האם יש לאלץ משתמשים לאפס את הסיסמאות שלהם באופן קבוע?

MiscellaneaDec 19, 2021

אחת העצות הנפוצות באבטחת החשבון היא שמשתמשים צריכים לשנות את הסיסמאות שלהם באופן קבוע. ההיגיון מאחורי גישה זו הוא למזער את משך הזמן שבו כל סיסמה תקפה, למקרה שהיא תיפגע אי פעם. כל האסטרטגיה הזו מבוססת על עצות היסטוריות מקבוצות אבטחת סייבר מובילות כמו ה-NIST האמריקאי, או המכון הלאומי לתקנים וטכנולוגיה.

במשך עשרות שנים ממשלות וחברות עקבו אחר העצה הזו ואילצו את המשתמשים שלהם לאפס באופן קבוע סיסמאות, בדרך כלל כל 90 יום. עם זאת, עם הזמן, מחקר הראה שגישה זו לא עבדה כמתוכנן וב-2017 לא יחד עם של בריטניה NCSC, או המרכז הלאומי לאבטחת סייבר, שינו את עצתם כדי לדרוש שינויי סיסמה רק כאשר יש חשד סביר לפשרה.

מדוע השתנתה העצה?

העצה להחליף סיסמאות באופן קבוע יושמה במקור כדי לעזור להגביר את האבטחה. מנקודת מבט לוגית בלבד, העצה לרענן סיסמאות באופן קבוע הגיונית. החוויה בעולם האמיתי שונה במקצת. מחקר הראה כי אילוץ משתמשים לשנות באופן קבוע את הסיסמאות שלהם גרם להם להגדיל משמעותית את הסיכוי להתחיל להשתמש בסיסמה דומה שהם יכולים פשוט להגדיל. לדוגמה, במקום לבחור סיסמאות כמו "9L=Xk&2>" המשתמשים ישתמשו במקום זאת בסיסמאות כמו "Spring2019!".

מסתבר שכאשר נאלצים להמציא ולזכור סיסמאות מרובות ולאחר מכן לשנות אותן באופן קבוע, אנשים משתמשים בעקביות בסיסמאות קלות לזכור שהן יותר לא בטוחות. הבעיה עם סיסמאות מצטברות כמו "אביב 2019!" היא שהם ניתנים לניחוש בקלות ואז מקלים גם על חיזוי שינויים עתידיים. בשילוב זה אומר שכפיית איפוסי סיסמה דוחפת את המשתמשים לבחור קל יותר לזכור ו לכן סיסמאות חלשות יותר, שבדרך כלל מערערות באופן פעיל את התועלת המיועדת של צמצום העתיד לְהִסְתָכֵּן.

לדוגמה, בתרחיש הגרוע ביותר, האקר יכול לסכן את הסיסמה "אביב2019!" תוך מספר חודשים ממועד תוקף. בשלב זה, הם יכולים לנסות גרסאות עם "סתיו" במקום "אביב" וסביר להניח שהם יקבלו גישה. אם החברה מזהה את הפרת האבטחה הזו ואז מאלצת משתמשים לשנות את הסיסמאות שלהם, זה הוגן סביר להניח שהמשתמש המושפע פשוט ישנה את הסיסמה שלו ל"חורף 2019!" ולחשוב שהם כן לבטח. ההאקר, שמכיר את הדפוס עשוי לנסות זאת אם הם יוכלו לקבל גישה שוב. תלוי כמה זמן משתמש מחזיק בדפוס הזה, תוקף יכול להשתמש בזה לגישה במשך שנים מרובות, כל זאת בזמן שהמשתמש מרגיש בטוח כי הוא משנה את הסיסמה שלו באופן קבוע.

מה העצה החדשה?

כדי לעזור לעודד משתמשים להימנע מססמאות נוסחתיות, העצה היא כעת לאפס סיסמאות רק כאשר יש חשד סביר שהן נפגעו. אם לא מכריחים משתמשים לזכור באופן קבוע סיסמה חדשה, יש סיכוי גבוה יותר שהם יבחרו סיסמה חזקה מלכתחילה.

יחד עם זה ישנן מספר המלצות נוספות שמטרתן לעודד יצירת סיסמאות חזקות יותר. אלה כוללים הבטחה שכל הסיסמאות באורך של לפחות שמונה תווים במינימום מוחלט ושספירת התווים המקסימלית היא לפחות 64 תווים. כמו כן, הומלץ לחברות להתחיל להתרחק מכללי מורכבות לכיוון השימוש ברשימות חסימות שימוש במילונים של סיסמאות חלשות כגון "ChangeMe!" ו-"Password1" אשר פוגשות מורכבות רבות דרישות.

קהילת אבטחת הסייבר מסכימה כמעט פה אחד כי אין לפוג אוטומטית של סיסמאות.

הערה: למרבה הצער, בתרחישים מסוימים, עדיין ייתכן שיהיה צורך לעשות זאת, מכיוון שממשלות מסוימות עדיין לא שינו חוקים המחייבים פקיעת סיסמה עבור מערכות רגישות או מסווגות.