खाता सुरक्षा सलाह के सामान्य टुकड़ों में से एक यह है कि उपयोगकर्ताओं को नियमित रूप से अपना पासवर्ड बदलना चाहिए। इस दृष्टिकोण के पीछे तर्क यह है कि किसी भी पासवर्ड के साथ समझौता होने की स्थिति में उस समय की अवधि को कम से कम करना है, जिसके लिए वह वैध है। यह पूरी रणनीति अमेरिकी एनआईएसटी, या राष्ट्रीय मानक और प्रौद्योगिकी संस्थान जैसे शीर्ष साइबर सुरक्षा समूहों की ऐतिहासिक सलाह पर आधारित है।
दशकों तक सरकारों और कंपनियों ने इस सलाह का पालन किया और अपने उपयोगकर्ताओं को नियमित रूप से हर 90 दिनों में पासवर्ड रीसेट करने के लिए मजबूर किया। समय के साथ, हालांकि, शोध से पता चला कि यह दृष्टिकोण 2017 में इरादा के अनुसार काम नहीं कर रहा था निस्तो यूके के साथ-साथ एनसीएससी, या राष्ट्रीय साइबर सुरक्षा केंद्र ने अपनी सलाह को केवल पासवर्ड परिवर्तन की आवश्यकता के लिए बदल दिया, जब समझौता करने का उचित संदेह हो।
सलाह क्यों बदली गई?
पासवर्ड को नियमित रूप से बदलने की सलाह मूल रूप से सुरक्षा बढ़ाने में मदद करने के लिए लागू की गई थी। विशुद्ध रूप से तार्किक दृष्टिकोण से, पासवर्ड को नियमित रूप से ताज़ा करने की सलाह समझ में आती है। हालांकि वास्तविक दुनिया का अनुभव थोड़ा अलग है। शोध से पता चला है कि उपयोगकर्ताओं को अपने पासवर्ड को नियमित रूप से बदलने के लिए मजबूर करने से उनके समान पासवर्ड का उपयोग शुरू करने की संभावना काफी बढ़ जाती है, जिसे वे बढ़ा सकते हैं। उदाहरण के लिए, "9L=Xk&2>" जैसे पासवर्ड चुनने के बजाय उपयोगकर्ता "स्प्रिंग2019!" जैसे पासवर्ड का उपयोग करेंगे।
यह पता चला है, जब कई पासवर्ड के साथ आने और याद रखने और फिर उन्हें नियमित रूप से बदलने के लिए मजबूर किया जाता है, तो लोग लगातार याद रखने में आसान पासवर्ड का उपयोग करते हैं जो अधिक असुरक्षित होते हैं। "स्प्रिंग2019!" जैसे वृद्धिशील पासवर्ड के साथ समस्या यह है कि उनका आसानी से अनुमान लगाया जाता है और फिर भविष्य में होने वाले परिवर्तनों की भविष्यवाणी करना भी आसान बना देता है। संयुक्त रूप से इसका मतलब है कि जबरन पासवर्ड रीसेट करने से उपयोगकर्ता याद रखने में आसान चुनने के लिए प्रेरित होते हैं और इसलिए कमजोर पासवर्ड, जो आमतौर पर भविष्य को कम करने के इच्छित लाभ को सक्रिय रूप से कमजोर करते हैं जोखिम।
उदाहरण के लिए, सबसे खराब स्थिति में, एक हैकर "स्प्रिंग2019!" पासवर्ड से समझौता कर सकता है। इसके वैध होने के कुछ महीनों के भीतर। इस बिंदु पर, वे "वसंत" के बजाय "पतन" के साथ विविधता का प्रयास कर सकते हैं और उन्हें पहुंच प्राप्त होने की संभावना है। यदि कंपनी इस सुरक्षा उल्लंघन का पता लगाती है और फिर उपयोगकर्ताओं को अपना पासवर्ड बदलने के लिए बाध्य करती है, तो यह उचित है संभावना है कि प्रभावित उपयोगकर्ता अपना पासवर्ड "विंटर2019!" और सोचते हैं कि वे सुरक्षित। हैकर, पैटर्न जानने के बाद अच्छी तरह से यह कोशिश कर सकते हैं यदि वे फिर से पहुंच प्राप्त करने में सक्षम हैं। उपयोगकर्ता कितने समय तक इस पैटर्न से चिपके रहते हैं, इस पर निर्भर करते हुए, एक हमलावर कई वर्षों तक इसका उपयोग कर सकता है, जबकि उपयोगकर्ता सुरक्षित महसूस करता है क्योंकि वे नियमित रूप से अपना पासवर्ड बदल रहे हैं।
नई सलाह क्या है?
उपयोगकर्ताओं को फॉर्मूलाइक पासवर्ड से बचने के लिए प्रोत्साहित करने में मदद करने के लिए, सलाह अब केवल पासवर्ड रीसेट करने की है, जब एक उचित संदेह हो कि उनके साथ समझौता किया गया है। उपयोगकर्ताओं को नियमित रूप से एक नया पासवर्ड याद रखने के लिए मजबूर न करने से, वे पहली बार में एक मजबूत पासवर्ड चुनने की अधिक संभावना रखते हैं।
इसके साथ संयुक्त रूप से मजबूत पासवर्ड के निर्माण को प्रोत्साहित करने के उद्देश्य से कई अन्य सिफारिशें हैं। इनमें यह सुनिश्चित करना शामिल है कि सभी पासवर्ड कम से कम आठ वर्णों के पूर्ण न्यूनतम पर लंबे हों और अधिकतम वर्ण गणना कम से कम 64 वर्णों की हो। इसने यह भी सिफारिश की कि कंपनियां जटिल नियमों से हटकर ब्लॉकलिस्ट के उपयोग की ओर बढ़ना शुरू कर दें "चेंजमी!" जैसे कमजोर पासवर्ड के शब्दकोशों का उपयोग करना और "पासवर्ड1" जो कई जटिलताओं को पूरा करता है आवश्यकताएं।
साइबर सुरक्षा समुदाय लगभग सर्वसम्मति से सहमत है कि पासवर्ड स्वचालित रूप से समाप्त नहीं होने चाहिए।
नोट: दुर्भाग्य से, कुछ परिदृश्यों में, ऐसा करना अभी भी आवश्यक हो सकता है, क्योंकि कुछ सरकारों ने अभी तक संवेदनशील या वर्गीकृत प्रणालियों के लिए पासवर्ड की समाप्ति की आवश्यकता वाले कानूनों को नहीं बदला है।