Однією з поширених порад щодо безпеки облікового запису є те, що користувачі повинні регулярно змінювати свої паролі. Причина цього підходу полягає в тому, щоб мінімізувати час, протягом якого будь-який пароль дійсний, на випадок, якщо він коли-небудь буде зламаний. Вся ця стратегія заснована на історичних порадах провідних груп з кібербезпеки, таких як американський NIST або Національний інститут стандартів і технологій.
Протягом десятиліть уряди та компанії дотримувались цієї поради і змушували своїх користувачів регулярно скидати паролі, як правило, кожні 90 днів. Проте з часом дослідження показали, що цей підхід не працює належним чином, і в 2017 році NIST разом із Великобританією NCSC, або Національний центр кібербезпеки, змінив свою рекомендацію, щоб вимагати змінювати пароль лише тоді, коли є обґрунтована підозра на компроміс.
Чому пораду змінили?
Порада регулярно змінювати паролі спочатку була реалізована для підвищення безпеки. З чисто логічної точки зору порада регулярно оновлювати паролі має сенс. Однак реальний досвід дещо інший. Дослідження показали, що примушування користувачів регулярно змінювати свої паролі значно збільшує ймовірність того, що вони почнуть використовувати подібний пароль, який вони можуть просто збільшити. Наприклад, замість того, щоб вибирати паролі на кшталт «9L=Xk&2>», користувачі використовуватимуть паролі типу «Весна 2019!».
Виявляється, коли люди змушені придумати і запам’ятати кілька паролів, а потім регулярно їх змінювати, люди постійно використовують легко запам’ятовуються паролі, які є більш небезпечними. Проблема з інкрементальними паролями, як-от «Весна 2019!» полягає в тому, що їх легко вгадати, а потім полегшити прогнозування майбутніх змін. У поєднанні це означає, що примусове скидання пароля спонукає користувачів вибирати, що легше запам’ятати та тому більш слабкі паролі, які зазвичай активно підривають передбачувану вигоду від скорочення майбутнього ризик.
Наприклад, у гіршому випадку хакер може зламати пароль «Весна 2019!» протягом кількох місяців з моменту його дії. На цьому етапі вони можуть спробувати варіанти з «Осінь» замість «Весна», і вони, ймовірно, отримають доступ. Якщо компанія виявить це порушення безпеки, а потім змусить користувачів змінити свої паролі, це справедливо ймовірно, що постраждалий користувач просто змінить свій пароль на «Winter2019!» і думають, що вони безпечний. Хакер, знаючи шаблон, цілком може спробувати це, якщо зможе знову отримати доступ. Залежно від того, як довго користувач дотримується цього шаблону, зловмисник може використовувати його для доступу протягом кількох років, поки користувач почувається в безпеці, оскільки він регулярно змінює свій пароль.
Яка нова порада?
Щоб спонукати користувачів уникати шаблонних паролів, тепер радимо скидати паролі лише тоді, коли є обґрунтована підозра, що вони були зламані. Не змушуючи користувачів регулярно запам’ятовувати новий пароль, вони швидше за все виберуть надійний пароль.
У поєднанні з цим є ряд інших рекомендацій, спрямованих на заохочення створення більш надійних паролів. Вони включають в себе забезпечення того, щоб усі паролі складалися щонайменше з восьми символів, а максимальна кількість символів становила не менше 64 символів. Він також рекомендував компаніям почати відходити від правил складності до використання списків блокування використовуючи словники слабких паролів, такі як «ChangeMe!» та «Пароль1», які мають багато складності вимоги.
Спільнота кібербезпеки майже одноголосно погоджується з тим, що термін дії паролів не повинен закінчуватися автоматично.
Примітка. На жаль, у деяких випадках це все ще може знадобитися, оскільки деякі уряди ще не змінили закони, які вимагають закінчення терміну дії пароля для конфіденційних або секретних систем.