Однією з поширених порад щодо безпеки облікового запису є те, що користувачі повинні регулярно змінювати свої паролі. Причина цього підходу полягає в тому, щоб мінімізувати час, протягом якого будь-який пароль дійсний, на випадок, якщо він коли-небудь буде зламаний. Вся ця стратегія заснована на історичних порадах провідних груп з кібербезпеки, таких як американський NIST або Національний інститут стандартів і технологій.
Протягом десятиліть уряди та компанії дотримувались цієї поради і змушували своїх користувачів регулярно скидати паролі, як правило, кожні 90 днів. Проте з часом дослідження показали, що цей підхід не працював належним чином, і в 2017 році NIST разом із NCSC Великобританії або Національним центром кібербезпеки змінили свої поради, вимагаючи змінювати пароль лише тоді, коли є обґрунтовані підозри на компроміс.
Порада регулярно змінювати паролі спочатку була реалізована для підвищення безпеки. З чисто логічної точки зору порада регулярно оновлювати паролі має сенс. Однак реальний досвід дещо інший. Дослідження показали, що примушування користувачів регулярно змінювати свої паролі значно збільшує ймовірність того, що вони почнуть використовувати подібний пароль, який вони можуть просто збільшити. Наприклад, замість того, щоб вибирати паролі на кшталт «9L=Xk&2>», користувачі використовуватимуть паролі типу «Весна 2019!».
Виявляється, коли люди змушені придумати і запам’ятати кілька паролів, а потім регулярно їх змінювати, люди постійно використовують легко запам’ятовуються паролі, які є більш небезпечними. Проблема з інкрементальними паролями, як-от «Весна 2019!» полягає в тому, що їх легко вгадати, а потім полегшити прогнозування майбутніх змін. У поєднанні це означає, що примусове скидання пароля спонукає користувачів вибирати паролі, які легші для запам’ятовування і, отже, слабкіші, що зазвичай активно підриває передбачувану вигоду від зниження ризику в майбутньому.
Наприклад, у гіршому випадку хакер може зламати пароль «Весна 2019!» протягом кількох місяців з моменту його дії. У цей момент вони можуть спробувати варіанти з «Осінь» замість «Весна», і вони, ймовірно, отримають доступ. Якщо компанія виявить це порушення безпеки, а потім змусить користувачів змінити свої паролі, досить ймовірно, що постраждалий користувач просто змінить свій пароль на «Зима2019!» і думають, що вони безпечні. Хакер, знаючи шаблон, цілком може спробувати це, якщо зможе знову отримати доступ. Залежно від того, як довго користувач дотримується цього шаблону, зловмисник може використовувати його для доступу протягом кількох років, поки користувач почувається в безпеці, оскільки він регулярно змінює свій пароль.
Щоб спонукати користувачів уникати шаблонних паролів, тепер радимо скидати паролі лише тоді, коли є обґрунтована підозра, що вони були зламані. Не змушуючи користувачів регулярно запам’ятовувати новий пароль, вони, швидше за все, виберуть надійний пароль.
У поєднанні з цим є ряд інших рекомендацій, спрямованих на заохочення створення більш надійних паролів. Вони включають в себе забезпечення того, щоб усі паролі складалися щонайменше з восьми символів, а максимальна кількість символів становила не менше 64 символів. Він також рекомендував компаніям почати відходити від правил складності до використання списків блокування з використанням словників слабких паролів, таких як «ChangeMe!» та «Password1», які відповідають багатьом вимогам щодо складності.
Спільнота кібербезпеки майже одноголосно погоджується з тим, що термін дії паролів не повинен закінчуватися автоматично.
Примітка. На жаль, у деяких випадках це все ще може знадобитися, оскільки деякі уряди ще не змінили закони, які вимагають закінчення терміну дії пароля для конфіденційних або секретних систем.
Маєте проблеми із заїканням відео та пропусканням кадрів у Microsoft Edge? Відкрийте для себе перевірені виправлення, від налаштувань апаратного прискорення до очищення кешу, для плавного відтворення в найновіших збірках Edge.
Набридло, що Microsoft Edge показує, що DNS-зонд завершено, і немає інтернету? Отримайте миттєві виправлення за допомогою покрокових рішень. Відновіть роботу в Інтернеті за лічені хвилини – жодних технічних навичок не потрібно!
Набрид чорний екран і затримки в Microsoft Edge YouTube, які псують ваші відео? Скористайтеся цими покроковими порадами експертів для плавного відтворення. Швидкі перемоги всередині!
Втомилися від надокучливої помилки Microsoft Edge Clock Ahead, яка блокує перегляд веб-сторінок? Отримайте миттєві виправлення: синхронізуйте годинник, скиньте налаштування Edge, очистіть кеш тощо. Працює завжди!
Зіткнулися з проблемами з ключем відновлення BitLocker у Microsoft Edge? Відкрийте для себе перевірені рішення для швидкого відновлення доступу. Покрокове усунення несправностей Microsoft Edge BitLocker з найновішими порадами.
Набридло, що помилка Microsoft Edge 500 призводить до збою в роботі браузера? Отримайте покрокові виправлення для внутрішніх проблем сервера. Очистіть кеш, вимкніть розширення, оновіть Edge та швидко вирішіть проблеми для плавного перегляду веб-сторінок.
Маєте проблеми з відлунням мікрофона в Microsoft Edge під час веб-дзвінків? Цей вичерпний посібник пропонує покрокові рішення для виправлення відлуння мікрофона Microsoft Edge в Zoom, Teams, Google Meet та інших програмах для безперебійного спілкування.
Втомилися від тьмяних вкладок у Microsoft Edge? Дізнайтеся, як виправити проблему з акриловим ефектом, яка не відображається, за допомогою простих та актуальних кроків. Відновіть приголомшливе розмиття та прозорість в останніх версіях Edge для сучасного вигляду!
Розчаровані помилками «Відмовлено в доступі до Microsoft Edge» на певних сайтах? Відкрийте для себе перевірені покрокові виправлення, такі як очищення кешу, вимкнення запобігання відстеженню тощо. Швидко поверніться до роботи в мережі!
Втомилися від помилок оновлення Microsoft Edge, які призводять до збою роботи браузера Windows 11? Скористайтеся цим посібником з усунення несправностей, пов’язаних з оновленням Microsoft Edge у Windows 11, який містить прості та ефективні виправлення для таких помилок, як 0x80070005, зависання оновлень тощо.
