Vai lietotājiem vajadzētu būt spiestiem regulāri atiestatīt savas paroles?

Viens no izplatītākajiem konta drošības padomiem ir tāds, ka lietotājiem regulāri jāmaina paroles. Šīs pieejas iemesls ir samazināt paroles derīguma laiku, ja tā kādreiz tiek apdraudēta. Visa šī stratēģija ir balstīta uz vēsturiskiem padomiem no vadošajām kiberdrošības grupām, piemēram, Amerikas NIST vai Nacionālā standartu un tehnoloģiju institūta.

Gadu desmitiem valdības un uzņēmumi ievēroja šo ieteikumu un piespieda savus lietotājus regulāri atiestatīt paroles, parasti ik pēc 90 dienām. Tomēr laika gaitā pētījumi parādīja, ka šī pieeja nedarbojās, kā paredzēts, un 2017. gadā NIST kopā ar Apvienotās Karalistes NCSC, vai Nacionālais kiberdrošības centrs, mainīja savus ieteikumus, lai pieprasītu paroles maiņu tikai tad, ja ir pamatotas aizdomas par kompromitēšanu.

Kāpēc padoms tika mainīts?

Ieteikums regulāri mainīt paroles sākotnēji tika ieviests, lai palīdzētu palielināt drošību. No tīri loģiskā viedokļa padoms regulāri atsvaidzināt paroles ir saprātīgs. Tomēr reālās pasaules pieredze ir nedaudz atšķirīga. Pētījumi parādīja, ka, liekot lietotājiem regulāri mainīt paroles, viņi ievērojami palielināja iespēju sākt lietot līdzīgu paroli, kuru viņi varēja tikai palielināt. Piemēram, tā vietā, lai izvēlētos tādas paroles kā “9L=Xk&2>”, lietotāji tā vietā izmantotu tādas paroles kā “Pavasaris2019!”.

Izrādās, kad cilvēki ir spiesti izdomāt un atcerēties vairākas paroles un pēc tam tās regulāri mainīt, cilvēki pastāvīgi izmanto viegli iegaumējamas paroles, kas ir nedrošākas. Problēma ar papildu parolēm, piemēram, “Pavasaris2019!” ir tas, ka tos ir viegli uzminēt un pēc tam ir viegli paredzēt arī turpmākās izmaiņas. Tas kopā nozīmē, ka paroles atiestatīšanas piespiešana liek lietotājiem izvēlēties vieglāk iegaumējamus un tādēļ vājākas paroles, kas parasti aktīvi mazina paredzēto ieguvumu, samazinot nākotni risks.

Piemēram, sliktākajā gadījumā hakeris var apdraudēt paroli “Pavasaris2019!” dažu mēnešu laikā pēc tā stāšanās spēkā. Šajā brīdī viņi var izmēģināt variantus ar “Rudens”, nevis “Pavasaris”, un viņi, visticamāk, iegūs piekļuvi. Ja uzņēmums konstatē šo drošības pārkāpumu un pēc tam liek lietotājiem mainīt paroles, tas ir godīgi iespējams, ka ietekmētais lietotājs vienkārši nomainīs savu paroli uz “Ziema 2019!” un domā, ka viņi ir drošs. Hakeris, zinot modeli, var to izmēģināt, ja atkal varēs piekļūt. Atkarībā no tā, cik ilgi lietotājs pieturas pie šī modeļa, uzbrucējs to var izmantot piekļuvei vairākus gadus, kamēr lietotājs jūtas droši, jo regulāri maina savu paroli.

Kāds ir jauns padoms?

Lai mudinātu lietotājus izvairīties no formulām parolēm, tagad ir ieteicams atiestatīt paroles tikai tad, ja ir pamatotas aizdomas, ka tās ir apdraudētas. Neliekot lietotājiem regulāri atcerēties jaunu paroli, viņi, visticamāk, vispirms izvēlēsies spēcīgu paroli.

Kopā ar to ir vairāki citi ieteikumi, kuru mērķis ir veicināt spēcīgāku paroļu izveidi. Tie ietver nodrošināšanu, ka visas paroles ir vismaz astoņas rakstzīmes garas un maksimālais rakstzīmju skaits ir vismaz 64 rakstzīmes. Tā arī ieteica uzņēmumiem sākt atteikties no sarežģītības noteikumiem uz bloķēšanas sarakstu izmantošanu izmantojot vāju paroļu vārdnīcas, piemēram, "ChangeMe!" un “Password1”, kas atbilst daudzām sarežģītībām prasībām.

Kiberdrošības kopiena gandrīz vienbalsīgi piekrīt, ka parolēm nevajadzētu beigties automātiski.

Piezīme. Diemžēl dažos gadījumos tas joprojām var būt nepieciešams, jo dažām valdībām vēl ir jāmaina likumi, kas pieprasa paroles derīguma termiņu sensitīvām vai klasificētām sistēmām.