Dlaczego regularna zmiana hasła nie jest dobrym pomysłem?

Jedną z najbardziej trwałych informacji na temat bezpieczeństwa haseł jest to, że regularna zmiana hasła zwiększa bezpieczeństwo. Przynajmniej do tego od dziesięcioleci namawiają swoich pracowników zespoły IT na całym świecie.

Jednak rada ta zawsze spotykała się ze sprzeciwem. Wielu przedstawicieli branży bezpieczeństwa twierdzi, że dzięki temu hasła nadal będą łatwe do zapamiętania. Badania potwierdziły tę teorię, pokazując, że częsta zmiana haseł prowadzi do problemów bezpieczeństwa.

Częsta zmiana haseł prowadzi do słabego bezpieczeństwa

Wielu z nas uważa obowiązkową zmianę hasła co 4, 6 lub 8 tygodni za coś przerażającego. Jedna z grup zajmujących się IT promowała ideę, że zmiana hasła sprawi, że wszelkie naruszenia bezpieczeństwa staną się bezcelowe, ponieważ wszyscy będą używać nowego hasła.

W praktyce prowadzi to do słabości w tworzeniu haseł. Zamiast tworzyć silne, niepowtarzalne i trudne do odgadnięcia hasła, większość ludzi wybiera hasła łatwe do zapamiętania, składające się z krótkich, powtarzających się części.

Na przykład silne hasło składające się z 16 znaków może wyglądać tak: „hS'9{yX?Fzu#=_:R” i zawierać kombinację wielkich i małych liter, cyfr oraz symboli. Trudno to zapamiętać, ale z czasem nabierzesz wprawy. Jeśli natomiast będziesz musiał zmieniać hasło co miesiąc, nie będziesz miał czasu, żeby o nim pamiętać. W rezultacie ludzie zaczęli używać łatwiejszych do zapamiętania fraz, składających się z krótkich, powtarzających się części.

• Styczeń: trudnehasło1
• Luty: d1fficultpassword2
• Marzec: d1ff1cultp4ssword3
• W, w...

Wybierz silne, unikalne hasła (lub użyj menedżera haseł)

Brytyjskie Narodowe Centrum Cyberbezpieczeństwa od 2015 r. zalecało powstrzymanie się od stosowania zwykłych haseł. Teraz, w 2024 r., to samo stanowisko postępuje Narodowy Instytut Normalizacyjny.

Według nowych zaleceń hasła powinny tracić ważność co 365 dni, co znacząco zmienia ramy czasowe i zwiększa bezpieczeństwo.

NIST aktualizuje jednocześnie swoje komunikaty dotyczące długości i siły haseł. W niektórych przypadkach reguły generowania haseł ograniczają użytkowników do 12 znaków lub zabraniają używania określonych symboli. Obecnie NIST zaleca, aby wszystkie hasła:

• Minimum 15 znaków
• Maksymalnie 64 znaki
• Obejmuje wszystkie znaki ASCII, znaki odstępu i znaki Unicode

Zmiany te oznaczają, że większa liczba pól do wprowadzania hasła umożliwi tworzenie silniejszych i łatwiejszych do zapamiętania haseł, a ogólna siła haseł również zostanie zwiększona.

Oczywiście każda organizacja dbająca o bezpieczeństwo haseł powinna umożliwić korzystanie z menedżera haseł. Z korzystaniem z menedżera haseł wiążą się dodatkowe kwestie bezpieczeństwa, takie jak lokalne przechowywanie danych, szyfrowanie zerowej wiedzy itp., ale najlepszą praktyką jest ochrona wszystkich kont przy użyciu silnych haseł.