Hesla - vynucená periodická změna Ano či Ne?

Hodně aplikací a služeb vyžaduje pravidelnou změnu hesel. Každou chvíli na vás někdě vyskočí požadavek na změnu hesla. Obecně se má za to, že je to důležitý prvek, ale poslední dobou se začínají objevovat názory, že je to spíše kontraproduktivní.

Mě taková otázka vrtala hlavou už dlouho. Uživatele změna hesel obtěřuje, mají strach, že si nové heslo nebudou pamatovat a tak se snaží udělat ho jednoduché, v mnoha případech s využitím identifikace aktuálního časového období: Leden01.

Tohle samozřejmě k bezpečnosti moc nepřispívá. Změna navíc generuje dodatečné náklady se servis v případě, že uživatelé nové heslo zapomenou, obvykle je pak nutný zásah administrátora.

 

Proč je tedy změna vyžadována?

 

Nejdůležitější důvod je ten, že když někdo heslo prolomí (což se uživatel většinou nedozví), může ho používat jen po omezený čas, než dojde k jeho zmeně. Má to ale význam v dnešní době? Někde samozřejmě ano, ale podle zkušeností  jedná ten, kdo heslo prolomí velice rychle, takže škody většinou nastanou dříve, než heslo stačí expirovat.

 

Dalším důvodem je snaha uživatele používat všude stejná hesla, takže pokud útočník někde najde heslo, může se jím bez omezení přihlašovat do ostatních účtů. Tento argument ale moc neberu, protože ne všechny účty mají možnost vynutit změnu hesla a uživatel stále může používat jedno heslo ke všem účtům, jen se zkrátí doba kdy může hacker reagovat.

 

 Takže nechat hesla expirovat, Ano či Ne?

 

 Za mě NE.

 

Podle mého názoru má mnohem větší význam vícefaktorové ověřování, kdy uživatel musí povrdit přihlášení z neznámé adresy například v mobilní aplikaci a zároveň použivání co nejbezpečnějších hesel tak, aby je nebylo možné prolomit hrubou výpočetní silou.

 

Důležité tedy je: zaškolit uživatele, vyžadovat bezpečná hesla a nasadit multifaktorové ověřování.

 

Odklon od pravidelné zmeny hesel už deklaruje i Microsoft a za zákaz pravidelné expirace pro celou organizaci dostanete body do skóre bezpečnosti.