Ali bi morali biti uporabniki prisiljeni redno ponastavljati svoja gesla?

Eden od pogostih nasvetov o varnosti računa je, da morajo uporabniki redno spreminjati svoja gesla. Razlog za ta pristop je skrajšanje časa veljavnosti katerega koli gesla v primeru, da bi bilo kdaj ogroženo. Celotna strategija temelji na zgodovinskih nasvetih vrhunskih skupin za kibernetsko varnost, kot je ameriški NIST ali Nacionalni inštitut za standarde in tehnologijo.

Desetletja so vlade in podjetja sledile tem nasvetom in prisilile svoje uporabnike, da redno ponastavljajo gesla, običajno vsakih 90 dni. Sčasoma pa so raziskave pokazale, da ta pristop ni deloval, kot je bilo predvideno, in leta 2017 je NIST skupaj z britanskim NCSC ali Nacionalnim centrom za kibernetsko varnost spremenili svoje nasvete in zahtevali spremembe gesla le, če obstaja utemeljen sum o kompromisu.

Zakaj je bil nasvet spremenjen?

Nasvet za redno spreminjanje gesel je bil prvotno uporabljen za povečanje varnosti. S čisto logičnega vidika je nasvet, da redno posodabljate gesla, smiseln. Resnična izkušnja pa je nekoliko drugačna. Raziskave so pokazale, da je zaradi siljenja uporabnikov, da redno spreminjajo svoja gesla, veliko večja verjetnost, da bodo začeli uporabljati podobno geslo, ki bi ga lahko samo povečali. Na primer, namesto da bi izbrali gesla, kot je "9L=Xk&2>", bi uporabniki namesto tega uporabili gesla, kot je "Pomlad 2019!".

Izkazalo se je, da ljudje vedno uporabljajo gesla, ki si jih je enostavno zapomniti, in so bolj nevarna, ko so prisiljeni pripraviti in zapomniti več gesel ter jih nato redno spreminjati. Težava s inkrementalnimi gesli, kot je "Pomlad 2019!" je, da jih je enostavno uganiti in nato olajšati napovedovanje tudi prihodnjih sprememb. Skupaj to pomeni, da prisilna ponastavitev gesel spodbuja uporabnike, da izberejo lažje zapomnjena in zato šibkejša gesla, ki običajno aktivno spodkopavajo predvideno korist zmanjšanja prihodnjega tveganja.

Na primer, v najslabšem primeru bi lahko heker ogrozil geslo »Pomlad 2019!« v nekaj mesecih od njegove veljavnosti. Na tej točki lahko preizkusijo različice z "jesen" namesto "pomlad" in verjetno bodo dobili dostop. Če podjetje zazna to varnostno kršitev in nato uporabnike prisili, da spremenijo svoja gesla, je precej verjetno, da bo prizadeti uporabnik svoje geslo samo spremenil v »Zima 2019!« in mislijo, da so varni. Heker, ki pozna vzorec, lahko to poskusi, če lahko znova pridobi dostop. Odvisno od tega, kako dolgo se uporabnik drži tega vzorca, lahko napadalec to uporablja za dostop več let, medtem ko se uporabnik počuti varnega, ker redno spreminja svoje geslo.

Kakšen je nov nasvet?

Da bi spodbudili uporabnike, da se izogibajo standardnim geslom, je zdaj nasvet, naj gesla ponastavijo le, če obstaja utemeljen sum, da so bila ogrožena. Če uporabnikov ne silijo, da si redno zapomnijo novo geslo, je večja verjetnost, da bodo najprej izbrali močno geslo.

V kombinaciji s tem so številna druga priporočila za spodbujanje ustvarjanja močnejših gesel. Ti vključujejo zagotavljanje, da so vsa gesla dolga vsaj osem znakov pri absolutnem minimumu in da je največje število znakov vsaj 64 znakov. Prav tako je podjetjem priporočil, da se začnejo odmikati od pravil o zapletenosti k uporabi seznamov blokiranih z uporabo slovarjev šibkih gesel, kot je "ChangeMe!" in »Password1«, ki izpolnjujejo številne zahteve glede kompleksnosti.

Skupnost za kibernetsko varnost se skoraj soglasno strinja, da gesla ne bi smela poteči samodejno.

Opomba: Na žalost bo v nekaterih primerih to morda še vedno potrebno, saj nekatere vlade še niso spremenile zakonov, ki zahtevajo potek gesla za občutljive ali tajne sisteme.