Почему регулярная смена пароля не является хорошей идеей?

Одно из самых надежных убеждений в безопасности паролей заключается в том, что регулярная смена пароля повышает безопасность. По крайней мере, именно к этому уже несколько десятилетий призывают людей ИТ-отделы по всему миру.

Однако этот совет всегда встречал сопротивление. Многие в сфере безопасности утверждают, что это приводит к созданию паролей, которые по-прежнему легко запомнить. Теперь исследования подтвердили эту теорию, показав, что частая смена паролей приводит к проблемам безопасности.

Частая смена паролей приводит к снижению безопасности

Многих из нас пугает необходимость обязательной смены пароля каждые 4, 6 или 8 недель. Одна ИТ-группа продвигала идею о том, что смена пароля сделает любое нарушение безопасности бессмысленным, поскольку все будут использовать новый пароль.

На практике это приводит к недостаткам в создании паролей. Вместо того чтобы создавать надежные, уникальные и трудноугадываемые пароли, большинство людей выбирают легкозапоминающиеся пароли с небольшими повторяющимися частями.

Например, надежный пароль из 16 символов может выглядеть так: «hS'9{yX?Fzu#=_:R», включающий сочетание заглавных и строчных букв, цифр и символов. Это трудно запомнить, но со временем вы освоитесь. А если вам придется менять пароль каждый месяц, у вас не будет времени об этом помнить. В результате люди стали использовать более запоминающиеся фразы с небольшими повторяющимися частями.

• Январь: сложныйпароль1
• Февраль: d1tifficultpassword2
• Март: d1ff1cultp4ssword3
• В,в...

Выбирайте надежные, уникальные пароли (или используйте менеджер паролей)

Национальный центр кибербезопасности Великобритании рекомендует не использовать обычные пароли с 2015 года, и теперь, в 2024 году, Национальный институт стандартов следует его примеру.

В новом совете рекомендуется, чтобы срок действия паролей истекал каждые 365 дней, что существенно меняет временные рамки и повышает безопасность.

В то же время NIST также обновляет свои сообщения о длине и надежности паролей. В некоторых случаях правила генерации паролей ограничивают длину пароля пользователя 12 символами или запрещают использование определенных символов. В настоящее время NIST рекомендует, чтобы все пароли:

• Минимум 15 символов
• Максимум 64 символа
• Включает все символы ASCII, пробельные символы и символы Unicode.

Эти изменения означают, что большее количество полей для ввода пароля позволит использовать более надежные и запоминающиеся парольные фразы, а также повысит общую надежность пароля.

Разумеется, любая организация, заботящаяся о безопасности паролей, должна обеспечить использование менеджера паролей. Использование менеджера паролей сопряжено с дополнительными соображениями безопасности, такими как локальное хранение данных, шифрование с нулевым разглашением и т. д., но лучше всего защищать все свои учетные записи надежными паролями.