hyödyllisiä artikkeleita

Kuinka usein minun pitäisi vaihtaa salasanani?

Hei Goldavelez.com,

Yritykseni ja jotkut sivustot pakottavat minut vaihtamaan salasanani säännöllisesti, kuten joka kolmas kuukausi. Kuinka usein minun on vaihdettava salasanani kaikille muille tunnuksilleni (jos ollenkaan)?

allekirjoitettu,

Vanhentuneet salasanat

Rakas SP

Monet organisaatiot vaativat pakollisia salasanamuutoksia, koska sitä on pitkään pidetty tietoturvan "parhaaksi käytännöksi". Säännöllä on kuitenkin hyviä ja huonoja puolia, joten ennen kuin päätät joutua vaihtamaan säännöllisesti muita salasanojasi, katsotaan hetkiä, jolloin salasanan vaihtaminen on usein järkevää - ja milloin se ei ole.

Miksi yritykset noudattavat salasanan voimassaoloa koskevia sääntöjä

Kun vaihdat salasanasi muutaman kuukauden välein, se rajoittaa kuinka kauan varastettu salasana on hyödyllinen salamurhaajalle - kuinka kauan hänellä on pääsy tiliisi. Jos joku varastaa salasanasi etkä tiedä siitä, hyökkääjä voi salakuuntelun rajoittamattoman ajan ja kerätä kaikenlaisia ​​tietoja sinusta tai tehdä muita vaurioita.

Siksi vuosikymmenien ajan monet tietoturvaohjeet ovat suositelleet usein salasananvaihtoa, yleensä 30–180 päivää. Windows Serverin oletus on 42 päivää.

Useimmissa tapauksissa nämä voivat kuitenkin olla vanhentuneita käytäntöjä tai suosituksia. Ainakin on kiistanalaista, että salasanojen vaihtaminen todella lisää turvallisuutta.

Miksi salasanojen vaihtaminen voi usein olla ajanhukkaa

Muutama vuosi sitten tehdyssä Microsoftin tutkimuksessa havaittiin, että pakolliset salasanamuutokset maksavat miljardeja menettämää tuottavuutta - erittäin pienestä tietoturvan voitosta. Muut tietoturvaresurssit (esimerkiksi Purduen yliopisto, terveydenhuollon tietotekniikka ja Life as CIO -blogi) huomauttavat, että usein vaihdettavien salasanojen "parhaat käytännöt" parantavat vain tietoturvaa, mutta lisäävät kaikkien turhautumista. Käyttäjät päätyvät yleensä valitsemaan muunnelmat samoista yksinkertaisista salasanoista (esim. Password3) tai turvautumaan kannettaviin tietokoneisiin nauhoitettuihin muistiinpanoihin. Toisin sanoen, joissain tapauksissa salasanan vaihtamisvaatimukset voivat tosiasiassa vaarantua.

Turvallisuusasiantuntija Bruce Schneier huomauttaa, että useimmissa tapauksissa hyökkääjät eivät ole passiivisia. Jos he saavat pankkitilisi kirjautumistunnuksesi, he eivät odota kahden kuukauden ajan hengailua, vaan siirtävät rahat tililtäsi heti. Yksityisissä verkoissa hakkeri saattaa olla varovaisempi ja seurata salakuuntelua, mutta hän todennäköisemmin jatkaa varastetun salasanasi käyttöä ja asentaa sen sijaan takaoven pääsyn. Säännölliset salasanamuutokset eivät tee paljon kummassakaan tapauksessa. (Tietenkin, molemmissa tapauksissa on tärkeätä vaihtaa salasanasi heti, kun tietoturvaloukka on löydetty ja tunkeilija estetty.)

Nykypäivän hullu hakkeriystävällisessä järjestelmässä usein tapahtuvat salasanamuutokset ovat vähemmän merkityksellisiä kuin koskaan. NIST: n mukaan salasanan vanhenemiskäytännöillä "ei ole merkitystä murtamisen lieventämisessä", koska hakkerit eivät ole vain sitoutuneet fiksuihin salasana temppuihin, vaan heillä on edistyneempiä laitteita ja ohjelmistoja:

Yleensä salasanan voimassaoloajat eivät ole suureksi avuksi murtamisen lieventämisessä, koska niillä on niin pieni vaikutus hyökkäyksen määrään, jonka hyökkääjän tulisi kuluttaa, verrattuna muiden salasanakäytäntöelementtien vaikutukseen. Oletetaan, että organisaatio lyhensi salasanan voimassaoloaikaa 60 päivästä 30 päivään. Hyökkääjän on yksinkertaisesti käytettävä kahdesti laitteistoresursseja kompensoimaan tämä muutos.

Hakkereilla on koneita, jotka voivat rikkoa 348 NTLM-salasanan tiivistettä sekunnissa. (NTLM on salasanan salausalgoritmi, jota käytetään Windowsissa. Kun nopeus on 348 miljardia NTLM-räjähdystä sekunnissa, kaikki 8-merkkiset salasanat voidaan rikkoa 5, 5 tunnissa.)

Joten kaikkien salasanojen vaihtaminen 30 tai 90 päivän välein ei ole kovin kannattavaa, eikä se todennäköisesti lisää tietoturvaa. Se on hyvä asia, koska monet meistä haluavat mieluummin puhdistaa wc: n kuin vaihtaa salasanoja.

Tilit, jotka saatat haluta vaihtaa salasanasi säännöllisesti

Kuten yleensä tapahtuu, on olemassa poikkeuksia. Tietyntyyppisissä tileissä hakkerit saattavat todennäköisesti "kuunnella" ja pysyä hiljaa kuukausien ajan, kunnes he keräävät tärkeitä tietoja sinulta. Schneier huomauttaa, että jos lapsesi sisarella tai bullet-lehdistöllä (jos olet jonkinlainen julkkis) on esimerkiksi Facebook-salasanasi, he kuuntelevat todennäköisesti kunnes vaihdat salasanasi, joka voi olla kuukausia tai vuosia, jos koskaan saa selville siitä.

Yleensä tämä on Schneierin neuvoja:

Sinun ei tarvitse vaihtaa salasanaasi säännöllisesti tietokoneellesi tai online-tilillesi (mukaan lukien tilit vähittäiskaupassa). ehdottomasti ei heikosti suojatuille tileille. Sinun on vaihdettava yrityksen kirjautumissalasanasi ajoittain, ja sinun on katsottava tarkkaan ystäviäsi, sukulaisiasi ja paparazziasi ennen kuin päätät kuinka usein vaihdat Facebook-salasanasi. Mutta jos hajotat jonkun kanssa, jonka kanssa olet jakanut tietokoneen, vaihda ne kaikki.

Lisäisin, että voisit harkita säännöllisesti salasanojen vaihtamista kommunikaatiotyyppisissä sivustoissa, joissa ei ole kaksifaktorista todennusta: Erityisesti sähköposti ja muun muassa pikaviestintä- tai neuvottelupalvelut. Nämä ovat enemmän snoop-ystävällisiä palveluita, joissa hakkerit saattavat kuunnella kuukausia ennen kuin huomaat. (Toisaalta sinun pitäisi käyttää sähköpostipalvelua kaksifaktorisella todennuksella, koska se on hakkereiden kultakaivos, jos he pääsevät siihen. Se on todennäköisesti tärkein tili, jonka suojaat, salasananhallinnan ja tietokoneesi ohella. tili.) Jotkut palvelut, kuten Gmail, Facebook ja Dropbox, näyttävät aktiiviset istunnot, joten yleisenä varotoimenpiteenä voit tarkistaa ne varmistaaksesi, ettei kukaan muu ole kirjautunut tilillesi.

Ennen kaikkea: turvaa turvallisuutesi yleensä

On paljon tärkeätä, että valitset kaikille tileille yksilöllisen salasanan - yhden niin kauan kuin mahdollista - ja vahvistaa kaikkia muita suojausvaihtoehtojasi (kaksifaktorinen todennus, salasanan palautuskysymysten tekeminen käsittämättömiksi ja kaiken varmuuskopiointi), koska lopuksi vahvat salasanat eivät riitä - riippumatta siitä, kuinka usein vaihdat niitä.

Jos sinulla on heikkoja tai kopioitavia salasanoja missä tahansa, vaihda ne ehdottomasti mahdollisimman pian. Harkitse myös kutakin säännöllistä tietoturvarikkomuistutusta muistutuksesta tarkistaa ja päivittää paitsi salasanasi, myös suojausasetukset yleensä - tarvittaessa. Nauti sen jälkeen kaiken mielenrauhasta, jonka mukaan teet parhaasi - ja säästä vaivaa, kun vaihdat kaikki salasanasi aikataulun mukaan.

Rakkaus,

Goldavelez.com