Hesap güvenliği tavsiyelerinin ortak parçalarından biri, kullanıcıların şifrelerini düzenli olarak değiştirmeleridir. Bu yaklaşımın arkasındaki mantık, herhangi bir parolanın tehlikeye girmesi durumunda geçerli olduğu süreyi en aza indirmektir. Bu stratejinin tamamı, Amerikan NIST veya Ulusal Standartlar ve Teknoloji Enstitüsü gibi üst düzey siber güvenlik gruplarının tarihsel tavsiyelerine dayanmaktadır.
Onlarca yıldır hükümetler ve şirketler bu tavsiyeye uydular ve kullanıcılarını genellikle her 90 günde bir şifrelerini düzenli olarak sıfırlamaya zorladılar. Ancak zaman içinde araştırmalar bu yaklaşımın amaçlandığı gibi çalışmadığını gösterdi ve 2017'de NIST İngiltere ile birlikte NCSC, veya Ulusal Siber Güvenlik Merkezi, önerilerini yalnızca makul bir güvenlik açığı şüphesi olduğunda parola değişikliklerini zorunlu kılacak şekilde değiştirdi.
Tavsiye neden değişti?
Parolaları düzenli olarak değiştirme tavsiyesi, başlangıçta güvenliği artırmaya yardımcı olmak için uygulandı. Tamamen mantıksal bir bakış açısıyla, parolaları düzenli olarak yenileme tavsiyesi mantıklıdır. Gerçek dünya deneyimi olsa da biraz farklıdır. Araştırmalar, kullanıcıları parolalarını düzenli olarak değiştirmeye zorlamanın, onları yalnızca artırabilecekleri benzer bir parola kullanmaya başlama olasılıklarını önemli ölçüde artırdığını gösterdi. Örneğin, kullanıcılar “9L=Xk&2>” gibi parolalar seçmek yerine “Bahar2019!” gibi parolalar kullanır.
Görünen o ki, birden fazla parola bulup hatırlamaya ve daha sonra bunları düzenli olarak değiştirmeye zorlandıklarında, insanlar sürekli olarak daha güvenli olmayan hatırlaması kolay parolalar kullanıyorlar. “Spring2019!” gibi artımlı parolalarla ilgili sorun kolayca tahmin edilebilmeleri ve daha sonra gelecekteki değişiklikleri de tahmin etmeyi kolaylaştırmasıdır. Kombine olarak bu, parola sıfırlamaya zorlamanın kullanıcıları hatırlaması daha kolay olanı seçmeye zorladığı ve bu nedenle, geleceği azaltmanın amaçlanan faydasını genellikle aktif olarak baltalayan daha zayıf şifreler risk.
Örneğin, en kötü senaryoda, bir bilgisayar korsanı "Bahar2019!" parolasını tehlikeye atabilir. geçerlilik tarihinden itibaren birkaç ay içinde Bu noktada, “Bahar” yerine “Sonbahar” ile varyantları deneyebilirler ve erişim kazanmaları muhtemeldir. Şirket bu güvenlik ihlalini tespit eder ve ardından kullanıcıları şifrelerini değiştirmeye zorlarsa, bu oldukça adildir. etkilenen kullanıcının şifresini “Winter2019!” olarak değiştirmesi muhtemeldir. ve olduklarını düşünmek güvenli. Düzeni bilen bilgisayar korsanı, tekrar erişim elde edebilirlerse bunu deneyebilir. Bir kullanıcının bu kalıba ne kadar bağlı kaldığına bağlı olarak, bir saldırgan bunu birkaç yıl boyunca erişim için kullanabilir ve tüm bunlar kullanıcı parolasını düzenli olarak değiştirdiği için kendini güvende hissederken.
Yeni tavsiye nedir?
Kullanıcıları kalıplaşmış parolalardan kaçınmaya teşvik etmeye yardımcı olmak için, artık parolaları yalnızca ele geçirildiklerine dair makul bir şüphe olduğunda sıfırlamanız önerilir. Kullanıcıları düzenli olarak yeni bir şifreyi hatırlamaya zorlamayarak, ilk etapta güçlü bir şifre seçmeleri daha olasıdır.
Bununla birlikte, daha güçlü parolaların oluşturulmasını teşvik etmeyi amaçlayan bir dizi başka öneri de bulunmaktadır. Bunlar, tüm parolaların mutlak minimumda en az sekiz karakter uzunluğunda olmasını ve maksimum karakter sayısının en az 64 karakter olmasını içerir. Ayrıca şirketlerin karmaşıklık kurallarından blok listelerinin kullanımına doğru ilerlemeye başlamaları tavsiye edildi. “ChangeMe!” gibi zayıf parolaların sözlüklerini kullanmak ve birçok karmaşıklığı karşılayan “Şifre1” Gereksinimler.
Siber güvenlik topluluğu, neredeyse oybirliğiyle, parolaların süresinin otomatik olarak dolmaması gerektiği konusunda hemfikirdir.
Not: Ne yazık ki, bazı senaryolarda, bazı hükümetler hassas veya gizli sistemler için parola süresinin dolmasını gerektiren yasaları henüz değiştirmediği için bunu yapmak hala gerekli olabilir.