Co to jest rotacja haseł i jak to zrobić poprawnie?
Rozmawialiśmy o tym, jak trudno jest stworzyć dobrą politykę haseł. Część problemu polega na tym, że nie jest to zadanie typu „ustaw i zapomnij”. Firmy muszą stale dostosowywać się do zmian w środowisku zagrożeń internetowych, a ich zasady dotyczące haseł powinny być modyfikowane zgodnie z najnowszymi trendami i zmianami. Czy tak się dzieje w rzeczywistości?
Cóż, w 2016 r. National Institute of Standards and Technology (NIST), agencja nieregulacyjna będąca częścią rządu USA, zaleciła firmom, aby nie zmuszały swoich pracowników do zmiany haseł co kilka miesięcy. Było to dokładnie przeciwne do tego, co doradzano wcześniej firmom, ale NIST stwierdził, że istnieje wiele dowodów na to, że obowiązkowa zmiana hasła negatywnie wpływa na bezpieczeństwo ludzi w Internecie. Wielu ekspertów oklaskiwało poradę NIST i nadal ją wspiera, ale mimo to, nawet teraz, prawie cztery lata później, niektóre organizacje wciąż zmuszają swoich pracowników do regularnej zmiany haseł.
Częste zmiany hasła prowadzą do rotacji hasła
Główny problem z zmuszaniem ludzi do częstej zmiany haseł polega na tym, że nacisk, jaki na nich nakładasz, prowadzi do błędów, które mogą mieć poważne konsekwencje dla ich bezpieczeństwa w Internecie. Wszyscy wiecie, jak trudno jest stworzyć silne hasło, i możecie sobie tylko wyobrazić, jak trudne może być, jeśli trzeba to robić regularnie.
Ponieważ jest to duże obciążenie, ludzie, którzy muszą zmienić swoje hasła, często wybierają oszczędzanie sobie kłopotów i wprowadzają proste modyfikacje swoich istniejących haseł (np. Zamieniają „hasło1” na „hasło2”). Inną strategią, którą przyjęli ludzie, jest stworzenie ograniczonej listy trzech lub czterech haseł, które okresowo zmieniają.
Eksperci ds. Bezpieczeństwa mogą wymienić wiele powodów, dla których rotacja haseł jest złym pomysłem. Użytkownik zwykle próbuje zapamiętać trzy lub cztery hasła, w wyniku czego poświadczenia nie są zbyt silne. Kolejny problem wynika z faktu, że od czasu do czasu hasła stają się ważne. Teoretycznie, jeśli haker ma jedno z haseł, które zmieniasz, może okresowo testować je na Twoim koncie, a ostatecznie otrzyma odpowiedni czas i pomyślnie się włamie.
Ogólna argumentacja przeciwko okresowym zmianom haseł wynika z faktu, że cyberprzestępcy nie czekają, aż zmienisz hasło, zanim spróbują naruszyć twoje konto, ale powtarzalny charakter, z jakim zmieniane są poświadczenia w scenariuszu rotacji hasła, sprawia, że ludzie, którzy wybierają ta strategia jest szczególnie wrażliwa. Niestety, jak już wspomnieliśmy, czasami inne opcje są ograniczone.
Co możesz zrobić, jeśli rotacja hasła jest jedyną opcją?
Niektóre organizacje nadal wymuszają regularne zmiany haseł, co oznacza, że rotacja haseł jest bardzo żywa i gwałtowna. Co gorsza, istnieją firmy, które nie pozwalają na korzystanie z menedżera haseł, co może wyeliminować potrzebę całkowitego obracania haseł.
Jeśli nie masz innego wyjścia, jak zmienić listę haseł, możesz przynajmniej spróbować zminimalizować ryzyko w jak największym stopniu. Używaj szerokiej gamy znaków i spraw, aby hasła były jak najbardziej losowe. Tworząc większą liczbę haseł, dodatkowo ograniczasz szanse na udany kompromis, ale musisz się upewnić, że różnią się one zasadniczo od siebie. Na koniec skontaktuj się z osobą odpowiedzialną za tworzenie polityki haseł w Twojej firmie i powiedz jej, że jej pomysły na bezpieczne środowisko są bardzo nieaktualne.
