Jednou z běžných rad pro zabezpečení účtu je, že by uživatelé měli pravidelně měnit svá hesla. Důvodem tohoto přístupu je minimalizace doby platnosti jakéhokoli hesla pro případ, že by bylo někdy prozrazeno. Celá tato strategie je založena na historických radách předních skupin kybernetické bezpečnosti, jako je americký NIST nebo Národní institut pro standardy a technologie.
Po celá desetiletí se vlády a společnosti řídily touto radou a nutily své uživatele pravidelně obnovovat hesla, obvykle každých 90 dní. Postupem času však výzkum ukázal, že tento přístup v roce 2017 nefungoval tak, jak bylo zamýšleno NIST spolu s UK NCSC, nebo Národní centrum pro kybernetickou bezpečnost změnilo své doporučení tak, aby vyžadovalo změnu hesla pouze v případě, že existuje důvodné podezření na kompromitaci.
Proč byla rada změněna?
Rada pravidelně měnit hesla byla původně implementována za účelem zvýšení bezpečnosti. Z čistě logického hlediska má rada pravidelně obnovovat hesla smysl. Skutečná zkušenost je však trochu jiná. Výzkum ukázal, že nucení uživatelů, aby si pravidelně měnili svá hesla, výrazně zvýšilo pravděpodobnost, že začnou používat podobné heslo, které by mohli jen zvýšit. Například namísto vybírání hesel jako „9L=Xk&2>“ by uživatelé místo toho používali hesla jako „Jaro 2019!“.
Ukazuje se, že když jsou lidé nuceni vymýšlet a pamatovat si více hesel a poté je pravidelně měnit, neustále používají snadno zapamatovatelná hesla, která jsou více nezabezpečená. Problém s přírůstkovými hesly jako „Jaro 2019!“ je, že je lze snadno uhodnout a následně usnadnit předpovídání budoucích změn. V kombinaci to znamená, že vynucení resetování hesla nutí uživatele k tomu, aby si vybrali snáze zapamatovatelnou a zapamatovatelnou tedy slabší hesla, která obvykle aktivně podkopávají zamýšlený přínos snížení budoucnosti riziko.
Například v nejhorším případě by hacker mohl prolomit heslo „Jaro 2019!“ do několika měsíců od jeho platnosti. V tuto chvíli mohou vyzkoušet varianty s „podzim“ namísto „jaro“ a pravděpodobně získají přístup. Pokud společnost toto narušení bezpečnosti zjistí a poté donutí uživatele změnit svá hesla, je to spravedlivé pravděpodobně si dotčený uživatel jen změní heslo na „Zima 2019!“ a myslet si, že jsou zajistit. Hacker, který zná vzor, to může zkusit, pokud bude schopen znovu získat přístup. V závislosti na tom, jak dlouho se uživatel tohoto vzoru drží, by jej útočník mohl využít k přístupu po několik let, a to vše, zatímco se uživatel cítí bezpečně, protože pravidelně mění své heslo.
Jaká je nová rada?
Abychom pomohli uživatelům přimět, aby se vyhýbali vzorovým heslům, nyní se doporučuje resetovat hesla pouze v případě, že existuje důvodné podezření, že byla prozrazena. Tím, že nenutíte uživatele, aby si pravidelně pamatovali nové heslo, je pravděpodobnější, že si na prvním místě zvolí silné heslo.
S tím je spojena řada dalších doporučení zaměřených na podporu vytváření silnějších hesel. Mezi ně patří zajištění toho, aby všechna hesla byla dlouhá minimálně osm znaků a aby maximální počet znaků byl alespoň 64 znaků. Doporučil také, aby společnosti začaly ustupovat od pravidel složitosti směrem k používání blokovaných seznamů pomocí slovníků slabých hesel, jako je „ChangeMe!“ a „Password1“, které splňují mnoho složitostí požadavky.
Komunita kybernetické bezpečnosti téměř jednomyslně souhlasí s tím, že platnost hesel by neměla být automaticky ukončena.
Poznámka: Bohužel v některých scénářích může být stále nutné tak učinit, protože některé vlády musí ještě změnit zákony vyžadující vypršení platnosti hesla pro citlivé nebo utajované systémy.