Et av de vanlige sikkerhetsrådene for kontoer er at brukere bør endre passordene sine regelmessig. Begrunnelsen bak denne tilnærmingen er å minimere hvor lang tid et passord er gyldig i tilfelle det noen gang blir kompromittert. Hele denne strategien er basert på historiske råd fra topp cybersikkerhetsgrupper som amerikanske NIST, eller National Institute of Standards and Technology.
I flere tiår fulgte myndigheter og selskaper dette rådet og tvang brukerne sine til å tilbakestille passord regelmessig, vanligvis hver 90. dag. Over tid viste imidlertid forskning at denne tilnærmingen ikke fungerte etter hensikten og i 2017 NIST sammen med Storbritannia NCSC, eller National Cyber Security Centre, endret rådene sine til å bare kreve passordendringer når det er rimelig mistanke om kompromittering.
Hvorfor ble rådet endret?
Rådene om regelmessig endring av passord ble opprinnelig implementert for å bidra til å øke sikkerheten. Fra et rent logisk perspektiv er rådet om å oppdatere passord regelmessig fornuftig. Den virkelige opplevelsen er imidlertid litt annerledes. Forskning viste at å tvinge brukere til å endre passord regelmessig, gjorde at de begynte å bruke et lignende passord som de bare kunne øke. For eksempel, i stedet for å velge passord som "9L=Xk&2>" vil brukere i stedet bruke passord som "Spring2019!".
Det viser seg at når folk blir tvunget til å komme opp med og huske flere passord og deretter regelmessig endre dem, bruker folk konsekvent enkle å huske passord som er mer usikre. Problemet med inkrementelle passord som "Spring2019!" er at de lett kan gjettes og da gjør det enkelt å forutsi fremtidige endringer også. Kombinert betyr dette at å tvinge tilbakestilling av passord presser brukere til å velge lettere å huske og derfor svakere passord, som vanligvis aktivt undergraver den tiltenkte fordelen med å redusere fremtiden Fare.
For eksempel, i verste fall, kan en hacker kompromittere passordet "Spring2019!" innen få måneder etter at den er gyldig. På dette tidspunktet kan de prøve varianter med "Høst" i stedet for "Vår", og de vil sannsynligvis få tilgang. Hvis selskapet oppdager dette sikkerhetsbruddet og deretter tvinger brukere til å endre passordene sine, er det rettferdig sannsynligvis vil den berørte brukeren bare endre passordet sitt til "Winter2019!" og tror at de er sikre. Hackeren, som kjenner mønsteret, kan godt prøve dette hvis de er i stand til å få tilgang igjen. Avhengig av hvor lenge en bruker holder seg til dette mønsteret, kan en angriper bruke dette for tilgang over flere år, mens brukeren føler seg trygg fordi de regelmessig endrer passordet sitt.
Hva er det nye rådet?
For å hjelpe til med å oppmuntre brukere til å unngå formele passord, er rådet nå å bare tilbakestille passord når det er rimelig mistanke om at de har blitt kompromittert. Ved å ikke tvinge brukere til regelmessig å huske et nytt passord, er det mer sannsynlig at de velger et sterkt passord i utgangspunktet.
Kombinert med dette er en rekke andre anbefalinger rettet mot å oppmuntre til å lage sterkere passord. Disse inkluderer å sikre at alle passord er minst åtte tegn lange på et absolutt minimum og at maksimalt antall tegn er minst 64 tegn. Det anbefalte også at selskaper begynner å gå bort fra kompleksitetsregler mot bruk av blokkeringslister ved å bruke ordbøker med svake passord som "ChangeMe!" og "Password1" som møter mange kompleksiteter krav.
Nettsikkerhetsmiljøet er nesten enstemmig enige om at passord ikke skal utløpe automatisk.
Merk: Dessverre, i noen scenarier, kan det fortsatt være nødvendig å gjøre det, siden noen myndigheter ennå ikke har endret lover som krever passordutløp for sensitive eller klassifiserte systemer.