Jednou z bežných rád týkajúcich sa zabezpečenia účtu je, že používatelia by si mali pravidelne meniť heslá. Dôvodom tohto prístupu je minimalizovať dĺžku času platnosti akéhokoľvek hesla v prípade, že by bolo niekedy prezradené. Celá táto stratégia je založená na historických radách od popredných skupín pre kybernetickú bezpečnosť, ako je americký NIST alebo Národný inštitút pre štandardy a technológie.
Po celé desaťročia sa vlády a spoločnosti riadili touto radou a nútili svojich používateľov pravidelne obnovovať heslá, zvyčajne každých 90 dní. Postupom času však výskum ukázal, že tento prístup v roku 2017 nefungoval podľa plánu NIST spolu s UK NCSC, alebo Národné centrum kybernetickej bezpečnosti zmenili svoje odporúčanie tak, aby vyžadovali zmenu hesla len v prípade dôvodného podozrenia z ohrozenia.
Prečo bola rada zmenená?
Odporúčanie pravidelne meniť heslá bolo pôvodne implementované na zvýšenie bezpečnosti. Z čisto logického hľadiska rada pravidelne obnovovať heslá dáva zmysel. Skúsenosti z reálneho sveta sú však trochu iné. Výskum ukázal, že nútenie používateľov pravidelne meniť svoje heslá výrazne zvýšilo pravdepodobnosť, že začnú používať podobné heslo, ktoré by mohli len zvýšiť. Napríklad namiesto výberu hesiel ako „9L=Xk&2>“ by používatelia namiesto toho používali heslá ako „Jar 2019!“.
Ukazuje sa, že keď sú ľudia nútení vymyslieť a zapamätať si viacero hesiel a potom ich pravidelne meniť, ľudia neustále používajú ľahko zapamätateľné heslá, ktoré sú nebezpečnejšie. Problém s prírastkovými heslami ako „Jar 2019!“ je to, že sa dajú ľahko uhádnuť a potom je ľahké predpovedať aj budúce zmeny. V kombinácii to znamená, že vynútené obnovenie hesla núti používateľov vybrať si ľahšie zapamätateľné a zapamätateľné preto slabšie heslá, ktoré zvyčajne aktívne podkopávajú zamýšľaný prínos zníženia budúcnosti riziko.
Napríklad v najhoršom prípade by hacker mohol prelomiť heslo „Jar 2019!“ do niekoľkých mesiacov od jeho platnosti. V tomto bode môžu vyskúšať varianty s „Jeseň“ namiesto „Jar“ a pravdepodobne získajú prístup. Ak spoločnosť zistí toto porušenie bezpečnosti a potom prinúti používateľov, aby zmenili svoje heslá, je to fér Je pravdepodobné, že dotknutý používateľ si len zmení heslo na „Zima 2019!“ a myslite si, že sú zabezpečiť. Hacker, ktorý pozná vzor, to môže skúsiť, ak bude schopný znova získať prístup. V závislosti od toho, ako dlho sa používateľ drží tohto vzoru, by ho útočník mohol použiť na prístup počas niekoľkých rokov, pričom sa používateľ cíti bezpečne, pretože pravidelne mení svoje heslo.
Aká je nová rada?
V snahe povzbudiť používateľov, aby sa vyhli vzorovým heslám, sa teraz odporúča resetovať heslá len vtedy, keď existuje dôvodné podozrenie, že boli prezradené. Ak nenútite používateľov, aby si pravidelne pamätali nové heslo, je pravdepodobnejšie, že si v prvom rade vyberú silné heslo.
V kombinácii s tým je množstvo ďalších odporúčaní zameraných na podporu vytvárania silnejších hesiel. Patrí medzi ne zabezpečenie toho, aby všetky heslá mali minimálne osem znakov a aby maximálny počet znakov bol aspoň 64 znakov. Odporúča tiež, aby spoločnosti začali ustupovať od pravidiel zložitosti smerom k používaniu blokovaných zoznamov pomocou slovníkov slabých hesiel, ako napríklad „ChangeMe!“ a „Password1“, ktoré spĺňajú mnohé zložitosti požiadavky.
Komunita kybernetickej bezpečnosti takmer jednohlasne súhlasí s tým, že platnosť hesiel by nemala byť automaticky ukončená.
Poznámka: Bohužiaľ, v niektorých scenároch môže byť stále potrebné tak urobiť, pretože niektoré vlády musia ešte zmeniť zákony vyžadujúce uplynutie platnosti hesla pre citlivé alebo utajované systémy.