Vynucená periodická změna hesel Ano či Ne?


Hodně aplikací a služeb vyžaduje pravidelnou změnu hesel. Každou chvíli na vás někdě vyskočí požadavek na změnu hesla. Obecně se má za to, že je to důležitý prvek, ale poslední dobou se začínají objevovat názory, že je to spíše kontraproduktivní.

 

Mě taková otázka vrtala hlavou už dlouho. Uživatele změna hesel obtěřuje, mají strach, že si nové heslo nebudou pamatovat a tak se snaží udělat ho jednoduché, v mnoha případech s využitím identifikace aktuálního časového období: Leden01. 

 

Tohle samozřejmě k bezpečnosti moc nepřispívá. Změna navíc generuje dodatečné náklady se servis v případě, že uživatelé nové heslo zapomenou, obvykle je pak nutný zásah administrátora.

 

Proč je tedy změna vyžadována?

 

Nejduležitější důvod je ten, že když někdo heslo prolomí (což se uživatel většinou nedozví), může ho používat jen po omezený čas, než dojde k jeho zmeně. Má to ale význam v dnešní době? Někde samozřejmě ano, ale podle zkušeností  jedná ten, kdo heslo prolomí velice rychle, takže škody většinou nastanou dříve, než heslo stačí expirovat.

 

Dalším důvodem je snaha uživatele používat všude stejná hesla, takže pokud útočník někde najde staré heslo, může se jím bez omezení přihlašovat.

 

Podle mého názoru má ale mnohem větší význam vícefaktorové ověřování, kdy uživatel musí povrdit přihlášení z neznámé adresy například v mobilní aplikaci a zároveň použivání co nejbezpečnějších hesel tak, aby je nebylo možné prolomit hrubou výpočetní silou.

 

Odklon od pravidelné zmeny hesel už deklaruje i Microsoft a za zákaz pravidelné expirace pro celou organizaci dostanete 8 bodů do skóre bezpečnosti.

 

Takže jak to je, expirovat Ano či Ne?

 

Za mě NE - místo toho zaškolit uživatele, vyžadovat bezpečná hesla a vícefaktorové ověřování.

Komentáře

Populární příspěvky z tohoto blogu

Peklo na poště, aneb jak nedělat IT

Office 365 - Teams a plánování směn

Office 365 - Co vlastně obsahuje?