Naujausias JAV Nacionalinio standartų ir technologijų instituto (NIST) patarimas nėra netikėtas. Jis grindžiamas dešimtmečius atliekamais tyrimais, kurie rodo, kad verčiant svetainių ir programinės įrangos naudotojus periodiškai keisti slaptažodžius, iš tikrųjų kenkiama saugumui.
Jungtinės Karalystės Sario universiteto atstovas Alanas Woodwardas teigia, kad reguliarus slaptažodžių keitimas prieštarauja visiems oficialiems patarimams, tačiau tai vis tiek plačiai taikoma. Tyrimai parodė, kad dėl to vartotojai renkasi prastus slaptažodžius, kuriuos įsilaužėliams lengva atspėti, nurodo jis.
„Jei apsunkinsite naudojimąsi apsauga, padarysite ją nepatogią arba visą laiką užkrausite atsakomybę vartotojui, ji pamažu taps vis mažiau veiksminga“, – sako A. Woodwardas.
Angela Sasse iš Londono universitetinio koledžo sako, kad ši diskusija jau seniai išspręsta: jos pačios ir kolegų ilgamečiai tyrimai rodo, kad priverstinis, reguliarus slaptažodžių keitimas yra žalingas saugumui. Žmonės negali atsiminti nesibaigiančių slaptažodžių ir pradeda priimti blogus sprendimus – pavyzdžiui, prie paprastų žodžių ar frazių – „slaptažodis1“, „slaptažodis2“ ir t. t. – paprasčiausiai prideda didėjančius skaičius.
„Daugiau nei prieš 20 metų iš apklausų ir savarankiškai pateiktų duomenų stebėjome atminties apkrovą ir jos sukeliamą susierzinimą. Žmonės mums pasakojo įveikimo strategijas, dėl kurių slaptažodžiai buvo silpnesni, – pasakoja A. Sasse. – Kodėl šios identifikuotos mokslinės žinios ir oficialūs patarimai nesugebėjo pakeisti pasenusių patarimų iš tam tikrų sertifikatų, auditorių protų ir didelės dalies saugumo pramonės – mįslė.“
Naujausią spaudimą atsisakyti šios praktikos daro NIST, kuris nuolat tikrina naujos kartos šifravimo algoritmus ir kitus standartus, ir šiuo metu konsultuoja dėl skaitmeninės tapatybės gairių, kuriomis reglamentuojama, kaip programinė įranga ir interneto svetainės tikrina vartotojus.
Šiuose naujuose standartuose NIST teigia, kad internetinės priemonės ir programinė įranga „NEGALI reikalauti, kad naudotojai periodiškai keistų slaptažodžius“ – dėl tų pačių priežasčių, kurias pabrėžė A. Sasse ir A. Woodwardas.
Jungtinės Karalystės Nacionalinis kibernetinio saugumo centras (NCSC) 2018 m. paskelbė dokumentus, kuriuose bendrovėms patariama, kad nuolat versti naudotojus kurti naujus slaptažodžius yra nenaudinga.
„Reguliarus slaptažodžių keitimas veikiau kenkia saugumui, o ne jį didina, – rašoma ataskaitoje. – Tikėtina, kad naudotojas pasirinks naujus slaptažodžius, kurie yra tik nežymūs senųjų variantai.“
A. Woodwardas mano, kad pasikliauti vien tik slaptažodžių saugumu iš esmės yra „siaubinga idėja“, o geriausia praktika yra dviejų žingsnių autentifikacijos nustatymas, reikalaujantis slaptažodžio ir dar vieno saugumo lygmens – pavyzdžiui, vienkartinio kodo, siunčiamo SMS žinute.
„Tai tarsi užkerta kelią visoms atakoms“, – sako Woodwardas.
Parengta pagal „New Scientist“.
Lietuvos visuomenei rengiama didžiausia konferencija ir paroda „Saugumo kodas“ – ekspertų atsakymai, mokymai ir prognozės. Apie fizinį, kibernetinį, ekonominį ir psichologinį saugumą – aiškiai bei suprantamai. Paskubėkite pasiimti savo bilietą, kadangi vietų skaičius ribotas. Visą programą ir registraciją galite rasti šiame puslapyje Saugumo kodas.