უნდა აიძულონ მომხმარებლები რეგულარულად აღადგინონ პაროლები?

MiscellaneaDec 19, 2021
click fraud protection

ანგარიშის უსაფრთხოების ერთ-ერთი საერთო რჩევაა ის, რომ მომხმარებლებმა რეგულარულად უნდა შეცვალონ პაროლები. ამ მიდგომის მიღმა არგუმენტირებულია ნებისმიერი პაროლის მოქმედების ხანგრძლივობის მინიმუმამდე შემცირება, იმ შემთხვევაში, თუ ის ოდესმე დაზარალდება. მთელი ეს სტრატეგია ეფუძნება კიბერუსაფრთხოების წამყვანი ჯგუფების ისტორიულ რჩევებს, როგორიცაა ამერიკული NIST ან სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი.

ათწლეულების განმავლობაში მთავრობები და კომპანიები იცავდნენ ამ რჩევას და აიძულებდნენ მომხმარებლებს რეგულარულად გადაეყენებინათ პაროლები, როგორც წესი, ყოველ 90 დღეში ერთხელ. თუმცა, დროთა განმავლობაში, კვლევამ აჩვენა, რომ ეს მიდგომა არ მუშაობდა ისე, როგორც დაგეგმილი იყო და 2017 წელს NIST გაერთიანებულ სამეფოსთან ერთად NCSC, ან კიბერუსაფრთხოების ეროვნულმა ცენტრმა, შეცვალა რჩევა და მოითხოვა პაროლის შეცვლა მხოლოდ მაშინ, როდესაც არსებობს კომპრომისის გონივრული ეჭვი.

რატომ შეიცვალა რჩევა?

პაროლების რეგულარულად შეცვლის რჩევა თავდაპირველად განხორციელდა უსაფრთხოების გაზრდის მიზნით. წმინდა ლოგიკური თვალსაზრისით, პაროლების რეგულარულად განახლების რჩევა აზრი აქვს. თუმცა რეალურ სამყაროში გამოცდილება ოდნავ განსხვავებულია. კვლევამ აჩვენა, რომ მომხმარებლების რეგულარულად შესაცვლელად მათი პაროლების იძულება მნიშვნელოვნად აიძულებდა მათ დაეწყოთ მსგავსი პაროლის გამოყენება, რომლის გაზრდაც მათ შეეძლოთ. მაგალითად, იმის ნაცვლად, რომ აირჩიონ პაროლები, როგორიცაა „9L=Xk&2>“, მომხმარებლები გამოიყენებენ პაროლებს, როგორიცაა „Spring2019!“.

გამოდის, რომ როდესაც იძულებულნი არიან მოიგონონ და დაიმახსოვრონ მრავალი პაროლი და შემდეგ რეგულარულად შეცვალონ ისინი, ადამიანები მუდმივად იყენებენ ადვილად დასამახსოვრებელ პაროლებს, რომლებიც უფრო დაუცველია. პრობლემა დამატებითი პაროლებით, როგორიცაა "Spring2019!" არის ის, რომ ისინი ადვილად გამოცნობენ და შემდეგ აადვილებენ მომავალი ცვლილებების პროგნოზირებასაც. კომბინირებული ეს ნიშნავს, რომ პაროლის გადატვირთვის იძულება უბიძგებს მომხმარებლებს აირჩიონ უფრო ადვილი დასამახსოვრებელი და ამიტომ უფრო სუსტი პაროლები, რომლებიც, როგორც წესი, აქტიურად ძირს უთხრის სამომავლო შემცირების სავარაუდო სარგებელს რისკი.

მაგალითად, უარეს შემთხვევაში, ჰაკერმა შეიძლება დაარღვიოს პაროლი „Spring2019!“ ძალაში შესვლიდან რამდენიმე თვეში. ამ ეტაპზე, მათ შეუძლიათ სცადონ ვარიანტები „Fall“-ით „Spring“-ის ნაცვლად და ისინი სავარაუდოდ მიიღებენ წვდომას. თუ კომპანია აღმოაჩენს უსაფრთხოების ამ დარღვევას და შემდეგ აიძულებს მომხმარებლებს შეცვალონ მათი პაროლები, ეს სამართლიანია სავარაუდოდ, დაზარალებული მომხმარებელი უბრალოდ შეცვლის პაროლს „ზამთარი2019!“ და იფიქრეთ, რომ ისინი არიან უსაფრთხო. ჰაკერმა, რომელმაც იცის ნიმუში, შეიძლება სცადოს ეს, თუ ხელახლა შეძლებენ წვდომას. დამოკიდებულია იმაზე, თუ რამდენ ხანს ინარჩუნებს მომხმარებელი ამ შაბლონს, თავდამსხმელს შეუძლია გამოიყენოს ეს წვდომისთვის მრავალი წლის განმავლობაში, მაშინ როცა მომხმარებელი თავს უსაფრთხოდ გრძნობს, რადგან ის რეგულარულად ცვლის პაროლს.

რა არის ახალი რჩევა?

მომხმარებლების წახალისებისთვის, რათა თავიდან აიცილონ ფორმულის პაროლები, ახლა რჩევებია პაროლების გადატვირთვა მხოლოდ მაშინ, როდესაც არსებობს გონივრული ეჭვი, რომ ისინი კომპრომეტირებულია. თუ არ აიძულებთ მომხმარებლებს რეგულარულად დაიმახსოვრონ ახალი პაროლი, ისინი უფრო სავარაუდოა, რომ პირველ რიგში აირჩიონ ძლიერი პაროლი.

ამასთან ერთად არის რიგი სხვა რეკომენდაციები, რომლებიც მიზნად ისახავს უფრო ძლიერი პაროლების შექმნის წახალისებას. ეს მოიცავს გარანტიას, რომ ყველა პაროლი იყოს მინიმუმ რვა სიმბოლო აბსოლუტური მინიმუმით და რომ სიმბოლოების მაქსიმალური რაოდენობა იყოს მინიმუმ 64 სიმბოლო. მან ასევე რეკომენდაცია გაუწია კომპანიებს სირთულის წესებისგან თავის დაღწევა დაბლოკილი სიების გამოყენებისკენ სუსტი პაროლების ლექსიკონების გამოყენებით, როგორიცაა "ChangeMe!" და "პაროლი 1", რომლებიც ბევრ სირთულეს აკმაყოფილებენ მოთხოვნები.

კიბერუსაფრთხოების საზოგადოება თითქმის ერთხმად ეთანხმება, რომ პაროლები ავტომატურად არ უნდა იწუროს.

შენიშვნა: სამწუხაროდ, ზოგიერთ სცენარში შეიძლება მაინც იყოს საჭირო ამის გაკეთება, რადგან ზოგიერთ მთავრობას ჯერ არ შეუცვლია კანონები, რომლებიც მოითხოვს პაროლის ვადის გასვლას მგრძნობიარე ან კლასიფიცირებული სისტემებისთვის.