Przez lata powtarzano, iż regularna zmiana haseł to fundament bezpieczeństwa w sieci. Wiele osób do dziś żyje w przekonaniu, iż nowe hasło co kilka miesięcy automatycznie zwiększa ochronę kont. Najnowsze zalecenia ekspertów pokazują jednak, iż to mit, który może przynieść więcej szkody niż pożytku.
Specjaliści ds. cyberbezpieczeństwa i instytucje standaryzacyjne zgodnie twierdzą, iż częsta rotacja haseł nie tylko nie poprawia ochrony, ale często ją osłabia. najważniejsze jest coś zupełnie innego niż regularne zmiany.
Skąd wzięło się wymuszanie zmiany hasła?
Zalecenie częstej zmiany haseł narodziło się w czasach, gdy narzędzia do ochrony kont były znacznie mniej zaawansowane. Organizacje próbowały w ten sposób ograniczać skutki potencjalnych wycieków danych. Z doświadczenia wiem, iż ta praktyka prowadzi do wypracowania przewidywalnych schematów, zapisywania haseł na kartkach i stosowania tylko drobnych modyfikacji starego hasła.
Amerykański NIST już w 2017 roku jasno stwierdził, iż nie należy wymuszać okresowej zmiany haseł bez konkretnego powodu. Zmiana ma sens tylko wtedy, gdy istnieje podejrzenie naruszenia bezpieczeństwa lub użytkownik sam zgłasza potrzebę zmiany.
Firmy i organizacje trzymają się również przestarzałych schematów jeżeli chodzi o konstrukcję hasła. Eksperci podkreślają, iż długość hasła jest ważniejsza niż jego złożoność. Wymuszanie znaków specjalnych, wielkich liter i cyfr znacząco obniża zapamiętywalność, a realny wzrost bezpieczeństwa jest niewielki. Nauczyliśmy się tworzyć hasła trudne do spamiętania, a łatwe do złamania w ataku bruteforce – bo dosyć krótkie.
Jak utworzyć dobre hasło? Warto zgodnie z zaleceniami, poskładać je z wielu słów, tworząc sobie z nich abstrakcyjną historyjkę – co ułatwi zapamiętanie. Ja lubię dodatkowo pomieszać kilka języków lub zrobić błąd ortograficzny, aby utrudnić ataki słownikowe. Można jednak, zamiast się głowić – a później ćwiczyć pamięć – wykorzystać odpowiednie oprogramowanie.
Menedżer haseł zamiast rotacji
W praktyce najlepszym rozwiązaniem jest korzystanie z menedżera haseł. Pozwala on tworzyć długie, unikalne hasła dla każdej usługi bez konieczności ich zapamiętywania. Użytkownik musi pamiętać jedynie jedno, silne hasło główne. NIST w aktualizacji z 2024 roku ponownie zalecił takie podejście, wskazując także na znaczenie uwierzytelniania wieloskładnikowego i blokad po wielu nieudanych logowaniach.
Generator haseł w menedżerze Proton Pass losujący hasło wyrazowe.Kiedy hasło trzeba zmienić?
Jedna zasada pozostaje niezmienna: jeżeli hasło wycieknie w wyniku naruszenia danych, należy je natychmiast zmienić. Poza takimi sytuacjami regularna rotacja nie zwiększa bezpieczeństwa, a często je osłabia.
Paradoksalnie więc najlepszą strategią może być… zostawienie dobrego hasła w spokoju. Długiego, unikalnego i chronionego dodatkowymi zabezpieczeniami (2FA). To właśnie takie podejście dziś uznawane jest za najrozsądniejsze.
Źródło: PCMag
