmju skaits ir vismaz 64 rakstzīmes. Tā arī ieteica uzņēmumiem sākt atteikties no sarežģītības noteikumiem un izmantot bloķēšanas sarakstus, izmantojot vāju paroļu vārdnīcas, piemēram, "ChangeMe!" un “Password1”, kas atbilst daudzām sarežģītības prasībām.

Kiberdrošības kopiena gandrīz vienbalsīgi piekrīt, ka parolēm nevajadzētu beigties automātiski.

Piezīme. Diemžēl dažos gadījumos tas joprojām var būt nepieciešams, jo dažām valdībām vēl ir jāmaina likumi, kas pieprasa paroles derīguma termiņu sensitīvām vai klasificētām sistēmām.