Ett av de vanligaste säkerhetsråden för konton är att användare bör ändra sina lösenord regelbundet. Resonemanget bakom detta tillvägagångssätt är att minimera den tid som ett lösenord är giltigt för, om det någonsin skulle äventyras. Hela denna strategi är baserad på historiska råd från toppgrupper inom cybersäkerhet som amerikanska NIST eller National Institute of Standards and Technology.
I årtionden följde regeringar och företag detta råd och tvingade sina användare att regelbundet återställa lösenord, vanligtvis var 90:e dag. Med tiden visade dock forskning att detta tillvägagångssätt inte fungerade som avsett och 2017 NIST tillsammans med Storbritannien NCSC, eller National Cyber Security Centre, ändrade sina råd till att endast kräva lösenordsändringar när det finns skälig misstanke om kompromiss.
Varför ändrades rådet?
Råden att regelbundet byta lösenord implementerades ursprungligen för att öka säkerheten. Ur ett rent logiskt perspektiv är rådet att regelbundet uppdatera lösenord vettigt. Den verkliga upplevelsen är dock något annorlunda. Forskning visade att att tvinga användare att regelbundet ändra sina lösenord gjorde dem betydligt mer benägna att börja använda ett liknande lösenord som de bara kunde öka. Till exempel, istället för att välja lösenord som "9L=Xk&2>" skulle användare istället använda lösenord som "Vår2019!".
Det visar sig att när de tvingas komma på och komma ihåg flera lösenord och sedan regelbundet ändra dem, använder folk konsekvent lätta att komma ihåg lösenord som är mer osäkra. Problemet med inkrementella lösenord som "Vår2019!" är att de är lätta att gissa och sedan gör det enkelt att förutsäga framtida förändringar också. Tillsammans innebär detta att tvingande lösenordsåterställning tvingar användare att välja lättare att komma ihåg och därför svagare lösenord, som vanligtvis aktivt undergräver den avsedda fördelen med att minska framtiden risk.
Till exempel, i ett värsta fall kan en hackare äventyra lösenordet "Spring2019!" inom ett par månader efter det att den är giltig. Vid det här laget kan de prova varianter med "Fall" istället för "Spring" och de kommer sannolikt att få tillgång. Om företaget upptäcker detta säkerhetsbrott och sedan tvingar användare att ändra sina lösenord, är det rättvist troligtvis kommer den berörda användaren bara att ändra sitt lösenord till "Vinter2019!" och tror att de är det säkra. Hackaren, som känner till mönstret, kan mycket väl försöka detta om de kan få åtkomst igen. Beroende på hur länge en användare håller fast vid det här mönstret kan en angripare använda detta för åtkomst under flera år, samtidigt som användaren känner sig säker eftersom de regelbundet ändrar sitt lösenord.
Vad är det nya rådet?
För att hjälpa till att uppmuntra användare att undvika formuleringslösenord är rådet nu att endast återställa lösenord när det finns en rimlig misstanke om att de har blivit utsatta för intrång. Genom att inte tvinga användare att regelbundet komma ihåg ett nytt lösenord, är det mer sannolikt att de väljer ett starkt lösenord i första hand.
I kombination med detta finns ett antal andra rekommendationer som syftar till att uppmuntra skapandet av starkare lösenord. Dessa inkluderar att se till att alla lösenord är minst åtta tecken långa som ett absolut minimum och att det maximala antalet tecken är minst 64 tecken. Det rekommenderade också att företag börjar gå bort från komplexitetsregler mot användning av blocklistor använder ordböcker med svaga lösenord som "ChangeMe!" och "Password1" som möter många komplexiteter krav.
Cybersäkerhetsgemenskapen håller nästan enhälligt med om att lösenord inte ska förfalla automatiskt.
Obs: Tyvärr, i vissa scenarier, kan det fortfarande vara nödvändigt att göra det, eftersom vissa regeringar ännu inte har ändrat lagar som kräver att lösenordet löper ut för känsliga eller klassificerade system.