Однією з поширених порад щодо безпеки облікового запису є те, що користувачі повинні регулярно змінювати свої паролі. Причина цього підходу полягає в тому, щоб мінімізувати час, протягом якого будь-який пароль дійсний, на випадок, якщо він коли-небудь буде зламаний. Вся ця стратегія заснована на історичних порадах провідних груп з кібербезпеки, таких як американський NIST або Національний інститут стандартів і технологій.
Протягом десятиліть уряди та компанії дотримувались цієї поради і змушували своїх користувачів регулярно скидати паролі, як правило, кожні 90 днів. Проте з часом дослідження показали, що цей підхід не працював належним чином, і в 2017 році NIST разом із NCSC Великобританії або Національним центром кібербезпеки змінили свої поради, вимагаючи змінювати пароль лише тоді, коли є обґрунтовані підозри на компроміс.
Порада регулярно змінювати паролі спочатку була реалізована для підвищення безпеки. З чисто логічної точки зору порада регулярно оновлювати паролі має сенс. Однак реальний досвід дещо інший. Дослідження показали, що примушування користувачів регулярно змінювати свої паролі значно збільшує ймовірність того, що вони почнуть використовувати подібний пароль, який вони можуть просто збільшити. Наприклад, замість того, щоб вибирати паролі на кшталт «9L=Xk&2>», користувачі використовуватимуть паролі типу «Весна 2019!».
Виявляється, коли люди змушені придумати і запам’ятати кілька паролів, а потім регулярно їх змінювати, люди постійно використовують легко запам’ятовуються паролі, які є більш небезпечними. Проблема з інкрементальними паролями, як-от «Весна 2019!» полягає в тому, що їх легко вгадати, а потім полегшити прогнозування майбутніх змін. У поєднанні це означає, що примусове скидання пароля спонукає користувачів вибирати паролі, які легші для запам’ятовування і, отже, слабкіші, що зазвичай активно підриває передбачувану вигоду від зниження ризику в майбутньому.
Наприклад, у гіршому випадку хакер може зламати пароль «Весна 2019!» протягом кількох місяців з моменту його дії. У цей момент вони можуть спробувати варіанти з «Осінь» замість «Весна», і вони, ймовірно, отримають доступ. Якщо компанія виявить це порушення безпеки, а потім змусить користувачів змінити свої паролі, досить ймовірно, що постраждалий користувач просто змінить свій пароль на «Зима2019!» і думають, що вони безпечні. Хакер, знаючи шаблон, цілком може спробувати це, якщо зможе знову отримати доступ. Залежно від того, як довго користувач дотримується цього шаблону, зловмисник може використовувати його для доступу протягом кількох років, поки користувач почувається в безпеці, оскільки він регулярно змінює свій пароль.
Щоб спонукати користувачів уникати шаблонних паролів, тепер радимо скидати паролі лише тоді, коли є обґрунтована підозра, що вони були зламані. Не змушуючи користувачів регулярно запам’ятовувати новий пароль, вони, швидше за все, виберуть надійний пароль.
У поєднанні з цим є ряд інших рекомендацій, спрямованих на заохочення створення більш надійних паролів. Вони включають в себе забезпечення того, щоб усі паролі складалися щонайменше з восьми символів, а максимальна кількість символів становила не менше 64 символів. Він також рекомендував компаніям почати відходити від правил складності до використання списків блокування з використанням словників слабких паролів, таких як «ChangeMe!» та «Password1», які відповідають багатьом вимогам щодо складності.
Спільнота кібербезпеки майже одноголосно погоджується з тим, що термін дії паролів не повинен закінчуватися автоматично.
Примітка. На жаль, у деяких випадках це все ще може знадобитися, оскільки деякі уряди ще не змінили закони, які вимагають закінчення терміну дії пароля для конфіденційних або секретних систем.
Набридло, що конфлікт синхронізації кількох профілів у Microsoft Edge псує вам роботу в Інтернеті? Дізнайтеся про покрокові рішення для вирішення помилок синхронізації, об’єднання профілів та безперебійної синхронізації на різних пристроях. Працює на останніх версіях Edge!
Втомилися від помилки призупинення облікового запису синхронізації Microsoft Edge, яка перериває роботу веб-переглядачів? Відкрийте для себе швидкі та ефективні кроки з усунення несправностей, щоб відновити безперебійну синхронізацію на всіх пристроях. Оновлено з останніми виправленнями для безпроблемної роботи з Edge.
Виправте надокучливу помилку «Нерозпізнаний диск» для ігор, сумісних зі зворотною сумісністю, на Xbox Series X|S. Скористайтеся нашими перевіреними покроковими інструкціями, щоб миттєво відновити свою бібліотеку класичних ігор.
Маєте проблеми з помилкою скидання PIN-коду Microsoft Edge Windows Hello? Дізнайтеся про покрокові способи її швидкого вирішення. Відновіть доступ до браузера без зайвих труднощів – оновлено до останніх оновлень Windows.
Маєте проблеми з порожнім білим екраном на початку роботи в Microsoft Edge? Дізнайтеся про покрокові рішення проблеми з порожнім білим екраном в Edge, від швидкого скидання налаштувань до складного ремонту. Поверніться до плавного перегляду веб-сторінок!
Покроковий посібник зі створення резервної копії даних Microsoft Edge, таких як закладки, паролі, історія та налаштування, перед скиданням системи. Захистіть свої важливі дані для перегляду за допомогою простих та надійних методів.
Застрягли з помилкою «Карта захоплення відео Microsoft Edge: немає сигналу, 60 кадрів/с»? Відкрийте для себе перевірені способи вирішення проблеми, щоб відновити сигнал, плавно досягати 60 кадрів/с і транслювати без затримок. Покроковий посібник для миттєвих результатів!
Втомилися від надокучливої помилки конфігурації Microsoft Edge Side-by-Side? Відкрийте для себе прості покрокові виправлення, щоб швидко вирішити її та відновити безперебійний перегляд. Оновлено найновішими рішеннями!
Застрягли з помилкою 124 інсталятора Microsoft Edge? Отримайте покрокові виправлення для швидкого вирішення проблем з інсталяцією. Перевірені рішення для безперебійного налаштування Edge у Windows. Технічні навички не потрібні!
Набридла помилка 124 інсталятора Microsoft Edge, яка блокує налаштування Windows 11? Скористайтеся нашими перевіреними та простими рішеннями, щоб швидко вирішити цю проблему та відновити безперебійний перегляд веб-сторінок. Технічні знання не потрібні!
