Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Мысли о запланированной смене паролей (не называйте их ротацией!)
Мы все по-прежнему используем пароли для многих, а возможно, для большинства наших учетных записей, потому что мы все еще используем множество онлайн-сервисов, которые не предлагают никакой другой системы входа в систему.
Например, только сегодня я заплатил членские взносы группе, связанной с велоспортом, которая попросила мой почтовый адрес, чтобы они могли отправить мне мою членскую карту, что, как я думал, было восхитительно простым и старомодным способом позволить мне получить мой членский номер. в будущем, находясь в дороге.
В такую холодную и сырую погоду, какая бывает в Англии большую часть года, достаешь мобильный телефон, ждешь сигнала, снимаешь перчатки (их не так уж и весело надевать обратно зимой… затоплен), и возиться с приложениями, веб-сайтами, паролями, кодами 2FA и многим другим…
…ну, это не так просто, как найти водонепроницаемую, ударопрочную, не требующую батареек пластиковую карту с указанием ваших основных данных.
Но наряду с подтверждением оплаты, сообщающим мне о том, что моя членская карта уже в пути, это было напоминанием о том, что, если я когда-нибудь захочу продлить свое членство или запросить замену водонепроницаемой, ударопрочной пластиковой карты, не требующей батареек. (к сожалению, они не защищены от потерь), мне нужно будет создать учетную запись на сайте группы, так почему бы не выбрать пароль прямо сейчас?
Проще говоря, чтобы избежать необходимости в пароле, мне нужно будет создать его во-вторых.
И всякий раз, когда всплывают пароли, возникает и давний вопрос:
Стоит ли вам постоянно менять все свои пароли, чтобы сделать их быстродействующими целями для киберпреступников, или же для начала заблокировать действительно сложные пароли, а затем оставить их в покое?
Действительно, это была проблема, с которой сегодня утром столкнулся давний читатель Naked Security, чья собственная ИТ-команда стояла на пороге этой самой дилеммы, возможно, из-за почти небезопасной кибербезопасности, с которой они только что столкнулись на собственном опыте.
Как лучше?
Сложные пароли или кодовые фразы, которые нечасто меняются, или плохо выбранные пароли, которые меняются регулярно?
Наши мысли по этому поводу следующие:
Регулярная смена пароля не делает его волшебным образом лучшим паролем.
Только выбор лучшего пароля в первую очередь делает его лучшим паролем! (Здесь могут помочь менеджеры паролей.)
Naked Security Live – Что делать, если мой менеджер паролей взломан?
Другими словами, мы предлагаем вам сначала решить проблему, помогая вашим пользователям выбирать достойные пароли, а затем побуждать их распознавать случаи, когда им следует немедленно сменить свои пароли, без необходимости устанавливать график, который бы указывал им это сделать…
…и только тогда вам следует беспокоиться о том, действительно ли вам нужна политика паролей «регулярные изменения несмотря ни на что».
Требовать смены пароля каждый месяц, когда вам это просто не нужно, — это просто предлагать людям небезопасно сохранять свои новые пароли, или небрежно выбирать новые пароли, или чередовать повторяющуюся последовательность из N связанных паролей, или просто постоянно обновлять свои пароли. каждые 30 дней, даже в чрезвычайных ситуациях.
Тем не менее, блокировка пользователей, которые не имели доступа к определенным учетным записям компании в течение определенного времени, является хорошей идеей. (Это также в некоторой степени защищает от забытых учетных записей, поскольку срок их действия в конечном итоге автоматически истекает.)
Блокировка пользователей за бездействие более навязчива, чем простое принуждение их регулярно сбрасывать пароли, и поэтому непопулярна.
Но если у кого-то есть логин для учетной записи компании, который он не использует, почему бы не заставить его лично обосновать, почему он все еще нужен после того, как он не использовал его, скажем, шесть месяцев или год?
В конце концов, если это вход в систему для продукта или услуги, взимающий плату за каждого пользователя… возможно, вы даже сможете сэкономить на их подписке.
И если им действительно больше не нужна эта учетная запись, вы помогаете им избежать неприятностей, не позволяя мошенникам и киберпреступникам совершать плохие поступки от их имени.