Hvorfor du ikke bør endre passordet ditt så ofte

Informatec Digital » Ressurser » Hvorfor du ikke bør endre passordet ditt så ofte

I årevis har vi hørt at det ansvarlige å gjøre var endre passordet ditt oftenesten som å levere skattemeldingen: det var et must. Men de siste årene har de viktigste cybersikkerhetsorganisasjonene, som for eksempel Det amerikanske nasjonale instituttet for standarder og teknologi (NIST)De har grundig gjennomgått denne anbefalingen og har kommet til en slående konklusjon: å tvinge frem hyppige passordendringer forverrer vanligvis sikkerheten snarere enn å forbedre den.

Dette skiftet i tilnærming støttes av data om massive brudd på legitimasjonsinformasjon, studier av brukeratferd og praktisk erfaring fra bedrifter og universiteter. I dag er den dominerende anbefalingen Oppretthold sterke, lange og unike passordendre dem bare når det er mistanke om eller bevis for kompromiss, og stol på verktøy som multifaktorautentisering (MFA) og passordbehandlere, slik at du ikke blir gal når du memorerer umulige passord.

Hvorfor det ikke lenger er lurt å endre passordet ditt så ofte

NIST, som setter tekniske standarder for amerikanske myndigheter og fungerer som en referanse for selskaper over hele verden, har gjort det klart i sin veiledning SP 800-63-4 at Brukere bør ikke tvinges til å fornye passordet sitt med jevne mellomrom hvis det ikke finnes indikasjoner på en sikkerhetshendelse. Det er en radikal endring fra de klassiske retningslinjene om å «endre det hver 30./60./90. dag».

Det offentlige utkastet til disse retningslinjene forklarer at når et passord er valgt riktig (det er langt, tilfeldig og unikt), Å tvinge frem endringer hver én til tre måneder reduserer sikkerhetenByrden av å huske nye passord presser folk til å forenkle dem, gjenbruke dem eller bruke forutsigbare mønstre, noe som er nettopp det angripere utnytter.

Nåværende anbefalinger indikerer at tjenesteleverandører og identitetsverifikatorer De bør ikke pålegge periodiske passordutløpDe er imidlertid pålagt å fremtvinge en umiddelbar endring når det er tegn på at autentisatoren har blitt kompromittert, for eksempel etter et datainnbrudd, mistenkelig tilgang eller tilstedeværelsen av nøkkelen i lekkede databaser.

Videre stiller NIST spørsmål ved andre tradisjonelle krav, som for eksempel rigide komposisjonsregler (som krever en blanding av store bokstaver, tall og symboler) eller de beryktede sikkerhetsspørsmålene som «navnet på ditt første kjæledyr». Bevis viser at disse reglene fører til at brukere oppfører seg på svært forutsigbare måter, og genererer passord som Passord2023, Passord2024 eller Passord1!som er en gave til angriperne.

Analyse av enorme databaser med stjålne passord avslører at Den virkelige fordelen med disse klassiske reglene er mye mindre enn man tidligere har trodd.Selv om den negative innvirkningen på brukervennlighet og huskevennlighet er enorm. Sammendrag: folk ender opp med å lete etter enkle snarveier, og disse snarveiene er nesten alltid sammenfallende.

Hvordan passordene dine egentlig blir kompromittert i dag

Uansett om du endrer det hver tredje måned eller ikke, blir kontoene dine eksponert av måten du Nettkriminelle får tak i passordTyveri skjer vanligvis ikke gjennom mirakuløs gjetting av passordet ditt, men gjennom flere svært spesifikke og velkjente vektorer.

En av de vanligste måtene er massive datalekkasjer Nettjenester, sosiale nettverk, forum, spillplattformer, e-handelsnettsteder og skyleverandører lider av sikkerhetshull som eksponerer millioner av brukernavn-passord-kombinasjoner, noen ganger ukrypterte eller med ødelagte algoritmer. Disse databasene ender opp med å bli videresolgt på hackingforum og det mørke nettet.

En annen klassisk måte er å få passordet ditt svak eller for vanligLister over de mest brukte passordene i land som Spania avslører virkelig vanvittige passord som «admin», «123456», «000000», «passord» eller åpenbare navn og byer som «carl0s» eller «barcelona». Denne typen kombinasjoner kan knekkes på under et sekund med automatiserte brute-force-verktøy.

Det er også angrep fra phishing og sosial manipuleringDisse angrepene innebærer at en angriper lurer deg til å skrive inn passordet ditt på et falskt nettsted som etterligner banken din, e-posten din eller nettstedet ditt for sosiale medier. Noen ganger kombineres dette med skadelig programvare for tasteloggere, som registrerer tastetrykk for å fange opp all påloggingsinformasjon du skriver inn.

Til slutt må vi ikke glemme programvare- og maskinvaresårbarheterUtdaterte systemer, rutere med gammel fastvare, apper med sikkerhetsfeil ... alt dette kan gi en tredjepart tilgang til dine lagrede passord eller til og med endre dem og blokkere din legitime tilgang. Derfor insisterer ekspertene på å holde systemer og enheter oppdatert.

Hvorfor det kan være en dårlig idé å endre det «bare i tilfelle»

I denne sammenhengen antar mange brukere at det å endre passord ofte er et slags universelt sikkerhetstiltak. Imidlertid er både NIST og studier fra universiteter som Carnegie Mellon enige om at Hyppige endringer uten grunn øker risikoen for dårlig praksis.

Når et system tvinger deg til å endre passordene dine kontinuerlig, slutter folk flest å tenke for mye på det og bruker bare reglene. små trivielle transformasjoner: legge til eller øke et tall på slutten, endre året, veksle mellom et åpenbart symbol ... bare mønstrene som angripere allerede har i ordbøkene sine.

Videre oppmuntrer ulempene med disse endringene til bruk av passordene blir kortere og enklereeller ganske enkelt bruke det samme passordet på tvers av forskjellige tjenester med små variasjoner. Hvis en angriper kompromitterer en av disse kontoene, vil de ha svært klare ledetråder for resten, noe som mangedobler den potensielle skaden.

Mange eksperter påpeker at hvis selskaper brukte tiden og pengene som ble investert i å tvinge frem kvartalsvise passordendringer til lære opp brukere i hvordan de lager sterke og unike nøklerVed å implementere passordbehandlere og totrinnsverifisering ville den reelle sikkerhetsforbedringen være mye større.

Selv sikkerhetsselskaper erkjenner det, ingen tegn på lekkasjeDet at du endrer passordet ditt regelmessig gjør det ikke sikrere. Faktisk kan det skape en falsk følelse av sikkerhet mens andre, mer alvorlige svakheter vedvarer, som å bruke det samme passordet på flere nettsteder eller ikke aktivere MFA.

Når bør du endre passordet ditt uten å nøle?

Selv om tvungen passordrotasjon ikke lenger er god praksis, betyr ikke det at du bør holde deg til det samme passordet uansett hva. Det finnes situasjoner der Det er viktig å endre det umiddelbart for å redusere risikoen.

Hvis et selskap der du har en konto annonserer en datainnbruddDet klokeste er å oppdatere passordet for den tjenesten så snart som mulig, og også for alle andre der du bruker det på nytt (hvis du har begått den synden). Noen ganger tar det uker før disse bruddene blir rapportert, så sikkerhetsverktøy... mørk web overvåking eller tjenester som «Have I Been Pwned» hjelper med å oppdage tidligere om e-posten din vises på en filtrert liste.

En annen klar advarsel er uoppfordrede forsøk på innlogging eller passordendringHvis du mottar legitime e-poster som spør «Har du bedt om tilbakestilling av passord?» eller påloggingsvarsler fra steder eller enheter du ikke kjenner igjen, bør du umiddelbart endre passordet ditt ved å logge på tjenesten selv (uten å klikke på mistenkelige lenker) og aktivere MFA hvis du ikke allerede har gjort det.

Hvis du mistenker at enheten din har blitt infisert med skadelig programvareDu bør også endre passordene dine, men bare etter at du har rengjort datamaskinen. Det er nytteløst å endre passord hvis angriperen fortsatt kan se alt du skriver. Når systemet er rent, må du oppdatere påloggingsinformasjonen for kritiske tjenester (e-post, banktjenester, sosiale medier, skylagring osv.).

I tilfelle en av kontoene dine tydeligvis har blitt hacket (meldinger dukker opp som du ikke har sendt, kjøp du ikke har gjort, merkelige profilendringer), må alle kontoer som deler samme passord eller lignende varianter anses som kompromittert, og passordene deres må endres umiddelbart.

I bedriftsmiljøer, for administratorkontoer eller spesielt sensitive systemer, velger mange organisasjoner fortsatt roter privilegerte legitimasjonsopplysninger De gjør dette ganske ofte, men de gjør det automatisk og ved å generere sterke tilfeldige passord, nettopp for å unngå de menneskelige feilene som er forbundet med manuelle endringer.

Hva er et sikkert passord i dag (og hva er det ikke)

Et passord er fortsatt et et sett med tegn som gir deg tilgang til privat informasjon eller verdifulle ressurser: e-post, sosiale medier, nettbank, nettstedets dashbord, bedriftens VPN, mobile enheter osv. Det faktum at det er den eneste barrieren mellom ditt digitale liv og en angriper, burde være nok til å ta det på alvor.

Eksperter har lenge sagt at et godt passord bør være lang, kompleks og unikTradisjonelt var minimumskravet åtte tegn, en kombinasjon av store bokstaver, små bokstaver, tall og symboler, og unngikk ord i ordboken eller personopplysninger (datoer, navn, registreringsnumre osv.).

De nyeste NIST-retningslinjene legger enda større vekt på lengde: de anbefaler å kreve minst 8 tegnmen de anser det som ønskelig å heve standarden til 15 eller mertillater maksimalt 64 tegn. Jo lengre den er, desto vanskeligere er den å knekke med automatiserte angrep, forutsatt at det ikke er en forutsigbar frase.

En god strategi for mennesker er å bruke passordfraserTilfeldige ordsekvenser blandet med symboler og store bokstaver er enkle for deg å huske, men svært vanskelige for en datamaskin å knekke. Eksempler som «Mars-Hval-Nær4-Smeltet» eller «Minutt.Lastebil.Hvor2.Forsøk» gir svært høy entropi uten å være avhengig av typiske mønstre.

Det du bør unngå er passordene som dukker opp år etter år blant de mest brukte: "123456", "passord", "qwerty", "111111", "admin"åpenbare tastaturkombinasjoner, enkeltord, tallsekvenser eller taster basert på informasjon som hvem som helst kan hente ut fra dine sosiale nettverk (partners navn, fotballag, fødselsdato...).

Like viktig er det at hver tjeneste bruker et annet passordÅ bruke samme passord for e-post, sosiale medier, banktjenester og netthandel er som å bruke samme nøkkel til huset, bilen og safen, og deretter legge igjen en kopi på dørmatten. Hvis et av disse nettstedene blir hacket, kan en angriper ganske enkelt prøve den kombinasjonen på alle de andre populære tjenestene.

Flerfaktorautentisering, passordbehandlere og passordnøkler

Det andre viktige aspektet ved dette paradigmeskiftet er å slutte å stole utelukkende på én enkelt nøkkel, uansett hvor god den måtte være. I dag anses den som essensiell. suppler passord med flerfaktorautentisering (MFA) forutsatt at tjenesten tillater det.

Utenriksdepartementet legger til et ekstra identitetsbevis som kan være noe du vet (selve passordet), noe du har (mobil, fysisk token, kodeapplikasjon) eller noe du er (fingeravtrykk, ansikt, iris). På denne måten, selv om noen stjeler passordet ditt, vil det være mye vanskeligere for dem å logge inn uten den andre faktoren.

Aktiver MFA for e-post, sosiale medier, nettbank, skytjenester eller tilgang til fjernarbeid Det hindrer mange automatiserte angrep basert på testing av stjålne eller svake passord. Selv om passordet ditt dukker opp i en lekkasje, vil angriperen møte en ekstra barriere som er vanskelig å overvinne.

For å håndtere problemet med å huske dusinvis av lange og unike passord, anbefaler eksperter å bruke en passordbehandlingDisse verktøyene genererer svært komplekse tilfeldige nøkler, lagrer dem kryptert i et hvelv og fyller dem ut for deg når du logger deg på. Du trenger bare å beskytte et sterkt hovedpassord og, hvis mulig, også aktivere MFA.

En god passordbehandler forhindrer farlige fremgangsmåter som å skrive ned passord på papir, i ukrypterte regneark eller i mobilnotater, eller rett og slett å la nettleseren lagre dem. Det gjør det også enklere for deg å bruke mye lengre passord av det du kunne huske på egenhånd, noe som forbedrer motstandskraften mot angrep.

Samtidig, den passord eller tilgangsnøklerEt moderne alternativ til det tradisjonelle passordet basert på offentlig nøkkelkryptografi. Passord lagres på enheten eller en kompatibel administrator og tillater pålogging med fingeravtrykk, ansiktsgjenkjenning eller en lokal PIN-kode, uten å sende et gjenbrukbart passord til serveren.

Giganter som Google, Apple, Microsoft, Amazon, PayPal og GitHub støtter allerede passord, og over hundre nettsteder og apper blir med. Selv om passord ikke kommer til å forsvinne over natten, Fremtiden peker mot passordløse systemer som reduserer mange av dagens problemer med tyveri og gjenbruk.

Gode ​​rutiner for passordsikkerhet i hverdagen

Utover debatten om utløpsdatoen, bør målet ditt være minimere angrepsflaten som passordene dine tilbyr. Det kommer fra å kombinere flere gode fremgangsmåter som er enkle å innlemme hvis de gjøres fornuftig.

Først, forplikt deg til Ikke bruk samme passord på nytt for mer enn én kontoSpesielt for kritiske tjenester som e-post, banktjenester, nettbutikker med lagrede kredittkort og jobbkontoer. Hvis du allerede bruker dem på nytt, bør du prioritere å endre disse passordene og skille dem fra hverandre ved hjelp av en passordbehandler.

Når du oppdaterer et passord, unngå "juks", som f.eks. endre bare ett tegn (legge til et tall på slutten, erstatte en bokstav med et lignende symbol, osv.). Nettkriminelle er fullstendig klar over disse mønstrene, og angrepsverktøy innlemmer dem som standard.

Vurder å bruke lange passordfraser For kontoer du vil huske utenat (for eksempel hovedpassordet til kontoansvarlig), kombiner flere tilsynelatende urelaterte ord, sett inn store bokstaver på uventede steder og legg til et tall eller symbol imellom for å øke kompleksiteten.

Når du ikke trenger å huske passordet fordi du skal bruke en passordbehandler, kan du dra nytte av funksjonene. passord- og passordfrasegeneratorerDisse programmene lager automatisk tilfeldige strenger som "3>ZfrT61(9#X;?Kdk4FQ" eller komplekse fraser og lagrer dem i hvelvet ditt. Det viktigste her er ikke så mye å kunne gjengi dem fra minnet som å sørge for at ingen andre kan gjette dem.

På et operativt nivå, unngå for enhver pris lagre passord i ren tekst på datamaskinen eller mobilenheten din, enten det er i notater, løse dokumenter, bilder av klistrelapper eller e-poster du sender til deg selv. All skadelig programvare, enhetstyveri eller uautorisert fysisk tilgang vil gjøre alt dette til et skattekart for en angriper.

Til slutt, gjør det til en vane å sjekke med jevne mellomrom om Kontoene dine har dukket opp i lekkasjer Du kan sjekke for kjente sårbarheter ved hjelp av tjenester for å oppdage sikkerhetsbrudd eller sikkerhetsfunksjonene i din egen passordbehandler eller nettleser. Hvis du oppdager at et passord har blitt kompromittert, bør du endre det uten å nøle.

I en verden der datainnbruddene teller milliarder og alternativer som MFA og passordnøkler dukker opp, handler ikke vinnerstrategien lenger om å stadig endre passord, men om bygge et robust og håndterbart tilgangsøkosystemLange, unike passord, flerfaktorautentisering, verktøy som gjør administrasjonen enklere, og oppmerksomhet på tegn på reell kompromiss. Hvis du justerer vanene dine i denne retningen, vil kontoene dine være mye bedre beskyttet, selv om du ikke kan huske sist gang du endret passordet ditt «på en kalender».

Relatert artikkel:

Slik lager du sterke passord og beskytter kontoene dine trinn for trinn