Hva er passordrotasjon og hvordan gjør du det riktig?

What is Password Rotation

Vi har snakket om hvor vanskelig det er å lage en god passordpolicy. En del av problemet ligger i at dette ikke er en sett-og-glem oppgave. Bedrifter må kontinuerlig tilpasse seg endringene i det online trusselandskapet, og passordpolicyene deres bør endres i samsvar med de nyeste trender og endringer. Skjer dette i virkeligheten?

Vel, i 2016 rådet National Institute of Standards and Technology (NIST), et ikke-regulerende byrå som er en del av den amerikanske regjeringen, bedrifter om ikke å tvinge sine ansatte til å endre passord med noen få måneder. Dette var nøyaktig motsatt av hva virksomheter tidligere hadde blitt informert om, men NIST sa at det var rikelig med bevis for at den obligatoriske passordendringen påvirker folks sikkerhet på nettet. Mange eksperter applauderte rådgivningen fra NIST og fortsetter å støtte den, men til tross for dette, til og med nå, nærmere fire år senere, tvinger noen organisasjoner fremdeles de ansatte til å endre passord regelmessig.

Hyppige passordendringer fører til passordrotasjon

Hovedproblemet med å tvinge folk til å endre passord ofte er at belastningen du legger på dem fører til feil som kan ha alvorlige konsekvenser for deres online sikkerhet. Dere vet alle hvor vanskelig å opprette et sterkt passord, og dere kan bare forestille dere hvor tøft det kan være hvis dere trenger å gjøre det med jevne mellomrom.

Fordi det er en slik belastning, velger folk som trenger å endre passord ofte å redde seg selv problemet og gjøre enkle endringer av eksisterende passord (f.eks. Bytte "passord1" for "passord2"). En annen strategi folk har tatt i bruk er å lage en begrenset liste med tre eller fire passord som de periodisk roterer.

Sikkerhetseksperter kan liste flere årsaker til at passordrotasjon er en dårlig idé. Brukeren prøver vanligvis å huske de tre eller fire passordene, og som et resultat er ikke legitimasjonene veldig sterke. Et annet problem kommer av at passordene nå og igjen blir gyldige. I teorien, hvis en hacker har et av passordene du roterer, kan de med jevne mellomrom teste det mot kontoen din, og til slutt vil de få timingen riktig og vil bryte inn med hell.

Den overordnede saken mot periodiske passordendringer stammer fra det faktum at nettkriminelle ikke venter på at du endrer passord før de prøver å kompromittere kontoen din, men den repeterende karakteren som legitimasjonen blir byttet i et passordrotasjonsscenario gjør at folk som velger denne strategien spesielt sårbar. Dessverre, som vi allerede har nevnt, noen ganger er de andre alternativene begrenset.

Hva kan du gjøre hvis passordrotasjon er det eneste alternativet?

Noen organisasjoner håndhever fortsatt regelmessige passordendringer, noe som betyr at passordrotasjon er veldig levende og sparkende. Verre er det, det er selskaper som ikke tillater bruk av passordbehandling, noe som kan eliminere behovet for å rotere passord fullstendig.

Hvis du har lite annet valg enn å rotere en liste med passord, kan du i det minste prøve å dempe risikoen så mye som mulig. Bruk et bredt utvalg av tegn og gjør passordene så tilfeldig utseende som mulig. Ved å opprette et større antall passord, begrenser du sjansene for et vellykket kompromiss ytterligere, men du må sørge for at de er vesentlig forskjellige fra hverandre. Sist men ikke minst, ta kontakt med den ansvarlige for å opprette passordpolicyen i bedriften din og fortell dem at ideene deres om sikre rammer trist er utdaterte.

March 18, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.