Что такое ротация паролей и как это сделать правильно?

Мы говорили о том, как сложно создать хорошую политику паролей. Частично проблема заключается в том, что это не задание «забей и забудь». Компании должны постоянно приспосабливаться к изменениям в ландшафте сетевых угроз, и их политика паролей должна изменяться в соответствии с последними тенденциями и изменениями. Это происходит на самом деле?

Что ж, в 2016 году Национальный институт стандартов и технологий (NIST), нерегулирующее агентство, являющееся частью правительства США, рекомендовало компаниям не заставлять своих сотрудников менять свои пароли каждые несколько месяцев. Это было полной противоположностью тому, о чем компании уже сообщали ранее, но NIST сказал, что было множество доказательств того, что обязательная смена пароля отрицательно влияет на безопасность людей в Интернете. Многие эксперты приветствовали рекомендации NIST и продолжают их поддерживать, но, несмотря на это, даже сейчас, спустя почти четыре года, некоторые организации все еще заставляют своих сотрудников регулярно менять свои пароли.

Частые изменения пароля приводят к смене пароля

Основная проблема, заставляющая людей часто менять свои пароли, заключается в том, что стресс, который вы им оказываете, приводит к ошибкам, которые могут иметь серьезные последствия для их безопасности в Интернете. Вы все знаете, насколько сложно создать надежный пароль, и вы можете только представить, насколько это сложно, если вам нужно делать это регулярно.

Поскольку это такое бремя, люди, которым необходимо изменить свои пароли, часто решают сами избавиться от проблем и вносят простые изменения в свои существующие пароли (например, заменяя «password1» на «password2»). Другая стратегия, принятая людьми, заключается в создании ограниченного списка из трех или четырех паролей, которые они периодически меняют.

Эксперты по безопасности могут перечислить несколько причин, по которым ротация паролей является плохой идеей. Пользователь обычно пытается запомнить три или четыре пароля, и в результате учетные данные не очень надежны. Другая проблема связана с тем, что время от времени пароли становятся действительными. Теоретически, если у хакера есть один из паролей, который вы поворачиваете, он может периодически проверять его в отношении вашей учетной записи, и, в конце концов, он выберет правильное время и успешно взломает.

Общий случай против периодических изменений пароля связан с тем фактом, что киберпреступники не ждут, пока вы измените свой пароль, прежде чем они попытаются скомпрометировать вашу учетную запись, но повторяющийся характер, с которым переключаются учетные данные в сценарии ротации паролей, заставляет людей выбирать эта стратегия особенно уязвима. К сожалению, как мы уже упоминали, иногда другие возможности ограничены.

Что вы можете сделать, если поворот пароля является единственным вариантом?

В некоторых организациях все еще применяются регулярные изменения паролей, а это означает, что ротация паролей очень жива и здорова. Хуже того, есть компании, которые не разрешают использовать менеджер паролей, который может полностью исключить необходимость смены паролей.

Если у вас нет другого выбора, кроме как повернуть список паролей, вы можете, по крайней мере, попытаться максимально снизить риски. Используйте разнообразные символы и делайте пароли максимально случайными. Создавая большее количество паролей, вы дополнительно ограничиваете шансы на успешный компромисс, но вы должны убедиться, что они существенно отличаются друг от друга. И последнее, но не менее важное: обратитесь к лицу, отвечающему за создание политики паролей в вашей компании, и скажите им, что их представления о безопасной структуре крайне устарели.