Чи потрібно змушувати користувачів регулярно скидати свої паролі?

Однією з поширених порад щодо безпеки облікового запису є те, що користувачі повинні регулярно змінювати свої паролі. Причина цього підходу полягає в тому, щоб мінімізувати час, протягом якого будь-який пароль дійсний, на випадок, якщо він коли-небудь буде зламаний. Вся ця стратегія заснована на історичних порадах провідних груп з кібербезпеки, таких як американський NIST або Національний інститут стандартів і технологій.

Протягом десятиліть уряди та компанії дотримувались цієї поради і змушували своїх користувачів регулярно скидати паролі, як правило, кожні 90 днів. Проте з часом дослідження показали, що цей підхід не працював належним чином, і в 2017 році NIST разом із NCSC Великобританії або Національним центром кібербезпеки змінили свої поради, вимагаючи змінювати пароль лише тоді, коли є обґрунтовані підозри на компроміс.

Чому пораду змінили?

Порада регулярно змінювати паролі спочатку була реалізована для підвищення безпеки. З чисто логічної точки зору порада регулярно оновлювати паролі має сенс. Однак реальний досвід дещо інший. Дослідження показали, що примушування користувачів регулярно змінювати свої паролі значно збільшує ймовірність того, що вони почнуть використовувати подібний пароль, який вони можуть просто збільшити. Наприклад, замість того, щоб вибирати паролі на кшталт «9L=Xk&2>», користувачі використовуватимуть паролі типу «Весна 2019!».

Виявляється, коли люди змушені придумати і запам’ятати кілька паролів, а потім регулярно їх змінювати, люди постійно використовують легко запам’ятовуються паролі, які є більш небезпечними. Проблема з інкрементальними паролями, як-от «Весна 2019!» полягає в тому, що їх легко вгадати, а потім полегшити прогнозування майбутніх змін. У поєднанні це означає, що примусове скидання пароля спонукає користувачів вибирати паролі, які легші для запам’ятовування і, отже, слабкіші, що зазвичай активно підриває передбачувану вигоду від зниження ризику в майбутньому.

Наприклад, у гіршому випадку хакер може зламати пароль «Весна 2019!» протягом кількох місяців з моменту його дії. У цей момент вони можуть спробувати варіанти з «Осінь» замість «Весна», і вони, ймовірно, отримають доступ. Якщо компанія виявить це порушення безпеки, а потім змусить користувачів змінити свої паролі, досить ймовірно, що постраждалий користувач просто змінить свій пароль на «Зима2019!» і думають, що вони безпечні. Хакер, знаючи шаблон, цілком може спробувати це, якщо зможе знову отримати доступ. Залежно від того, як довго користувач дотримується цього шаблону, зловмисник може використовувати його для доступу протягом кількох років, поки користувач почувається в безпеці, оскільки він регулярно змінює свій пароль.

Яка нова порада?

Щоб спонукати користувачів уникати шаблонних паролів, тепер радимо скидати паролі лише тоді, коли є обґрунтована підозра, що вони були зламані. Не змушуючи користувачів регулярно запам’ятовувати новий пароль, вони, швидше за все, виберуть надійний пароль.

У поєднанні з цим є ряд інших рекомендацій, спрямованих на заохочення створення більш надійних паролів. Вони включають в себе забезпечення того, щоб усі паролі складалися щонайменше з восьми символів, а максимальна кількість символів становила не менше 64 символів. Він також рекомендував компаніям почати відходити від правил складності до використання списків блокування з використанням словників слабких паролів, таких як «ChangeMe!» та «Password1», які відповідають багатьом вимогам щодо складності.

Спільнота кібербезпеки майже одноголосно погоджується з тим, що термін дії паролів не повинен закінчуватися автоматично.

Примітка. На жаль, у деяких випадках це все ще може знадобитися, оскільки деякі уряди ще не змінили закони, які вимагають закінчення терміну дії пароля для конфіденційних або секретних систем.