Neděle 19. září 2021, svátek má Zita
  • schránka
  • Přihlásit Můj účet
  • Neděle 19. září 2021 Zita

Konec otravného nařízení: Vynutit změnu hesla je na nic, uznal Microsoft

Nutit lidi pravidelně si měnit heslo je chyba, uvedli bezpečnostní experti Microsoftu. Nadále již tento krok nebudou doporučovat. Vynucená změna hesla totiž zvyšuje bezpečnost jen nepatrně a navíc nebere v potaz každodenní realitu. Uživatelé si kvůli častým změnám hesla nepamatují a píšou si je na papírky.

Expirace hesel přináší více problémů, než užitku (ilustrační koláž) | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

„Platnost vašeho hesla brzy vyprší. Změňte si heslo v Nastavení účtu. Na změnu hesla máte pět dní, po uplynutí této lhůty nebude možné přihlásit se starým heslem!“ Podobnou hlášku čas od času vídají miliony lidí po celém světě. Vyžadovat změnu hesla po určité době (tzv. expirace platnosti hesla) patří totiž mezi standardní nástroje bezpečnostní politiky v řadě firem. Jde například o výchozí nastavení všude tam, kde správci používají produkty od firmy Microsoft.

Bezpečnostní tým Microsoftu na svém blogu podrobně rozepsal, proč ustoupil od vynucené změny hesla:

  • Český překlad
  • Anglický originál

Když si lidé vybírají svá vlastní hesla, často je lze odhadnout nebo předpovědět. Když jsou lidem vnucena špatně zapamatovatelná hesla nebo jsou nuceni je často měnit, příliš často si je zapisují tam, kde jsou na očích. Když jsou lidé nuceni měnit svá hesla, často udělají jen malou a předvídatelnou změnu svých stávajících hesel nebo nové brzy zapomenou.

Současné vědecké poznatky zpochybňují validitu mnoha zavedených postupů bezpečnosti hesel, jako jsou pravidla pro vypršení platnosti hesla, a místo toho poukazují na lepší alternativy, jako je seznam zakázaných hesel a vícefaktorové ověřování uživatele.

When humans pick their own passwords, too often they are easy to guess or predict. When humans are assigned or forced to create passwords that are hard to remember, too often they’ll write them down where others can see them. When humans are forced to change their passwords, too often they’ll make a small and predictable alteration to their existing passwords, and/or forget their new passwords.

Recent scientific research calls into question the value of many long-standing password-security practices such as password expiration policies, and points instead to better alternatives such as enforcing banned-password lists and multi-factor authentication.

Microsoft tak navazuje na nová doporučení NIST z roku 2017. Zatím ale nepřistoupil k výrazné změně všech výchozích pravidel bezpečností politiky: „Naše výchozí pravidla jsou koncipována tak, aby je většina organizací mohla použít bez větších změn.“ Zdůrazňuje ale, že politika hesel musí být součástí širší bezpečností politiky.

Expirace hesla nedává smysl, jen zvyšuje riziko

Microsoft nově vyřadil expiraci hesla z výchozího nastavení: „Expirace hesel je obstaróžní a překonaná technika, která přináší velmi malé zvýšení bezpečnosti a myslíme, že nemá místo ve výchozím nastavení,“ uvedli vývojáři. Zdůvodňují to několika argumenty.

Nutí vás ke změně hesla?

Pošlete svým správcům sítě tento článek, třeba změní názor

Slíbit to ale nemůžeme...

V prvé řadě je třeba se ptát, k čemu vlastně expirace měla sloužit. Měla povzbudit uživatele k tomu, aby nezůstávali dlouho u jednoho hesla, což mělo snížit pravděpodobnost, že nějaký útočník použije uniklé heslo a získá neoprávněný přístup. Pokud je ale heslo dobře vybrané a nedojde k jeho vyzrazení, není třeba jej měnit. „A pokud máte důvod se domnívat, že bylo heslo odcizeno, nebudete přece čekat na to, až platnost hesla vyprší,“ připomíná Aaron Margosis, autor blogového příspěvku Microsoftu.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Napsat si heslo na papírek?

Za druhé ukazuje, k čemu v praxi častá změna hesla vede: lidé si často měněná nepamatují. Namísto bezpečných hesel tak volí zapamatovatelné (a tedy často méně bezpečné) alternativy, hesla si píšou na papírek nebo za původní heslo připíšou nějaký znak, aby se systém nažral a paměť zůstala celá.

Výchozí nastavení navíc často slouží jako podklad pro bezpečností audit firmy. Pokud tedy byla výchozí hodnota expirace hesla 60 dní a organizace vyžadovala změnu hesla „jen“ jednou za 365 dní, mohla za to dostat v bezpečnostním auditu negativní hodnocení. Přitom na reálnou bezpečnost to nemělo vliv. „Tím, že odstraníme požadavek na expiraci hesla, organizace si mohou zvolit, co nejlépe vyhovuje jejich potřebám,“ uzavírá Microsoft. „Ale musíme znovu zdůraznit, že silně doporučujeme další opatření a zabezpečení.

Co naopak pomáhá: dvoufaktorové zabezpečení, zakázaná hesla

Když tedy k lepší bezpečnosti nevede vynucená změna hesla, co by měli místo toho administrátoři sítě dělat? Následující rady vycházející z nových doporučení NIST a jsou celkem jednoduché:

  1. Nechtějte po uživatelích, aby jejich heslo mělo „alespoň jednu číslici, jeden speciální znak a jedno velké písmeno“ nebo něco podobného. Místo toho vyžadujte heslo, které není na seznamu známých hesel, což lze ověřit kontrolou při změně hesla
  2. Vzdělávejte své uživatele ohledně toho, jak zacházet s hesly. Především zdůrazněte nutnost jedinečných hesel (nepoužívat stejné heslo na různých místech) a doporučte jim případně nástroj na správu hesel. Můžete je odkázat na náš Návod na zacházení s hesly.
  3. Využijte dvoufaktorové ověření, kdekoli je to možné a vhodné
  4. Nastavte práva přístupů tak, aby napadení jednoho účtu nemělo katastrofální následky pro celou firmu
Doporučení NIST ohledně Elektronické autentizace (2017)
Doporučení NIST ohledně Elektronické autentizace (2017)

Nová doporučení NIST ohledně hesel z roku 2017

Je jasné, že hláška „musíte si změnit heslo“ nezmizí ze dne na den. Firmy mají své postupy a nemohou jen tak ze dne na den změnit bezpečnostní politiku. Nebuďte tedy překvapeni, pokud se vaše upozornění na nové doporučení nesetká s pochopením.

Časem ale toto i tomuto přežitému bezpečnostnímu opatření vyprší platnost.

Autor:

Dny NATO v Ostravě a Dny Vzdušných sil AČR se budou konat 18. a 19. září.

  • Nejčtenější

Jaderný „drobek“ měl ničit strategické cíle v USA, později letadlové lodě

Velikost řízených střel byla daná požadavky na dolet, tedy množství paliva v nádržích, velikostí bojové hlavice a...

Nový nadzvukový letoun nejspíš Česku dodají Švédové nebo Američané

Z utajovaného procesu výběru nového nadzvukového letounu pro české letectvo unikly první zásadní informace naznačující,...

Tady se mělo umírat a ne bydlet. Vojenský bunkr místo chaty přesto láká

Ministerstvo obrany již řadu let nabízí zájemcům k prodeji takzvané řopíky neboli bunkry lehkého opevnění, které měly...

Podívejte se, jak do Česka dorazil poprvé bojový letoun 5. generace

Návštěvníci letošních Dnů NATO v Ostravě budou moci vidět na vlastní oči zatím jediný komerčně dostupný bojový letoun...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Sedm signálů, že se vám do počítače naboural hacker

Máte nepříjemný pocit, že ve vašem počítači či v zařízení, které je připojené k internetu, není něco v pořádku?...

Nesmysly o inflaci v Česku. Znovu bude nízká, uvidíte, tvrdí ekonom Michl

Premium ČSÚ zveřejnil, že inflace je nejvyšší od roku 2008, 4,1 %. Hned v pátek jsem k tomu vydal v MF DNES článek „Nebojte se...

Chci přidat 20 tisíc. Generaci Z kuráž nechybí, s trpělivostí už je to horší

Premium Sedmatřicetiletý Libor vede pobočku banky v krajském městě. Za poslední měsíce přijal několik mladých lidí, dvacátníků...

Hladovění je to nejlepší, co pro sebe lidé mohou udělat, říká neurolog

Jde o největší problém současné medicíny, a to bez ohledu na covid-19 - Alzheimerova nemoc, nejčastější typ demence....

  • Další z rubriky

Aplikace českého startupu se vám z mobilu podívá na účet a poradí co dál

Rozumíte financím jako koza petrželi a zároveň vám to není jedno? Pak i na vás míří takzvaný „personal finance...

Rychlou prověrkou domácí wi-fi odhalíte, že se na ni „napíchl“ třeba soused

Je vaše bezdrátové připojení k internetu pomalé? Nevíte, jaká zařízení, respektive kdo vše má přístup k vaší wi-fi, a...

Microsoft varuje před chybou, která může vést k útoku i na váš počítač

Je to noční můra všech softwarových vývojářů, když má jejich produkt chybu, která je známá útočníkům a ti ji...

Vychytávka: Šikovným QR kódem potěšíte návštěvu i oslovíte zákazníka

S QR kódem zaplatíme v restauraci, za lístky na koncert, odešleme platební příkaz nebo pořídíme jídlo u stánku na...

Gabriela Soukalová je poprvé maminkou, narodila se jí holčička

Bývalá biatlonistka Gabriela Soukalová (31) se stala maminkou. S partnerem Milošem Kadeřábkem přivítala moderátorka na...

Když dva jsou málo. 5 pravd o sexu ve třech, které vám zatím nikdo neřekl

Premium Sex ve třech. Někdy o něm snil kdekdo z nás. Pojďme ovšem pohlédnout pravdě do očí. Pokud do své ložnice přizvete další...

Začalo to jako chřipka, pak vzal Tereze meningokok nohy a zničil ledviny

Před čtyřmi lety si Tereza myslela, že nastydla na kole. Jenže druhý den už ležela na JIP a kvůli meningokokové infekci...

Žena nemá žádné kamarádky, aby nesváděla svou postavou jejich partnery

Sedmadvacetiletá Moriah Millsová z Georgie se živí jako modelka a na své křivky je velmi hrdá. Nepodstoupila údajně...

Probudila mě bolest nehtů. Od té doby nemohu chodit, říká Alfred Strejček

Už téměř čtyři roky je Alfred Strejček (79) zcela odkázaný na péči druhých. Herci, recitátorovi, moderátorovi a...