Vienas iš įprastų paskyros saugumo patarimų yra tai, kad vartotojai turėtų reguliariai keisti slaptažodžius. Šio metodo tikslas yra sumažinti bet kurio slaptažodžio galiojimo laiką, jei jis kada nors būtų pažeistas. Visa ši strategija pagrįsta istoriniais patarimais iš geriausių kibernetinio saugumo grupių, tokių kaip Amerikos NIST arba Nacionalinis standartų ir technologijų institutas.
Dešimtmečius vyriausybės ir įmonės laikėsi šio patarimo ir privertė savo vartotojus reguliariai nustatyti slaptažodžius iš naujo, paprastai kas 90 dienų. Tačiau laikui bėgant tyrimai parodė, kad šis metodas neveikė taip, kaip buvo numatyta, ir 2017 m NIST kartu su JK NCSC, arba Nacionalinis kibernetinio saugumo centras, pakeitė savo patarimus, kad slaptažodžio keitimas būtų reikalaujamas tik tada, kai yra pagrįstų įtarimų, kad gali kilti pavojus.
Kodėl patarimas buvo pakeistas?
Patarimas reguliariai keisti slaptažodžius iš pradžių buvo įgyvendintas siekiant padidinti saugumą. Žvelgiant iš grynai loginės perspektyvos, patarimas reguliariai atnaujinti slaptažodžius yra prasmingas. Tačiau tikroji patirtis šiek tiek skiriasi. Tyrimai parodė, kad privertus vartotojus reguliariai keisti slaptažodžius jie žymiai labiau linkę pradėti naudoti panašų slaptažodį, kurį jie galėjo tik padidinti. Pavyzdžiui, užuot rinkę slaptažodžius, pvz., „9L=Xk&2>“, vartotojai naudotų tokius slaptažodžius kaip „2019 m. pavasaris!“.
Pasirodo, kai priversti sugalvoti ir atsiminti kelis slaptažodžius, o vėliau juos reguliariai keisti, žmonės nuolat naudoja lengvai įsimenamus slaptažodžius, kurie yra labiau nesaugūs. Problema dėl didėjančių slaptažodžių, pvz., „2019 m. pavasaris! yra tai, kad jie yra lengvai atspėti ir leidžia lengvai numatyti būsimus pokyčius. Kartu tai reiškia, kad priverstinis slaptažodžio nustatymas iš naujo verčia vartotojus pasirinkti lengviau įsimenamą ir todėl silpnesni slaptažodžiai, kurie paprastai aktyviai kenkia numatomai ateities mažinimo naudai rizika.
Pavyzdžiui, blogiausiu atveju įsilaužėlis gali pažeisti slaptažodį „2019 m. pavasaris! per kelis mėnesius nuo jo įsigaliojimo. Šiuo metu jie gali išbandyti variantus su „ruduo“, o ne „pavasaris“, ir greičiausiai gaus prieigą. Jei įmonė aptinka šį saugumo pažeidimą ir priverčia vartotojus pakeisti slaptažodžius, tai teisinga tikėtina, kad paveiktas vartotojas tiesiog pakeis slaptažodį į „Winter2019!“ ir mano, kad jie yra saugus. Įsilaužėlis, žinantis šabloną, gali tai išbandyti, jei vėl galės pasiekti. Priklausomai nuo to, kiek laiko vartotojas laikosi šio modelio, užpuolikas gali jį naudoti siekdamas pasiekti kelerius metus, kol vartotojas jaučiasi saugus, nes reguliariai keičia slaptažodį.
Koks naujas patarimas?
Siekiant paskatinti vartotojus vengti formulinių slaptažodžių, dabar patariama iš naujo nustatyti slaptažodžius tik tada, kai yra pagrįstas įtarimas, kad jie buvo pažeisti. Neverčiant vartotojų reguliariai prisiminti naujo slaptažodžio, jie labiau linkę pirmiausia pasirinkti stiprų slaptažodį.
Kartu su tuo yra keletas kitų rekomendacijų, skirtų skatinti kurti stipresnius slaptažodžius. Tai apima užtikrinimą, kad visi slaptažodžiai būtų ne mažiau kaip aštuonių simbolių ilgio ir kad didžiausias simbolių skaičius būtų bent 64 simboliai. Ji taip pat rekomendavo įmonėms pradėti nuo sudėtingumo taisyklių pereiti prie blokavimo sąrašų naudojimo naudojant silpnų slaptažodžių žodynus, tokius kaip „ChangeMe! ir „Password1“, kurie yra labai sudėtingi reikalavimus.
Kibernetinio saugumo bendruomenė beveik vienbalsiai sutinka, kad slaptažodžių galiojimo laikas neturėtų baigtis automatiškai.
Pastaba: Deja, kai kuriais atvejais vis tiek gali prireikti tai padaryti, nes kai kurios vyriausybės dar turi pakeisti įstatymus, reikalaujančius slaptažodžio galiojimo pabaigos jautriose arba įslaptintose sistemose.