Mali by byť používatelia nútení pravidelne obnovovať svoje heslá?

Jednou z bežných rád týkajúcich sa zabezpečenia účtu je, že používatelia by si mali pravidelne meniť heslá. Dôvodom tohto prístupu je minimalizovať dobu platnosti akéhokoľvek hesla v prípade, že by bolo niekedy prezradené. Celá táto stratégia je založená na historických radách od popredných skupín pre kybernetickú bezpečnosť, ako je americký NIST alebo Národný inštitút pre štandardy a technológie.

Po celé desaťročia sa vlády a spoločnosti riadili touto radou a nútili svojich používateľov pravidelne obnovovať heslá, zvyčajne každých 90 dní. Postupom času však výskum ukázal, že tento prístup nefungoval tak, ako mal, a v roku 2017 NIST spolu s britským NCSC alebo Národným centrom kybernetickej bezpečnosti zmenili svoje rady tak, aby vyžadovali zmeny hesla len vtedy, keď existuje dôvodné podozrenie z kompromitovania.

Prečo bola rada zmenená?

Odporúčanie pravidelne meniť heslá bolo pôvodne implementované na zvýšenie bezpečnosti. Z čisto logického hľadiska rada pravidelne obnovovať heslá dáva zmysel. Skúsenosti z reálneho sveta sú však trochu iné. Výskum ukázal, že nútenie používateľov pravidelne meniť svoje heslá výrazne zvýšilo pravdepodobnosť, že začnú používať podobné heslo, ktoré by mohli len zvýšiť. Napríklad namiesto výberu hesiel ako „9L=Xk&2>“ by používatelia namiesto toho používali heslá ako „Jar 2019!“.

Ukazuje sa, že keď sú ľudia nútení vymyslieť a zapamätať si viacero hesiel a potom ich pravidelne meniť, ľudia neustále používajú ľahko zapamätateľné heslá, ktoré sú nebezpečnejšie. Problém s prírastkovými heslami ako „Jar 2019!“ je to, že sa dajú ľahko uhádnuť a potom je ľahké predpovedať aj budúce zmeny. Spolu to znamená, že vynútenie resetovania hesiel núti používateľov vyberať si ľahšie zapamätateľné, a teda slabšie heslá, ktoré zvyčajne aktívne podkopávajú zamýšľaný prínos zníženia budúceho rizika.

Napríklad v najhoršom prípade by hacker mohol prelomiť heslo „Jar 2019!“ do niekoľkých mesiacov od jeho platnosti. V tomto bode môžu vyskúšať varianty s „Jeseň“ namiesto „Jar“ a pravdepodobne získajú prístup. Ak spoločnosť zistí toto porušenie bezpečnosti a potom prinúti používateľov, aby si zmenili svoje heslá, je dosť pravdepodobné, že dotknutý používateľ si jednoducho zmení heslo na „Zima 2019!“ a myslia si, že sú v bezpečí. Hacker, ktorý pozná vzor, ​​to môže skúsiť, ak bude schopný znova získať prístup. V závislosti od toho, ako dlho sa používateľ drží tohto vzoru, by ho útočník mohol použiť na prístup počas niekoľkých rokov, pričom sa používateľ cíti bezpečne, pretože pravidelne mení svoje heslo.

Aká je nová rada?

S cieľom pomôcť povzbudiť používateľov, aby sa vyhýbali vzorovým heslám, sa teraz odporúča resetovať heslá len vtedy, keď existuje dôvodné podozrenie, že boli prezradené. Tým, že nenútite používateľov pravidelne si pamätať nové heslo, je pravdepodobnejšie, že si v prvom rade vyberú silné heslo.

V kombinácii s tým je množstvo ďalších odporúčaní zameraných na podporu vytvárania silnejších hesiel. Patrí medzi ne zabezpečenie toho, aby všetky heslá mali minimálne osem znakov a aby maximálny počet znakov bol aspoň 64 znakov. Odporúča tiež, aby spoločnosti začali ustupovať od pravidiel zložitosti smerom k používaniu blokovaných zoznamov pomocou slovníkov slabých hesiel, ako napríklad „ChangeMe!“. a „Password1“, ktoré spĺňajú mnohé požiadavky na zložitosť.

Komunita kybernetickej bezpečnosti takmer jednohlasne súhlasí s tým, že platnosť hesiel by nemala byť automaticky ukončená.

Poznámka: Bohužiaľ, v niektorých scenároch to môže byť stále potrebné, pretože niektoré vlády musia ešte zmeniť zákony vyžadujúce uplynutie platnosti hesla pre citlivé alebo utajované systémy.