Az egyik gyakori fiókbiztonsági tanács, hogy a felhasználóknak rendszeresen módosítaniuk kell jelszavaikat. Ennek a megközelítésnek az az oka, hogy minimálisra kell csökkenteni a jelszó érvényességi idejét, arra az esetre, ha valaha is veszélybe kerülne. Ez az egész stratégia olyan vezető kiberbiztonsági csoportoktól származó történelmi tanácsokon alapul, mint az amerikai NIST vagy a National Institute of Standards and Technology.
Évtizedeken keresztül a kormányok és a vállalatok követték ezt a tanácsot, és arra kényszerítették felhasználóikat, hogy rendszeresen, jellemzően 90 naponként állítsák vissza jelszavaikat. Idővel azonban a kutatás kimutatta, hogy ez a megközelítés nem működött a szándék szerint, és 2017-ben NIST az Egyesült Királysággal együtt NCSCA Nemzeti Kiberbiztonsági Központ (National Cyber Security Centre) megváltoztatta tanácsát, és csak akkor követeli meg a jelszó megváltoztatását, ha megalapozottan gyanítható a kompromittálás.
Miért változott a tanács?
A jelszavak rendszeres megváltoztatására vonatkozó tanácsot eredetileg a biztonság növelése érdekében hajtották végre. Pusztán logikai szempontból a jelszavak rendszeres frissítésére vonatkozó tanácsnak van értelme. A valós élmény azonban kissé más. A kutatások kimutatták, hogy ha a felhasználókat arra kényszerítették, hogy rendszeresen változtassák jelszavaikat, jelentősen nagyobb valószínűséggel kezdenek el használni egy hasonló jelszót, amelyet csak növelni tudtak. A felhasználók például ahelyett, hogy olyan jelszavakat választanának, mint a „9L=Xk&2>”, olyan jelszavakat használnának, mint a „tavasz2019!”.
Kiderült, hogy amikor arra kényszerülnek, hogy több jelszót találjanak ki és emlékezzenek, majd rendszeresen módosítsák azokat, az emberek következetesen könnyen megjegyezhető jelszavakat használnak, amelyek bizonytalanabbak. Probléma a növekményes jelszavakkal, például „2019 tavasz!” az, hogy könnyen kitalálhatók, és megkönnyítik a jövőbeli változások előrejelzését is. Ez együtt azt jelenti, hogy a jelszó-visszaállítás kényszerítése arra készteti a felhasználókat, hogy könnyebben megjegyezhető és könnyebben megjegyezhetők legyenek ezért gyengébb jelszavak, amelyek jellemzően aktívan aláássák a jövő csökkentésének tervezett előnyét kockázat.
Például a legrosszabb forgatókönyv esetén egy hacker feltörheti a „Spring2019!” jelszót. érvényességétől számított néhány hónapon belül. Ezen a ponton kipróbálhatják a „tavasz” helyett „ősz” feliratú változatokat, és valószínűleg hozzáférést kapnak. Ha a cég észleli ezt a biztonsági rést, majd jelszavak megváltoztatására kényszeríti a felhasználókat, az tisztességes valószínű, hogy az érintett felhasználó csak „Winter2019” jelszavát fogja módosítani! és azt gondolja, hogy azok biztonságos. A hacker, ismerve a mintát, megpróbálhatja ezt, ha újra hozzáférhet. Attól függően, hogy a felhasználó meddig ragaszkodik ehhez a mintához, a támadó több éven keresztül is használhatja ezt a hozzáféréshez, miközben a felhasználó biztonságban érzi magát, mert rendszeresen módosítja jelszavát.
Mi az új tanács?
Annak érdekében, hogy a felhasználókat arra ösztönözzük, hogy kerüljék a képletjelszavakat, azt tanácsoljuk, hogy mindig csak akkor állítsák vissza a jelszavakat, ha megalapozottan gyanítható, hogy feltörték őket. Ha nem kényszerítik a felhasználókat arra, hogy rendszeresen emlékezzenek egy új jelszóra, nagyobb valószínűséggel választanak erős jelszót először.
Ezzel párosul számos egyéb ajánlás, amelyek célja erősebb jelszavak létrehozásának ösztönzése. Ezek közé tartozik annak biztosítása, hogy minden jelszó legalább nyolc karakter hosszú legyen, és a maximális karakterszám legalább 64 karakter. Azt is javasolta, hogy a vállalatok kezdjenek el az összetettségi szabályoktól a tiltólisták használata felé elmozdulni gyenge jelszavak szótárainak használatával, mint például a „ChangeMe!” és a „Password1” (Jelszó1), amelyek számos bonyolultságot kielégítenek követelményeknek.
A kiberbiztonsági közösség szinte egyöntetűen egyetért azzal, hogy a jelszavak nem járhatnak le automatikusan.
Megjegyzés: Sajnos bizonyos forgatókönyvek esetén erre továbbra is szükség lehet, mivel egyes kormányoknak még meg kell változtatniuk azokat a törvényeket, amelyek megkövetelik a jelszó lejártát az érzékeny vagy minősített rendszerek esetében.