Je stále dobrý nápad vyžadovať od používateľov zmenu hesiel?

Odkedy existuje podnikové IT, používatelia musia pravidelne meniť svoje heslá. Potreba plánovaných zmien hesiel môže byť v skutočnosti jednou z najtrvalejších osvedčených postupov IT.

V poslednom čase sa však veci začali meniť. Spoločnosť Microsoft zmenila kurz osvedčených postupov, ktoré používala už desaťročia, a už neodporúča, aby organizácie vyžadovali od používateľov pravidelnú zmenu hesiel. Organizácie sú nútené zvážiť, možno po prvýkrát, či je alebo nie je dobré vyžadovať pravidelné zmeny hesla.

Odporúčania na obnovenie hesla od spoločnosti Microsoft

Podľa Microsoftu požiadavka, aby si používatelia často menili svoje heslá, prináša viac škody ako úžitku.

Ľudia sú notoricky odolní voči zmenám. Keď je používateľ nútený zmeniť svoje heslo, často príde s novým heslom, ktoré je založené na jeho predchádzajúcom hesle. Používateľ môže napríklad pridať číslo na koniec svojho hesla a potom toto číslo zvýšiť vždy, keď sa heslo vyžaduje. Podobne, ak sa vyžaduje mesačná zmena hesla, používateľ môže do hesla zahrnúť názov mesiaca a potom zmeniť mesiac vždy, keď sa vyžaduje zmena hesla (napríklad [email protected]@ssw0rd).

Ešte znepokojujúcejšie je, že štúdie dokázali, že často je možné uhádnuť aktuálne heslo používateľa, ak poznáte jeho predchádzajúce heslo. V jednej takejto štúdii vedci zistili, že boli schopní uhádnuť 41 % aktuálnych hesiel používateľov do troch sekúnd, ak poznali predchádzajúce heslo používateľa.

Aj keď vynútené zmeny hesiel môžu spôsobiť problémy, problémy môže spôsobiť aj to, že používatelia nebudú musieť meniť svoje heslá. V súčasnej podobe trvá organizácii v priemere 207 dní, kým identifikuje porušenie (Ponemon Institute, 2020). S ohľadom na to zvážte, ako dlho môže trvať identifikácia porušenia, ak používatelia nemusia meniť svoje heslá.

Kyberzločinec, ktorý získal prístup do systému prostredníctvom ukradnutého hesla, by sa mohol potenciálne vyhýbať odhaleniu na neurčito.

Namiesto jednoduchého opustenia praxe vyžadujúcej pravidelné zmeny hesla je lepšie riešiť základné problémy, ktoré majú tendenciu oslabovať bezpečnosť organizácie.

Najväčším problémom súvisiacim s požadovanými zmenami hesla je, že časté uplynutie platnosti hesla vedie k tomu, že používatelia si vyberajú slabé heslá alebo heslá, ktoré nejakým spôsobom súvisia s ich predchádzajúcim heslom. Jedným zo spôsobov, ako sa tomuto problému vyhnúť, je odmeňovať používateľov za výber silných hesiel.

Niektoré nástroje na správu hesiel tretích strán, napríklad Specops Password Policy, dokážu založiť frekvenciu obnovovania hesla používateľa na dĺžke a zložitosti jeho hesla. Používatelia, ktorí si zvolia silné heslá, teda nebudú musieť tieto heslá meniť tak často ako používatelia, ktorí si zvolia slabšie heslo.

Okrem toho by organizácie mali hľadať riešenie na správu hesiel, ktoré im dáva možnosť blokovať používateľom používanie hesiel, o ktorých je známe, že boli prezradené. Kompromitované heslá sú heslá, ktoré boli hašované a pridané do dúhových tabuliek alebo podobných databáz, čím je útočníkom mimoriadne jednoduché prelomiť heslo bez ohľadu na jeho zložitosť.

Aj keď existujú predajcovia tretích strán, ktorí udržiavajú cloudové zoznamy hesiel, o ktorých je známe, že boli napadnuté, je dôležité pochopiť, že globálny zoznam zakázaných hesiel spoločnosti Microsoft nie je zoznamom uniknutých hesiel a nespĺňa odporúčania týkajúce sa dodržiavania pravidiel pre odmietnutie hesla. zoznam.

Druhým problémom, ktorý sa často pripisuje požiadavkám na zmenu hesla, je, že používatelia, ktorí sú nútení často meniť svoje heslá, s väčšou pravdepodobnosťou zabudnú svoje heslá. To vedie k zablokovaniu účtov a volaniam na helpdesk. Najlepším spôsobom, ako sa tomuto problému vyhnúť (a zároveň znížiť náklady na helpdesk), je prijať samoobslužné riešenie na obnovenie hesla, ktoré používateľom umožňuje bezpečným spôsobom obnoviť svoje vlastné heslá.

V budúcnosti budú mať tie organizácie, ktoré chcú vyžadovať zmeny hesiel, len málo možností, ako prijať riešenie správy hesiel tretej strany. Spoločnosť Microsoft odstraňuje nastavenia politiky uplynutia platnosti hesla z Windows, počnúc verziou 1903.

Napriek opačným odporúčaniam existujú bezpečnostné výhody, keď sa vyžaduje, aby používatelia pravidelne menili svoje heslá. Kľúčové je však implementovať takúto požiadavku spôsobom, ktorý neúmyselne neoslabí bezpečnosť organizácie. S riešením hesiel od Specops Software môžu organizácie zablokovať 2 miliardy prelomených hesiel. Riešenie môže pomôcť organizáciám zabezpečiť heslá, keď sa často vynucuje uplynutie platnosti hesla.