Wszyscy nadal używamy haseł na wielu, być może większości naszych kont, ponieważ wszyscy nadal korzystamy z wielu usług online, które nie oferują żadnego innego systemu logowania.
Na przykład właśnie dzisiaj zapłaciłem składki członkowskie grupie związanej z kolarstwem, która poprosiła o mój adres pocztowy, aby mogła wysłać mi kartę członkowską, co moim zdaniem było cudownie prostym i staromodnym sposobem na odzyskanie numeru członkowskiego w przyszłości podczas podróży.
W taką zimną i mokrą pogodę, jaka panuje w Anglii przez większą część roku, wyciąganie telefonu komórkowego, czekanie na sygnał, zdejmowanie rękawiczek (wkładanie ich z powrotem na zimę nie jest zbyt zabawne… podmokłe) i majstrować przy aplikacjach, stronach internetowych, hasłach, kodach 2FA i nie tylko…
… cóż, nie jest tak łatwo znaleźć wodoodporną, odporną na zderzenia, niewymagającą baterii plastikową kartę z podstawowymi danymi.
Ale wraz z potwierdzeniem płatności, informującym mnie, że moja karta członkowska jest w drodze, było przypomnieniem, że jeśli kiedykolwiek będę chciał odnowić swoje członkostwo lub poprosić o wymianę wodoodpornej, odpornej na zderzenia, niewymagającej baterii, plastikowej karty (niestety, nie są odporne na utratę), musiałbym założyć konto na stronie grupy, więc dlaczego nie wybrać hasła od razu?
Mówiąc najprościej, aby przede wszystkim uniknąć konieczności podawania hasła, musiałbym je utworzyć na drugim miejscu.
A za każdym razem, gdy pojawiają się hasła, pojawia się również od dawna pytanie:
Czy powinieneś cały czas zmieniać wszystkie swoje hasła, aby stały się one szybko poruszającymi się celami dla cyberprzestępców, czy też zablokować naprawdę złożone hasła na początek, a potem zostawić je w spokoju?
Rzeczywiście, był to problem, z którym borykał się dziś rano wieloletni czytelnik Naked Security, którego własny zespół IT stanął przed tym właśnie dylematem, prawdopodobnie z powodu zagrożenia cyberbezpieczeństwa, którego właśnie doświadczyli z pierwszej ręki.
Który jest lepszy?
Złożone hasła lub hasła, które mogą nie być często zmieniane, lub źle dobrane hasła, które są regularnie zmieniane?
Myśli i rozważania
Nasze przemyślenia w tej sprawie są następujące:
- Regularna zmiana haseł nie jest alternatywą dla wybierania i używania silnych haseł. Jeśli chcesz zmieniać hasło co miesiąc, to twój wybór, ale nie jest to wymówka, by zaczynać od imienia kota i używać jego mniejszych wariantów co kilka tygodni.
- Zmuszanie ludzi do rutynowej zmiany haseł może uśpić ich złe nawyki. Wielu użytkowników po prostu przyjmuje przewidywalny mechanizm, taki jak dodawanie -01, -02, -03 itd., aby spełnić literę (ale nie ducha) zasad wymiany hasła. Atakujący mogą wykryć tego rodzaju zachowanie.
- Zaplanowanie zmiany hasła może opóźnić reakcję awaryjną. Jeśli zawsze zmieniasz hasło co kilka tygodni, masz mniejszą motywację do zmiany go od razu, jeśli uważasz, że mogłeś zostać wyłudzony. W końcu i tak będziesz to „wkrótce” zmieniać.
Regularna zmiana hasła nie czyni go w magiczny sposób lepszym hasłem.
Tylko wybranie lepszego hasła w pierwszej kolejności czyni je lepszym hasłem! (Tutaj jest menedżerowie haseł może pomóc.)
Innymi słowy, sugerujemy, abyś najpierw zajął się problemem pomocy użytkownikom w wyborze przyzwoitych haseł, a następnie zachęcił ich do rozpoznawania przypadków, w których powinni zmienić swoje hasła od razu, bez konieczności tworzenia harmonogramu, który im to nakazuje…
… i dopiero wtedy powinieneś się martwić, czy naprawdę potrzebujesz „regularnych zmian niezależnie od” polityki haseł.
Ryzyko rutynowego zachowania
Żądanie zmiany hasła co miesiąc, kiedy po prostu nie jest to konieczne, to po prostu zapraszanie ludzi do niezabezpieczonego zapisywania nowych haseł lub niechlujnego wybierania nowych haseł lub obracania się przez powtarzającą się sekwencję N powiązanych haseł lub aktualizowania tylko ich haseł co 30 dni, nawet w sytuacjach awaryjnych.
To powiedziawszy, zablokowanie użytkowników, którzy nie mieli dostępu do określonych kont firmowych przez określony czas, jest dobrym pomysłem. (To również chroni skromnie przed zapomnianymi kontami, ponieważ ostatecznie wygasają one automatycznie).
Blokowanie użytkowników z powodu braku aktywności jest bardziej uciążliwe niż zwykłe zmuszanie ich do regularnego resetowania haseł, a przez to niepopularne.
Ale jeśli ktoś ma login do konta firmowego, którego nie używa, dlaczego nie naciskać na niego, aby osobiście uzasadnił, dlaczego nadal go potrzebuje po tym, jak nie używał go przez, powiedzmy, sześć miesięcy lub rok?
W końcu, jeśli jest to logowanie do produktu lub usługi, która pobiera opłatę za użytkownika… możesz nawet zaoszczędzić na kosztach ich subskrypcji.
A jeśli naprawdę nie potrzebują już konta, pomagasz im trzymać się z dala od kłopotów, uniemożliwiając złoczyńcom i cyberprzestępcom robienie złych rzeczy w ich imieniu.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/06/09/thoughts-on-scheduled-password-changes-dont-call-them-rotations/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 15%
- 25
- 2FA
- 30
- a
- Zdolny
- O nas
- bezwzględny
- dostęp
- Konto
- Konta
- dodanie
- adres
- przyjąć
- Po
- przed
- Wszystkie kategorie
- sam
- wzdłuż
- również
- alternatywny
- zawsze
- an
- i
- każdy
- mobilne i webowe
- SĄ
- na około
- AS
- autor
- samochód
- automatycznie
- uniknąć
- z dala
- z powrotem
- background-image
- Łazienka
- podstawowy
- BE
- bo
- być
- Ulepsz Swój
- granica
- Dolny
- ale
- by
- wezwanie
- CAN
- karta
- Etui
- Centrum
- pewien
- zmiana
- zmieniony
- Zmiany
- wymiana pieniędzy
- Opłaty
- wybór
- Dodaj
- Wybierając
- Kody
- zimno
- kolor
- jak
- byliśmy spójni, od początku
- sukcesy firma
- kompleks
- potwierdzenie
- Koszty:
- mógłby
- pokrywa
- Stwórz
- cyberprzestępcy
- Dni
- opóźnienie
- detale
- Wyświetlacz
- do
- Nie
- robi
- nie
- łatwo
- nagły wypadek
- zachęcać
- Anglia
- Parzyste
- ostatecznie
- EVER
- Każdy
- doświadczony
- okładzina
- Szybki ruch
- Opłaty
- kilka
- Postać
- znalezieniu
- i terminów, a
- z pierwszej ręki
- następujący sposób
- W razie zamówieenia projektu
- od
- zabawa
- przyszłość
- otrzymać
- dobry
- Zarządzanie
- ręka
- Have
- wysokość
- pomoc
- pomoc
- unosić
- HTTPS
- i
- pomysł
- if
- in
- Motywacja
- przykład
- najnowszych
- atrakcyjny
- problem
- IT
- JEGO
- właśnie
- Pozostawiać
- lewo
- mniej
- list
- najmu
- Zaloguj Się
- długoterminowy
- robić
- WYKONUJE
- wiele
- Margines
- Materia
- Maksymalna szerokość
- Może..
- mechanizm
- członkostwo
- może
- moll
- Aplikacje mobilne
- telefon komórkowy
- Miesiąc
- miesięcy
- jeszcze
- Rano
- większość
- dużo
- my
- Nagie bezpieczeństwo
- Nazwa
- Potrzebować
- potrzeba
- Nowości
- normalna
- już dziś
- numer
- of
- poza
- oferta
- często
- on
- ONE
- te
- Online
- tylko
- or
- Inne
- ludzkiej,
- na zewnątrz
- własny
- płatny
- Hasło
- hasła
- Paweł
- płatność
- Ludzie
- może
- osoba
- telefon
- Miejsce
- Plastikowy
- plato
- Analiza danych Platona
- PlatoDane
- Volcano Plenty Vaporizer Storz & Bickel
- polityka
- position
- możliwie
- za pośrednictwem tradycyjnej poczty
- Wiadomości
- Możliwy do przewidzenia
- zapobieganie
- Problem
- Produkt
- Naciskać
- położyć
- pytanie
- Czytelnik
- naprawdę
- rozpoznać
- regularnie
- związane z
- względny
- wymiana
- zażądać
- Odpowiedzi
- prawo
- ryzyko
- droga
- rutynowo
- reguły
- Powiedział
- Zapisz
- powiedzieć
- zaplanowane
- druga
- bezpieczeństwo
- wysłać
- Sekwencja
- usługa
- Usługi
- powinien
- Signal
- Prosty
- po prostu
- SIX
- Sześć miesięcy
- So
- solidny
- Ktoś
- specyficzny
- duch
- początek
- Startowy
- pobyt
- Nadal
- silny
- subskrypcja
- taki
- sugerować
- SVG
- system
- biorąc
- cele
- zespół
- powiedzieć
- niż
- że
- Połączenia
- ich
- Im
- następnie
- w związku z tym
- one
- rzeczy
- myśleć
- to
- myśl
- Przez
- czas
- Harmonogram
- do
- już dziś
- także
- Top
- przejście
- przezroczysty
- kłopot
- aktualizowanie
- URL
- używany
- Użytkownicy
- za pomocą
- początku.
- Czekanie
- chcieć
- poszukiwany
- była
- Droga..
- we
- Pogoda
- Strona internetowa
- strony internetowe
- tygodni
- DOBRZE
- były
- jeśli chodzi o komunikację i motywację
- ilekroć
- czy
- który
- Podczas
- KIM
- którego
- dlaczego
- szerokość
- w
- bez
- słowa
- martwić się
- rok
- You
- Twój
- zefirnet