Stary sposób na hasła w internecie - kiedyś obowiązek, dziś zwykła głupota
Osobiste cyberbezpieczeństwo przeciętnego Kowalskiego nie jest kwestią, w której z czasem nic się nie zmienia, w którym jakiś dogmat mający nas chronić utrzymuje się w tej postaci przez dekady. Tak jest nawet z tak elementarną kwestią, jak hasła chroniące nasze konta.
Kiedyś wśród pozycji obowiązkowych, dzisiaj absolutne no-go
Dobre praktyki dot. bezpieczeństwa haseł, które jeszcze kilka lat temu zalecała każda firma IT i administratorzy, dziś mogą już nie być stosowane. W niektórych przypadkach obrócić się nawet przeciw użytkownikowi.
Rzadko jednak taka aktualizacja dociera do zwykłych internautów, przez co ci bezwiednie narażają swoje cyberbezpieczeństwo na szwank. Problematyczna jest zwłaszcza jedna z praktyk, której stosowanie jeszcze dekadę temu zalecali w zasadzie wszyscy.
Japoński rząd przekonuje: koniecznie wpisz to do testamentu. Problem dotyczy już także Polaków Rosyjskie służby w polskich wyborach. ABW ujawnia maile: "certyfikat korupcji"Problem regularnie wygasających haseł. Eksperci rwą włosy z głowy
Jeśli zapytać internautę, jak powinien zarządzać hasłami, aby skutecznie chronić swoje konto, zapewne w pierwszej kolejności odpowie, że należy dbać o jego siłę. Chodzi o dodawanie znaków specjalnych, cyfr, małych i wielkich liter. Na drugim miejscu będzie zapewne długość hasła (w praktyce często ważniejsza niż zróżnicowanie znaków). Ponadto wciąż niestety pokutuje przeświadczenie, że chronić może nas częsta zmiana hasła. Problem w tym, że dowiedziono już, że odwrotnie.
Częsta zmiana hasła była przez lata praktyką wymuszaną przez dostawców oprogramowania na administratorach. Administratorzy z kolei wymuszali zmianę haseł na użytkownikach - najczęściej w interwałach 60 lub 90 dni. To już jednak odległa przeszłość i od kilku lat zarówno największy producenci oprogramowania, na czele z Microsoftem, jak i instytucje państwowe zajmujące się cyberbezpieczeństwem, odradzają częste zmiany haseł i stosowanie polityki zaledwie 90-dniowej ważności.
Problem w tym, że nawyki i przekonania zdążyły się już utrwalić. W efekcie najnowsze ustalenia w zakresie polityki bezpieczeństwa haseł tylko w ograniczonym stopniu przeniknęły do świadomości użytkowników usług internetowych. Warto to zmienić.
Jakie szkody przynosi częsta zmiana haseł i co stosować zamiast niej?
Zmiany w rekomendacjach Microsoftu pojawiły się już w 2019 r. Wówczas to dostrzeżono, że polityka wymuszania zmiany haseł co 42, 60 czy 90 dni de facto osłabia ich bezpieczeństwo. Badania wykazały bowiem, że ważnym czynnikiem jest ludzkie lenistwo i przyzwyczajenia. Osoby zmuszane do częstej haseł działają w sposób, który jeszcze bardziej je naraża. W dokumentacji Microsoftu czytamy:
Kiedy ludzie wybierają własne hasła, zbyt często są one łatwe do odgadnięcia lub przewidzenia. Kiedy ludzie są zmuszani do tworzenia trudnych do zapamiętania haseł, zbyt często zapisują je w miejscach, w których inni mogą je zobaczyć. Kiedy ludzie są zmuszeni do zmiany swoich haseł, zbyt często dokonują niewielkich i przewidywalnych zmian w istniejących hasłach i/lub zapominają nowych haseł.
Słowem - częsta zmiana haseł nie jest żadną ochroną, bo najczęściej sprowadza się np. do zmiany jednej cyfry. Podobne zalecenia przedstawia brytyjskie National Cyber Security Center:
Nowe hasło mogło być używane gdzie indziej, a atakujący mogą to wykorzystać. Jest również bardziej prawdopodobne, że zostanie zapisane, co stanowi kolejną lukę w zabezpieczeniach. Łatwiej je zapomnieć, co wiąże się z kosztami produktywności użytkowników, którzy tracą dostęp do kont, a biura obsługi muszą resetować hasła. Co gorsza, (...) kiedy jesteśmy zmuszeni je zmienić, istnieje duże prawdopodobieństwo, że nowe hasło będzie podobne do starego.
Współcześnie praktyka częstej zmiany haseł została w zasadzie całości porzucona. Zamiast tego wszelkimi środkami zachęca się użytkowników do uwierzytelniania wieloskładnikowego. Można je włączyć w większości usług internetowych: kontach w mediach społecznościowych, skrzynkach mailowych, aplikacjach mobilnych itd.
Gdy się to zrobi, oprócz hasła trzeba także podać drugi składnik, np. kod wysłany SMS-em czy mailem lub potwierdzenie powiadomienie w aplikacji mobilnej. To właśnie ten mechanizm okazuje się znacznie skuteczniejszą ochroną i eliminuje konieczność stosowania złożonych polityk bezpieczeństwa haseł.
