„Platnost vašeho hesla brzy vyprší. Změňte si heslo v Nastavení účtu. Na změnu hesla máte pět dní, po uplynutí této lhůty nebude možné přihlásit se starým heslem!“ Podobnou hlášku čas od času vídají miliony lidí po celém světě. Vyžadovat změnu hesla po určité době (tzv. expirace platnosti hesla) patří totiž mezi standardní nástroje bezpečnostní politiky v řadě firem. Jde například o výchozí nastavení všude tam, kde správci používají produkty od firmy Microsoft.
Bezpečnostní tým Microsoftu na svém blogu podrobně rozepsal, proč ustoupil od vynucené změny hesla:
- Český překlad
- Anglický originál
Když si lidé vybírají svá vlastní hesla, často je lze odhadnout nebo předpovědět. Když jsou lidem vnucena špatně zapamatovatelná hesla nebo jsou nuceni je často měnit, příliš často si je zapisují tam, kde jsou na očích. Když jsou lidé nuceni měnit svá hesla, často udělají jen malou a předvídatelnou změnu svých stávajících hesel nebo nové brzy zapomenou.
Současné vědecké poznatky zpochybňují validitu mnoha zavedených postupů bezpečnosti hesel, jako jsou pravidla pro vypršení platnosti hesla, a místo toho poukazují na lepší alternativy, jako je seznam zakázaných hesel a vícefaktorové ověřování uživatele.
When humans pick their own passwords, too often they are easy to guess or predict. When humans are assigned or forced to create passwords that are hard to remember, too often they’ll write them down where others can see them. When humans are forced to change their passwords, too often they’ll make a small and predictable alteration to their existing passwords, and/or forget their new passwords.
Recent scientific research calls into question the value of many long-standing password-security practices such as password expiration policies, and points instead to better alternatives such as enforcing banned-password lists and multi-factor authentication.
Microsoft tak navazuje na nová doporučení NIST z roku 2017. Zatím ale nepřistoupil k výrazné změně všech výchozích pravidel bezpečností politiky: „Naše výchozí pravidla jsou koncipována tak, aby je většina organizací mohla použít bez větších změn.“ Zdůrazňuje ale, že politika hesel musí být součástí širší bezpečností politiky.
Expirace hesla nedává smysl, jen zvyšuje riziko
Microsoft nově vyřadil expiraci hesla z výchozího nastavení: „Expirace hesel je obstaróžní a překonaná technika, která přináší velmi malé zvýšení bezpečnosti a myslíme, že nemá místo ve výchozím nastavení,“ uvedli vývojáři. Zdůvodňují to několika argumenty.
Nutí vás ke změně hesla?Pošlete svým správcům sítě tento článek, třeba změní názor Slíbit to ale nemůžeme... |
V prvé řadě je třeba se ptát, k čemu vlastně expirace měla sloužit. Měla povzbudit uživatele k tomu, aby nezůstávali dlouho u jednoho hesla, což mělo snížit pravděpodobnost, že nějaký útočník použije uniklé heslo a získá neoprávněný přístup. Pokud je ale heslo dobře vybrané a nedojde k jeho vyzrazení, není třeba jej měnit. „A pokud máte důvod se domnívat, že bylo heslo odcizeno, nebudete přece čekat na to, až platnost hesla vyprší,“ připomíná Aaron Margosis, autor blogového příspěvku Microsoftu.
Napsat si heslo na papírek?
Za druhé ukazuje, k čemu v praxi častá změna hesla vede: lidé si často měněná nepamatují. Namísto bezpečných hesel tak volí zapamatovatelné (a tedy často méně bezpečné) alternativy, hesla si píšou na papírek nebo za původní heslo připíšou nějaký znak, aby se systém nažral a paměť zůstala celá.
Výchozí nastavení navíc často slouží jako podklad pro bezpečností audit firmy. Pokud tedy byla výchozí hodnota expirace hesla 60 dní a organizace vyžadovala změnu hesla „jen“ jednou za 365 dní, mohla za to dostat v bezpečnostním auditu negativní hodnocení. Přitom na reálnou bezpečnost to nemělo vliv. „Tím, že odstraníme požadavek na expiraci hesla, organizace si mohou zvolit, co nejlépe vyhovuje jejich potřebám,“ uzavírá Microsoft. „Ale musíme znovu zdůraznit, že silně doporučujeme další opatření a zabezpečení.
Co naopak pomáhá: dvoufaktorové zabezpečení, zakázaná hesla
Když tedy k lepší bezpečnosti nevede vynucená změna hesla, co by měli místo toho administrátoři sítě dělat? Následující rady vycházející z nových doporučení NIST a jsou celkem jednoduché:
- Nechtějte po uživatelích, aby jejich heslo mělo „alespoň jednu číslici, jeden speciální znak a jedno velké písmeno“ nebo něco podobného. Místo toho vyžadujte heslo, které není na seznamu známých hesel, což lze ověřit kontrolou při změně hesla
- Vzdělávejte své uživatele ohledně toho, jak zacházet s hesly. Především zdůrazněte nutnost jedinečných hesel (nepoužívat stejné heslo na různých místech) a doporučte jim případně nástroj na správu hesel. Můžete je odkázat na náš Návod na zacházení s hesly.
- Využijte dvoufaktorové ověření, kdekoli je to možné a vhodné
- Nastavte práva přístupů tak, aby napadení jednoho účtu nemělo katastrofální následky pro celou firmu
Nová doporučení NIST ohledně hesel z roku 2017
Je jasné, že hláška „musíte si změnit heslo“ nezmizí ze dne na den. Firmy mají své postupy a nemohou jen tak ze dne na den změnit bezpečnostní politiku. Nebuďte tedy překvapeni, pokud se vaše upozornění na nové doporučení nesetká s pochopením.
Časem ale toto i tomuto přežitému bezpečnostnímu opatření vyprší platnost.
