7

Regularna zmiana haseł nie poprawia bezpieczeństwa, a może być wręcz przeciwnie

Jeżeli pracujecie w dużej firmie, a waszym głównym narzędziem jest komputer, to istnieje bardzo duże prawdopodobieństwo że raz na dwa miesiące hasła dostępów wasze -- i waszych kolegów -- są resetowane i generowane od nowa. Po co? No przecież, że dla bezpieczeństwa. Zasada działania to stara jak świat -- i najwyraźniej w dzisiejszych czasach jest już przeżytkiem budzącym co najwyżej frustrację. Ale korporacje działają według starych schematów, których niewielki sens został ładnie wypunktowany przez jednego z pracowników Microsoftu — Aarona Margosisa.

windows 10 insider preview

To już nie te czasy, by resetować hasła i liczyć, że zapewni to bezpieczeństwo

Wycieki danych to dzisiaj chleb powszedni. Można chyba spokojnie mówić nawet o związanej z nimi znieczulicy — czy ofiarami są tysiące czy miliony użytkowników, czy serwis jest duży i mały, czy mamy tam konto czy nie — to właściwie nie robi nam większej różnicy. W końcu nie ma dnia, by nie napływały smutne wiadomości o kolejnych problemach z zapewnieniem odpowiedniego bezpieczeństwa przez usługodawców. Niemniej przez całe lata Microsoft sugerował, że jednym z bezpiecznych kroków jakie można podejmować w celu uniknięcia wpadek — jest regularne resetowanie haseł dostępu. Teraz jednak Margosis określa je mianem przestarzałego, co najwyżej łagodzącego, ale przede wszystkim — niosącego bardzo małą wartość. W końcu to opcja którą forsowano przed laty, kiedy świat komputerów wyglądał zupełnie inaczej. Największym zmartwieniem było wówczas, że ktoś podzieli się hasłem — a to wycieknie poza firmę. W 2019 prawdopodobnie potencjalny złoczyńca nie będzie potrzebował fizycznego dostępu do urządzeń — i wtedy tych kilkadziesiąt dni od poprzedniego resetu jest na tyle długim czasem, że stare założenia wydają się tutaj być kompletnie bez sensu.

Co więcej — jak słusznie zauważa Margosis, skoro zmiany haseł mają następować regularnie — to są nikłe szanse, że pracownik będzie chciał się za każdym razem uczyć skomplikowanej kombinacji. Duże litery, małe litery, cyfry, znaki specjalne, a jeszcze najlepiej by ich ciąg był odpowiednio długi. Może i raz czy drugi jest szansa na to, że się ich wyuczą — ale większość nie zechce robić tego co kilka tygodni. Dlatego też będzie wybierał łatwe do zapamiętania hasła, które — jak pokazują badania — są najłatwiejsze do złamania w przypadku kradzieży bazy i próby ich odkodowania z wykorzystaniem komputerów. Tym bardziej że bardzo częstą praktyką przy zmianie haseł jest podmianka różnych liter na podobnie wyglądające cyfry.

W nowoczesnej ochronie można skorzystać z wielu innych, bardziej efektywnych, ścieżek. Listą zabronionych haseł, wieloskładnikowe uwierzytelnianie, wykrywanie prób włamania przy chęci odgadnięcia hasła czy dziwne logowania — wszystkie one mają być lepszą ochroną, niż regularna zmiana haseł.

Trzeba przyznać, że argumenty te brzmią logicznie — i wprowadzane w oprogramowaniu zmiany faktycznie mają sens. Problem polega na tym, że prawdopodobnie nim powiew nowości w tej kwestii dotrze do wielu dużych firm i wejdzie w życie — może minąć jeszcze chwila. Także jeżeli wasz system zmusza was do regularnych zmian, to w oczekiwaniu na zmiany przygotujcie jeszcze jakiś zestaw nowych, zapasowych, kombinacji.

Źródło