Τι είναι η περιστροφή του κωδικού πρόσβασης και πώς να το κάνετε σωστά;

Μιλήσαμε για το πόσο δύσκολο είναι να δημιουργηθεί μια καλή πολιτική κωδικού πρόσβασης. Μέρος του προβλήματος έγκειται στο γεγονός ότι αυτό δεν είναι καθήκον set-and-forget. Οι εταιρείες πρέπει να προσαρμόζονται συνεχώς στις αλλαγές στο τοπικό περιβάλλον απειλών και οι πολιτικές τους για τον κωδικό πρόσβασης πρέπει να τροποποιούνται σύμφωνα με τις τελευταίες τάσεις και αλλαγές. Αυτό συμβαίνει στην πραγματικότητα;

Λοιπόν, το 2016, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST), ένας μη ρυθμιστικός οργανισμός που αποτελεί τμήμα της αμερικανικής κυβέρνησης, συμβούλευε τις εταιρείες να μην αναγκάζουν τους υπαλλήλους τους να αλλάζουν τους κωδικούς τους κάθε λίγους μήνες. Αυτό ήταν ακριβώς το αντίθετο από ό, τι είχαν συμβουλεύσει οι επιχειρήσεις προηγουμένως, αλλά η NIST είπε ότι υπήρχαν άφθονα στοιχεία ότι η υποχρεωτική αλλαγή κωδικού πρόσβασης επηρεάζει δυσμενώς τη διαδικτυακή ασφάλεια των ανθρώπων. Πολλοί εμπειρογνώμονες επικρότησαν τη συμβουλευτική υποστήριξη της NIST και συνεχίζουν να την υποστηρίζουν, αλλά παρόλα αυτά, ακόμη και τώρα, σχεδόν τέσσερα χρόνια αργότερα, ορισμένες οργανώσεις εξαναγκάζουν τους υπαλλήλους τους να αλλάζουν τακτικά τους κωδικούς τους.

Οι συχνές αλλαγές κωδικού πρόσβασης οδηγούν σε περιστροφή κωδικού πρόσβασης

Το κύριο πρόβλημα με την εξαναγκασμό των ανθρώπων να αλλάζουν συχνά τους κωδικούς τους είναι ότι το άγχος που τους βάζετε, οδηγεί σε λάθη που θα μπορούσαν να έχουν σοβαρές συνέπειες για την ηλεκτρονική ασφάλεια τους. Όλοι γνωρίζετε πόσο δύσκολο είναι να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης και μπορείτε να φανταστείτε πόσο δύσκολο θα ήταν να το κάνετε σε τακτική βάση.

Επειδή είναι ένα τέτοιο φορτίο, οι άνθρωποι που πρέπει να αλλάξουν τους κωδικούς πρόσβασης συχνά επιλέγουν να σώσουν τον κόπο και να κάνουν απλές τροποποιήσεις στους υπάρχοντες κωδικούς τους (π.χ., αλλάζοντας τον "κωδικό1" για τον κωδικό πρόσβασης2). Μια άλλη στρατηγική που έχουν υιοθετήσει οι άνθρωποι είναι να δημιουργήσουν μια περιορισμένη λίστα με τρεις ή τέσσερις κωδικούς πρόσβασης που περιστρέφονται περιοδικά.

Οι ειδικοί ασφαλείας μπορούν να απαριθμήσουν πολλούς λόγους για τους οποίους η εναλλαγή του κωδικού πρόσβασης είναι μια κακή ιδέα. Ο χρήστης προσπαθεί συνήθως να απομνημονεύσει τους τρεις ή τέσσερις κωδικούς πρόσβασης και, ως εκ τούτου, τα διαπιστευτήρια δεν είναι πολύ ισχυρά. Ένα άλλο πρόβλημα προέρχεται από το γεγονός ότι κάθε φορά και πάλι, οι κωδικοί πρόσβασης ισχύουν. Θεωρητικά, εάν ένας χάκερ έχει έναν από τους κωδικούς πρόσβασης που περιστρέφετε, μπορεί να το ελέγξει περιοδικά από τον λογαριασμό σας και τελικά θα πάρει το σωστό χρονοδιάγραμμα και θα σπάσει με επιτυχία.

Η γενική περίπτωση κατά των περιοδικών αλλαγών κωδικού πρόσβασης προέρχεται από το γεγονός ότι οι εγκληματίες του κυβερνοχώρου δεν σας περιμένουν να αλλάξετε τον κωδικό πρόσβασης πριν επιχειρήσουν να θέσουν σε κίνδυνο τον λογαριασμό σας, αλλά ο επαναλαμβανόμενος χαρακτήρας με τον οποίο αλλάζουν τα διαπιστευτήρια σε ένα σενάριο περιστροφής κωδικού, αυτή η στρατηγική είναι ιδιαίτερα ευάλωτη. Δυστυχώς, όπως αναφέρθηκε ήδη, μερικές φορές, οι άλλες επιλογές είναι περιορισμένες.

Τι μπορείτε να κάνετε εάν η περιστροφή του κωδικού πρόσβασης είναι η μόνη επιλογή;

Ορισμένες οργανώσεις εξακολουθούν να επιβάλλουν την τακτική αλλαγή κωδικού πρόσβασης, πράγμα που σημαίνει ότι η περιστροφή του κωδικού πρόσβασης είναι πολύ ζωντανή και κλοτσιές. Ακόμα χειρότερο, υπάρχουν εταιρείες που δεν επιτρέπουν τη χρήση ενός διαχειριστή κωδικών πρόσβασης, ο οποίος μπορεί να εξαλείψει την ανάγκη να περιστρέφονται πλήρως οι κωδικοί πρόσβασης.

Εάν έχετε λίγη άλλη επιλογή από το να περιστρέψετε μια λίστα με κωδικούς πρόσβασης, μπορείτε τουλάχιστον να προσπαθήσετε να μετριάσετε τους κινδύνους όσο το δυνατόν περισσότερο. Χρησιμοποιήστε μια μεγάλη ποικιλία χαρακτήρων και κάντε τους κωδικούς πρόσβασης όσο πιο τυχαία γίνεται. Με τη δημιουργία ενός μεγαλύτερου αριθμού κωδικών πρόσβασης, περιορίζετε περαιτέρω τις πιθανότητες επιτυχούς συμβιβασμού, αλλά πρέπει να βεβαιωθείτε ότι είναι ουσιαστικά διαφορετικοί μεταξύ τους. Τέλος, επικοινωνήστε με τον υπεύθυνο της δημιουργίας της πολιτικής κωδικού πρόσβασης στην επιχείρησή σας και ενημερώστε ότι οι ιδέες τους σχετικά με ένα ασφαλές πλαίσιο είναι θλιβερά ξεπερασμένες.