Stary sposób na hasła w internecie - kiedyś obowiązek, dziś zwykła głupota

Kiedyś wśród pozycji obowiązkowych, dzisiaj absolutne no-go

Dobre praktyki dot. bezpieczeństwa haseł , które jeszcze kilka lat temu zalecała każda firma IT i administratorzy, dziś mogą już nie być stosowane. W niektórych przypadkach obrócić się nawet przeciw użytkownikowi.

Rzadko jednak taka aktualizacja dociera do zwykłych internautów, przez co ci bezwiednie narażają swoje cyberbezpieczeństwo na szwank . Problematyczna jest zwłaszcza jedna z praktyk, której stosowanie jeszcze dekadę temu zalecali w zasadzie wszyscy.

Problem regularnie wygasających haseł. Eksperci rwą włosy z głowy

Jeśli zapytać internautę, jak powinien zarządzać hasłami, aby skutecznie chronić swoje konto, zapewne w pierwszej kolejności odpowie, że należy dbać o jego siłę. Chodzi o dodawanie znaków specjalnych, cyfr, małych i wielkich liter. Na drugim miejscu będzie zapewne długość hasła (w praktyce często ważniejsza niż zróżnicowanie znaków). Ponadto wciąż niestety pokutuje przeświadczenie, że chronić może nas częsta zmiana hasła . Problem w tym, że dowiedziono już, że odwrotnie.

Częsta zmiana hasła była przez lata praktyką wymuszaną przez dostawców oprogramowania na administratorach. Administratorzy z kolei wymuszali zmianę haseł na użytkownikach - najczęściej w interwałach 60 lub 90 dni . To już jednak odległa przeszłość i od kilku lat zarówno największy producenci oprogramowania, na czele z Microsoftem , jak i instytucje państwowe zajmujące się cyberbezpieczeństwem, odradzają częste zmiany haseł i stosowanie polityki zaledwie 90-dniowej ważności.

Problem w tym, że nawyki i przekonania zdążyły się już utrwalić . W efekcie najnowsze ustalenia w zakresie polityki bezpieczeństwa haseł tylko w ograniczonym stopniu przeniknęły do świadomości użytkowników usług internetowych. Warto to zmienić.

Jakie szkody przynosi częsta zmiana haseł i co stosować zamiast niej?

Zmiany w rekomendacjach Microsoftu pojawiły się już w 2019 r. Wówczas to dostrzeżono, że polityka wymuszania zmiany haseł co 42, 60 czy 90 dni de facto osłabia ich bezpieczeństwo . Badania wykazały bowiem, że ważnym czynnikiem jest ludzkie lenistwo i przyzwyczajenia. Osoby zmuszane do częstej haseł działają w sposób, który jeszcze bardziej je naraża. W dokumentacji Microsoftu czytamy:

Kiedy ludzie wybierają własne hasła, zbyt często są one łatwe do odgadnięcia lub przewidzenia. Kiedy ludzie są zmuszani do tworzenia trudnych do zapamiętania haseł, zbyt często zapisują je w miejscach, w których inni mogą je zobaczyć. Kiedy ludzie są zmuszeni do zmiany swoich haseł, zbyt często dokonują niewielkich i przewidywalnych zmian w istniejących hasłach i/lub zapominają nowych haseł.

Słowem - częsta zmiana haseł nie jest żadną ochroną , bo najczęściej sprowadza się np. do zmiany jednej cyfry. Podobne zalecenia przedstawia brytyjskie National Cyber Security Center:

Nowe hasło mogło być używane gdzie indziej, a atakujący mogą to wykorzystać. Jest również bardziej prawdopodobne, że zostanie zapisane, co stanowi kolejną lukę w zabezpieczeniach. Łatwiej je zapomnieć, co wiąże się z kosztami produktywności użytkowników, którzy tracą dostęp do kont, a biura obsługi muszą resetować hasła. Co gorsza, (...) kiedy jesteśmy zmuszeni je zmienić, istnieje duże prawdopodobieństwo, że nowe hasło będzie podobne do starego.

Współcześnie praktyka częstej zmiany haseł została w zasadzie całości porzucona. Zamiast tego wszelkimi środkami zachęca się użytkowników do uwierzytelniania wieloskładnikowego . Można je włączyć w większości usług internetowych: kontach w mediach społecznościowych, skrzynkach mailowych, aplikacjach mobilnych itd.

Gdy się to zrobi, oprócz hasła trzeba także podać drugi składnik, np. kod wysłany SMS-em czy mailem lub potwierdzenie powiadomienie w aplikacji mobilnej . To właśnie ten mechanizm okazuje się znacznie skuteczniejszą ochroną i eliminuje konieczność stosowania złożonych polityk bezpieczeństwa haseł.