Kas kasutajaid tuleks sundida oma paroole regulaarselt lähtestama?

Üks levinumaid konto turvanõuandeid on see, et kasutajad peaksid oma paroole regulaarselt muutma. Selle lähenemisviisi eesmärk on minimeerida parooli kehtivusaega, juhuks kui see kunagi ohtu satub. Kogu see strateegia põhineb ajaloolistel nõuannetel, mis on saadud tippküberjulgeolekurühmadelt, nagu Ameerika NIST või Riiklik Standardite ja Tehnoloogia Instituut.

Aastakümneid järgisid valitsused ja ettevõtted seda nõuannet ja sundisid oma kasutajaid regulaarselt paroole lähtestama, tavaliselt iga 90 päeva tagant. Aja jooksul näitasid uuringud aga, et see lähenemisviis ei toiminud nii, nagu ette nähtud, ja 2017. aastal NIST koos Ühendkuningriigiga NCSC, ehk riiklik küberjulgeolekukeskus, muutsid oma nõuannet nii, et parooli muutmist nõutakse vaid siis, kui on põhjendatud kahtlus ohus.

Miks nõuannet muudeti?

Paroolide korrapärase vahetamise nõuanne rakendati algselt turvalisuse suurendamiseks. Puhtalt loogilisest vaatenurgast on nõuanne regulaarselt paroole värskendada. Reaalse maailma kogemus on siiski veidi erinev. Uuringud näitasid, et kui sundida kasutajaid regulaarselt oma paroole muutma, hakkasid nad märkimisväärselt suurema tõenäosusega kasutama sarnast parooli, mida nad saaksid lihtsalt suurendada. Näiteks selle asemel, et valida paroole nagu „9L=Xk&2>”, peaksid kasutajad kasutama paroole nagu „Kevad2019!”.

Selgub, et kui inimesed on sunnitud välja mõtlema ja meeles pidama mitu parooli ning neid seejärel regulaarselt muutma, kasutavad inimesed pidevalt kergesti meeldejäävaid paroole, mis on ebaturvalisemad. Probleem astmeliste paroolidega, nagu "Kevad2019!" on see, et neid on lihtne ära arvata ja seejärel on lihtne ennustada ka tulevasi muutusi. See koos tähendab, et parooli lähtestamise sundimine sunnib kasutajaid valima, mida on lihtsam meeles pidada ja seetõttu nõrgemad paroolid, mis tavaliselt õõnestavad aktiivselt tuleviku vähendamise kavandatavat kasu risk.

Näiteks halvima stsenaariumi korral võib häkker rikkuda parooli "Kevad2019!" mõne kuu jooksul pärast selle kehtima hakkamist. Sel hetkel saavad nad proovida variante, millel on sõna "Kevade" asemel "sügis" ja tõenäoliselt saavad nad juurdepääsu. Kui ettevõte tuvastab selle turvarikkumise ja sunnib seejärel kasutajaid oma paroole muutma, on see aus tõenäoliselt muudab mõjutatud kasutaja oma parooli lihtsalt "Talv2019!" ja arvan, et nad on turvaline. Häkker, teades mustrit, võib seda proovida, kui tal õnnestub uuesti juurde pääseda. Sõltuvalt sellest, kui kaua kasutaja seda mustrit järgib, võib ründaja seda kasutada juurdepääsuks mitme aasta jooksul, samal ajal kui kasutaja tunneb end turvaliselt, kuna muudab regulaarselt oma parooli.

Mis on uus nõuanne?

Et julgustada kasutajaid vältima valeparoolide kasutamist, soovitame nüüd paroole lähtestada ainult siis, kui on põhjendatud kahtlus, et need on sattunud ohtu. Kui kasutajad ei sunni uut parooli regulaarselt meelde jätma, valivad nad tõenäoliselt tugeva parooli.

Sellega kombineeritakse mitmeid muid soovitusi, mille eesmärk on julgustada tugevamate paroolide loomist. Nende hulka kuulub tagamine, et kõik paroolid on absoluutselt minimaalselt vähemalt kaheksa tähemärgi pikkused ja maksimaalne tähemärkide arv on vähemalt 64 tähemärki. Samuti soovitati ettevõtetel hakata keerukuse reeglitest loobuma blokinimekirjade kasutamise suunas kasutades nõrkade paroolide sõnastikke, näiteks "ChangeMe!" ja "Password1", mis vastavad paljudele keerukustele nõuetele.

Küberturvalisuse kogukond nõustub peaaegu üksmeelselt, et paroolid ei tohiks automaatselt aeguda.

Märkus. Kahjuks võib mõne stsenaariumi korral olla seda siiski vaja teha, kuna mõned valitsused ei ole veel muutnud seadusi, mis nõuavad tundlike või salastatud süsteemide parooli aegumist.