Unul dintre sfaturile comune de securitate a contului este că utilizatorii ar trebui să-și schimbe parolele în mod regulat. Raționamentul din spatele acestei abordări este de a minimiza durata de timp pentru care este valabilă orice parolă, în cazul în care este vreodată compromisă. Întreaga strategie se bazează pe sfaturi istorice din partea unor grupuri de securitate cibernetică de top, cum ar fi NIST american sau Institutul Național de Standarde și Tehnologie.
Timp de decenii, guvernele și companiile au urmat acest sfat și și-au forțat utilizatorii să reseteze în mod regulat parolele, de obicei la fiecare 90 de zile. De-a lungul timpului, însă, cercetările au arătat că această abordare nu a funcționat așa cum s-a prevăzut și în 2017 NIST împreună cu cei din Marea Britanie NCSC, sau Centrul Național de Securitate Cibernetică, și-au schimbat sfatul pentru a solicita modificările parolei numai atunci când există suspiciuni rezonabile de compromis.
De ce a fost schimbat sfatul?
Sfatul de a schimba în mod regulat parolele a fost implementat inițial pentru a ajuta la creșterea securității. Dintr-o perspectivă pur logică, sfatul de a reîmprospăta în mod regulat parolele are sens. Totuși, experiența din lumea reală este ușor diferită. Cercetările au arătat că forțarea utilizatorilor să-și schimbe în mod regulat parolele îi făcea mult mai probabil să înceapă să folosească o parolă similară pe care doar o puteau incrementa. De exemplu, în loc să aleagă parole precum „9L=Xk&2>”, utilizatorii ar folosi în schimb parole precum „Primăvara2019!”.
Se pare că, atunci când sunt forțați să inventeze și să-și amintească mai multe parole și apoi să le schimbe în mod regulat, oamenii folosesc în mod constant parole ușor de reținut, care sunt mai nesigure. Problema cu parolele incrementale precum „Primăvara 2019!” este că sunt ușor de ghicit și apoi ușurează prezicerea schimbărilor viitoare. Combinat, aceasta înseamnă că forțarea resetărilor parolei îi împinge pe utilizatori să aleagă mai ușor de reținut și prin urmare parole mai slabe, care de obicei subminează în mod activ beneficiul preconizat al reducerii viitorului risc.
De exemplu, în cel mai rău caz, un hacker ar putea compromite parola „Primăvara 2019!” în câteva luni de la valabilitate. În acest moment, ei pot încerca variante cu „Toamna” în loc de „Primăvara” și probabil că vor avea acces. Dacă compania detectează această breșă de securitate și apoi obligă utilizatorii să-și schimbe parolele, este corect probabil că utilizatorul afectat își va schimba parola în „Winter2019!” și cred că sunt sigur. Hackerul, cunoscând modelul, poate încerca acest lucru dacă reușește să obțină accesul din nou. În funcție de cât timp un utilizator rămâne cu acest model, un atacator ar putea folosi acesta pentru acces pe mai mulți ani, în timp ce utilizatorul se simte în siguranță, deoarece își schimbă în mod regulat parola.
Care este noul sfat?
Pentru a ajuta la încurajarea utilizatorilor să evite parolele formulate, acum sfatul este să resetați parolele numai atunci când există o suspiciune rezonabilă că acestea au fost compromise. Neforțând utilizatorii să-și amintească în mod regulat o nouă parolă, este mai probabil să aleagă o parolă puternică în primul rând.
Combinate cu aceasta sunt o serie de alte recomandări menite să încurajeze crearea de parole mai puternice. Acestea includ asigurarea faptului că toate parolele au cel puțin opt caractere lungime la minimum absolut și că numărul maxim de caractere este de cel puțin 64 de caractere. De asemenea, a recomandat companiilor să înceapă să se îndepărteze de regulile de complexitate către utilizarea listelor de blocare folosind dicționare de parole slabe, cum ar fi „ChangeMe!” și „Parola1” care îndeplinesc multe complexități cerințe.
Comunitatea de securitate cibernetică este aproape unanim de acord că parolele nu ar trebui să expire automat.
Notă: Din păcate, în unele scenarii, poate fi încă necesar să faceți acest lucru, deoarece unele guverne încă nu au modificat legile care impun expirarea parolelor pentru sistemele sensibile sau clasificate.