przydatne artykuły

Jak często powinienem zmieniać moje hasła?

Drogi Goldavelez.com,

Moja firma i niektóre strony internetowe zmuszają mnie do regularnej zmiany haseł, co około trzy miesiące. Jak często muszę zmieniać hasła do wszystkich innych loginów (jeśli w ogóle)?

Podpisany,

Stare hasła

Drogi SP,

Wiele organizacji wymaga obowiązkowej zmiany hasła, ponieważ od dawna jest uważane za „najlepszą praktykę bezpieczeństwa”. Istnieją jednak wady i zalety tej reguły, więc zanim zdecydujesz, czy musisz regularnie zmieniać inne hasła, przyjrzyjmy się momentom, w których zmiana hasła często ma sens - a kiedy nie.

Dlaczego firmy egzekwują zasady dotyczące czasu obowiązywania hasła?

Gdy zmieniasz hasło co kilka miesięcy, ogranicza to czas, przez jaki skradzione hasło jest przydatne dla ukradkowego napastnika - jak długo ma on / ona dostęp do twojego konta. Jeśli ktoś ukradnie twoje hasło, a ty nie wiesz o tym, atakujący może podsłuchiwać przez nieograniczony czas i zbierać różnego rodzaju informacje o tobie lub wyrządzić inne szkody.

Dlatego od dziesięcioleci wiele wytycznych dotyczących bezpieczeństwa zaleca częste zmiany hasła, zwykle od 30 do 180 dni. System Windows Server ma domyślnie 42 dni.

Jednak w większości przypadków mogą to być nieaktualne zasady lub zalecenia. Przynajmniej bardzo dyskusyjne jest to, że często zmiana hasła faktycznie zwiększa bezpieczeństwo.

Dlaczego zmiana hasła często może być stratą czasu

Badanie przeprowadzone przez Microsoft kilka lat temu wykazało, że obowiązkowe zmiany hasła kosztują miliardy utraconej produktywności - przy bardzo niewielkiej korzyści bezpieczeństwa. Inne zasoby bezpieczeństwa komputerowego (na przykład Purdue University, Health Informatics i Life jako blog CIO) wskazują, że „najlepsza praktyka” często zmieniających się haseł niewiele poprawia bezpieczeństwo, ale znacznie zwiększa frustrację wszystkich. Użytkownicy zazwyczaj wybierają odmiany tych samych prostych haseł (np. Hasło3) lub uciekają się do karteczek samoprzylepnych przyklejonych do laptopów. Innymi słowy, w niektórych przypadkach wymagania związane ze zmianą hasła mogą faktycznie ryzykować.

Bruce Schneier, ekspert ds. Bezpieczeństwa, zwraca uwagę, że w większości przypadków dzisiaj atakujący nie będą pasywni. Jeśli otrzymają login do twojego konta bankowego, nie będą czekać dwa miesiące na kręcenie się, ale natychmiast wyślą pieniądze z twojego konta. W przypadku sieci prywatnych haker może być bardziej podstępny i nie chce podsłuchiwać, ale jest mniej prawdopodobne, że będzie nadal używał skradzionego hasła i zamiast tego zainstaluje dostęp do backdoora. Regularne zmiany hasła nie przyniosą wiele w żadnym z tych przypadków. (Oczywiście w obu przypadkach kluczowa jest zmiana hasła, gdy tylko zostanie wykryte naruszenie bezpieczeństwa i intruz zostanie zablokowany).

W dzisiejszym szalonym systemie przyjaznym dla hakerów częste zmiany hasła są mniej istotne niż kiedykolwiek wcześniej. NIST twierdzi, że zasady wygasania haseł są „nieistotne dla złagodzenia skutków złamania”, ponieważ hakerzy nie tylko całkowicie podchodzą do naszych sprytnych sztuczek z hasłami, ale mają bardziej zaawansowany sprzęt i oprogramowanie:

Zasadniczo okresy ważności hasła nie są bardzo pomocne w łagodzeniu pękania, ponieważ mają tak niewielki wpływ na ilość wysiłku, jaki atakujący musiałby wydać, w porównaniu z efektem innych elementów polityki dotyczącej haseł. Załóżmy, że organizacja skróciła okres ważności hasła z 60 dni do 30 dni. Osoba atakująca musiałaby po prostu dwukrotnie użyć zasobów sprzętowych, aby zrekompensować tę zmianę.

Hakerzy mają maszyny, które potrafią przerwać 348 skrótów hasła NTLM na sekundę. (NTLM to algorytm szyfrowania haseł używany w systemie Windows. Przy 348 miliardach skrótów NTLM na sekundę każde 8-znakowe hasło może zostać złamane w ciągu 5, 5 godziny.)

Tak naprawdę zmiana wszystkich haseł co 30 lub 90 dni nie jest zbyt opłacalna i prawdopodobnie nie zwiększy bezpieczeństwa. To dobrze, ponieważ wielu z nas woli wyczyścić toaletę niż zmienić nasze hasła.

Konta, które możesz regularnie zmieniać

Jak to zwykle bywa, są wyjątki. W przypadku niektórych rodzajów kont hakerzy mogą z większym prawdopodobieństwem „przysłuchiwać się” i milczeć przez miesiące, dopóki nie uzyskają od ciebie ważnych informacji. Schneier zwraca uwagę, że jeśli twoja siostrzyczka lub prasa tabloidowa (jeśli jesteś celebrytą) ma twoje hasło do Facebooka, na przykład, prawdopodobnie będą słuchać, dopóki nie zmienisz hasła, co może potrwać miesiące lub lata, jeśli nigdy się o tym nie dowiesz.

Ogólnie jest to rada Schneiera:

Nie musisz regularnie zmieniać hasła do komputera lub internetowych kont finansowych (w tym kont w witrynach detalicznych); zdecydowanie nie dla kont o niskim poziomie bezpieczeństwa. Od czasu do czasu powinieneś zmieniać hasło logowania do firmy i musisz dokładnie przyjrzeć się znajomym, krewnym i paparazzi, zanim zdecydujesz, jak często zmieniać hasło do Facebooka. Ale jeśli zerwasz z kimś, komu udostępniasz komputer, zmień je wszystkie.

Dodam, że możesz rozważyć regularne zmienianie haseł w witrynach komunikacyjnych, które nie mają uwierzytelniania dwuskładnikowego: w szczególności wiadomości e-mail oraz takich rzeczy, jak wiadomości błyskawiczne lub usługi konferencyjne. Są to bardziej przyjazne dla szpiegów usługi, w których hakerzy mogą nasłuchiwać przez miesiące, zanim się dowiesz. (Z drugiej strony powinieneś używać usługi e-mail z uwierzytelnianiem dwuskładnikowym, ponieważ jest to kopalnia złota dla hakerów, jeśli mogą się w to dostać. Jest to prawdopodobnie najważniejsze konto, które należy zabezpieczyć, wraz z menedżerem haseł i komputerem konto). Niektóre usługi, w tym Gmail, Facebook i Dropbox, pokazują aktywne sesje, więc jako ogólny środek bezpieczeństwa możesz je sprawdzić, aby upewnić się, że nikt inny nie loguje się na twoje konta.

Przede wszystkim: wzmocnij swoje bezpieczeństwo w ogóle

O wiele ważniejsze jest, aby wybrać unikalne hasło dla wszystkich kont - jedno tak długie, jak to możliwe - i wzmocnić wszystkie inne opcje bezpieczeństwa (uwierzytelnianie dwuskładnikowe, sprawiając, że pytania związane z odzyskiwaniem hasła będą bezużyteczne i tworzyć kopie zapasowe wszystkiego), ponieważ w koniec, silne hasła nie wystarczą - bez względu na to, jak często je zmieniasz.

Jeśli masz słabe lub zduplikowane hasła w dowolnym miejscu, zdecydowanie zmień je jak najszybciej. Weź również pod uwagę każde regularne naruszenie bezpieczeństwa jako przypomnienie do kontroli i aktualizacji nie tylko haseł, ale ogólnie konfiguracji zabezpieczeń - w razie potrzeby. Po tym wszystkim ciesz się spokojem, że robisz wszystko, co możesz - i oszczędzaj sobie kłopotów ze zmianą wszystkich haseł zgodnie z harmonogramem.

Miłość,

Goldavelez.com