Yksi yleisimmistä tilin turvaohjeista on, että käyttäjien tulee vaihtaa salasanansa säännöllisesti. Tämän lähestymistavan perusteluna on minimoida salasanan voimassaoloaika siltä varalta, että se joskus vaarantuu. Tämä koko strategia perustuu historiallisiin neuvoihin huippukyberturvallisuusryhmiltä, kuten American NIST: ltä tai National Institute of Standards and Technologylta.
Vuosikymmenien ajan hallitukset ja yritykset seurasivat tätä neuvoa ja pakottivat käyttäjänsä vaihtamaan salasanat säännöllisesti, yleensä 90 päivän välein. Ajan mittaan tutkimus kuitenkin osoitti, että tämä lähestymistapa ei toiminut tarkoitetulla tavalla, ja vuonna 2017 NIST Yhdistyneen kuningaskunnan kanssa NCSC, tai National Cyber Security Centre, muuttivat neuvojaan vaatimaan salasanan vaihtamista vain silloin, kun on perusteltua syytä epäillä vaarantumista.
Miksi neuvoa muutettiin?
Salasanojen säännöllinen vaihtamisohje otettiin alun perin käyttöön turvallisuuden lisäämiseksi. Puhtaasti loogisesta näkökulmasta katsottuna salasanan säännöllinen päivittäminen on järkevää. Tosielämän kokemus on kuitenkin hieman erilainen. Tutkimukset osoittivat, että käyttäjien pakottaminen vaihtamaan salasanansa säännöllisesti sai heidät todennäköisemmin käyttämään samanlaista salasanaa, jota he voisivat vain lisätä. Esimerkiksi "9L=Xk&2>" kaltaisten salasanojen poimimisen sijaan käyttäjät käyttävät salasanoja, kuten "Kevät2019!".
Osoittautuu, että kun ihmiset joutuvat keksimään ja muistamaan useita salasanoja ja vaihtamaan ne säännöllisesti, ihmiset käyttävät jatkuvasti helposti muistettavia salasanoja, jotka ovat epävarmempia. Ongelma lisäsalasanoissa, kuten "Kevät2019!" on se, että ne ovat helposti arvattavissa ja helpottavat myös tulevien muutosten ennustamista. Yhdessä tämä tarkoittaa, että salasanan nollausten pakottaminen pakottaa käyttäjät valitsemaan, joka on helpompi muistaa ja siksi heikommat salasanat, jotka tyypillisesti heikentävät aiottua hyötyä tulevaisuuden vähentämisestä riski.
Esimerkiksi pahimmassa tapauksessa hakkeri voi vaarantaa salasanan "Kevät2019!" muutaman kuukauden kuluessa sen voimaantulosta. Tässä vaiheessa he voivat kokeilla muunnelmia, joissa on "syksy" "kevään" sijaan, ja he todennäköisesti saavat pääsyn. Jos yritys havaitsee tämän tietoturvaloukkauksen ja pakottaa käyttäjät vaihtamaan salasanansa, se on reilua todennäköisesti kyseinen käyttäjä vaihtaa salasanansa "Talvi2019!" ja luulevat olevansa turvallinen. Hakkeri, joka tietää kuvion, voi hyvinkin kokeilla tätä, jos he pääsevät uudelleen käsiksi. Riippuen siitä, kuinka kauan käyttäjä pysyy tässä mallissa, hyökkääjä voi käyttää sitä pääsyyn useiden vuosien ajan, vaikka käyttäjä tuntee olonsa turvalliseksi, koska hän vaihtaa säännöllisesti salasanaansa.
Mikä on uusi neuvo?
Käyttäjien rohkaisemiseksi välttämään kaavallisia salasanoja neuvotaan nyt nollaamaan salasanat vain, jos on perusteltua syytä epäillä, että ne ovat vaarantuneet. Jos käyttäjiä ei pakoteta muistamaan säännöllisesti uutta salasanaa, he valitsevat todennäköisesti ensiksi vahvan salasanan.
Tämän lisäksi on useita muita suosituksia, joiden tarkoituksena on rohkaista luomaan vahvempia salasanoja. Näihin kuuluu varmistaa, että kaikki salasanat ovat vähintään kahdeksan merkkiä pitkiä ja että merkkien enimmäismäärä on vähintään 64 merkkiä. Se suositteli myös, että yritykset alkaisivat siirtyä monimutkaisuussäännöistä kohti estoluetteloiden käyttöä käyttämällä heikkojen salasanojen sanakirjoja, kuten "ChangeMe!" ja "Password1", jotka vastaavat monia monimutkaisia vaatimukset.
Kyberturvallisuusyhteisö on lähes yksimielisesti samaa mieltä siitä, että salasanoja ei pidä vanhentua automaattisesti.
Huomautus: Valitettavasti joissakin skenaarioissa se voi silti olla tarpeen tehdä niin, koska jotkin hallitukset eivät ole vielä muuttaneet lakeja, jotka edellyttävät salasanan vanhenemista arkaluonteisissa tai luokiteltuissa järjestelmissä.