Čtvrtek 9. února 2023, svátek má Apolena
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 9. února 2023 Apolena

Konec otravného nařízení: Vynutit změnu hesla je na nic, uznal Microsoft

Nutit lidi pravidelně si měnit heslo je chyba, uvedli bezpečnostní experti Microsoftu. Nadále již tento krok nebudou doporučovat. Vynucená změna hesla totiž zvyšuje bezpečnost jen nepatrně a navíc nebere v potaz každodenní realitu. Uživatelé si kvůli častým změnám hesla nepamatují a píšou si je na papírky.

Expirace hesel přináší více problémů, než užitku (ilustrační koláž) | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

„Platnost vašeho hesla brzy vyprší. Změňte si heslo v Nastavení účtu. Na změnu hesla máte pět dní, po uplynutí této lhůty nebude možné přihlásit se starým heslem!“ Podobnou hlášku čas od času vídají miliony lidí po celém světě. Vyžadovat změnu hesla po určité době (tzv. expirace platnosti hesla) patří totiž mezi standardní nástroje bezpečnostní politiky v řadě firem. Jde například o výchozí nastavení všude tam, kde správci používají produkty od firmy Microsoft.

Bezpečnostní tým Microsoftu na svém blogu podrobně rozepsal, proč ustoupil od vynucené změny hesla:

  • Český překlad
  • Anglický originál

Když si lidé vybírají svá vlastní hesla, často je lze odhadnout nebo předpovědět. Když jsou lidem vnucena špatně zapamatovatelná hesla nebo jsou nuceni je často měnit, příliš často si je zapisují tam, kde jsou na očích. Když jsou lidé nuceni měnit svá hesla, často udělají jen malou a předvídatelnou změnu svých stávajících hesel nebo nové brzy zapomenou.

Současné vědecké poznatky zpochybňují validitu mnoha zavedených postupů bezpečnosti hesel, jako jsou pravidla pro vypršení platnosti hesla, a místo toho poukazují na lepší alternativy, jako je seznam zakázaných hesel a vícefaktorové ověřování uživatele.

When humans pick their own passwords, too often they are easy to guess or predict. When humans are assigned or forced to create passwords that are hard to remember, too often they’ll write them down where others can see them. When humans are forced to change their passwords, too often they’ll make a small and predictable alteration to their existing passwords, and/or forget their new passwords.

Recent scientific research calls into question the value of many long-standing password-security practices such as password expiration policies, and points instead to better alternatives such as enforcing banned-password lists and multi-factor authentication.

Microsoft tak navazuje na nová doporučení NIST z roku 2017. Zatím ale nepřistoupil k výrazné změně všech výchozích pravidel bezpečností politiky: „Naše výchozí pravidla jsou koncipována tak, aby je většina organizací mohla použít bez větších změn.“ Zdůrazňuje ale, že politika hesel musí být součástí širší bezpečností politiky.

Expirace hesla nedává smysl, jen zvyšuje riziko

Microsoft nově vyřadil expiraci hesla z výchozího nastavení: „Expirace hesel je obstaróžní a překonaná technika, která přináší velmi malé zvýšení bezpečnosti a myslíme, že nemá místo ve výchozím nastavení,“ uvedli vývojáři. Zdůvodňují to několika argumenty.

Nutí vás ke změně hesla?

Pošlete svým správcům sítě tento článek, třeba změní názor

Slíbit to ale nemůžeme...

V prvé řadě je třeba se ptát, k čemu vlastně expirace měla sloužit. Měla povzbudit uživatele k tomu, aby nezůstávali dlouho u jednoho hesla, což mělo snížit pravděpodobnost, že nějaký útočník použije uniklé heslo a získá neoprávněný přístup. Pokud je ale heslo dobře vybrané a nedojde k jeho vyzrazení, není třeba jej měnit. „A pokud máte důvod se domnívat, že bylo heslo odcizeno, nebudete přece čekat na to, až platnost hesla vyprší,“ připomíná Aaron Margosis, autor blogového příspěvku Microsoftu.

Napsat si heslo na papírek?

Za druhé ukazuje, k čemu v praxi častá změna hesla vede: lidé si často měněná nepamatují. Namísto bezpečných hesel tak volí zapamatovatelné (a tedy často méně bezpečné) alternativy, hesla si píšou na papírek nebo za původní heslo připíšou nějaký znak, aby se systém nažral a paměť zůstala celá.

Výchozí nastavení navíc často slouží jako podklad pro bezpečností audit firmy. Pokud tedy byla výchozí hodnota expirace hesla 60 dní a organizace vyžadovala změnu hesla „jen“ jednou za 365 dní, mohla za to dostat v bezpečnostním auditu negativní hodnocení. Přitom na reálnou bezpečnost to nemělo vliv. „Tím, že odstraníme požadavek na expiraci hesla, organizace si mohou zvolit, co nejlépe vyhovuje jejich potřebám,“ uzavírá Microsoft. „Ale musíme znovu zdůraznit, že silně doporučujeme další opatření a zabezpečení.

Co naopak pomáhá: dvoufaktorové zabezpečení, zakázaná hesla

Když tedy k lepší bezpečnosti nevede vynucená změna hesla, co by měli místo toho administrátoři sítě dělat? Následující rady vycházející z nových doporučení NIST a jsou celkem jednoduché:

  1. Nechtějte po uživatelích, aby jejich heslo mělo „alespoň jednu číslici, jeden speciální znak a jedno velké písmeno“ nebo něco podobného. Místo toho vyžadujte heslo, které není na seznamu známých hesel, což lze ověřit kontrolou při změně hesla
  2. Vzdělávejte své uživatele ohledně toho, jak zacházet s hesly. Především zdůrazněte nutnost jedinečných hesel (nepoužívat stejné heslo na různých místech) a doporučte jim případně nástroj na správu hesel. Můžete je odkázat na náš Návod na zacházení s hesly.
  3. Využijte dvoufaktorové ověření, kdekoli je to možné a vhodné
  4. Nastavte práva přístupů tak, aby napadení jednoho účtu nemělo katastrofální následky pro celou firmu
Doporučení NIST ohledně Elektronické autentizace (2017)
Doporučení NIST ohledně Elektronické autentizace (2017)

Nová doporučení NIST ohledně hesel z roku 2017

Je jasné, že hláška „musíte si změnit heslo“ nezmizí ze dne na den. Firmy mají své postupy a nemohou jen tak ze dne na den změnit bezpečnostní politiku. Nebuďte tedy překvapeni, pokud se vaše upozornění na nové doporučení nesetká s pochopením.

Časem ale toto i tomuto přežitému bezpečnostnímu opatření vyprší platnost.

Autor:
  • Nejčtenější

A TOTO VÍTE? K čemu je ten tlustý válec na hlavních moderních tanků

Seriál I na tanku lze identifikovat věci, které mohou u někoho vzbudit otazníky. Například tlustší válec na hlavni kanonu....

A TOTO VÍTE? Proč mají letadlové lodě ostrov vpravo

Seriál Nad letovou palubu letadlové lodě ční takzvaný ostrov, na němž se ukrývá mimo jiné velitelská věž, navigační můstek a...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Jak špionážní letoun U-2 startoval z letadlových lodí

Svého času utajovaný průzkumný letoun U-2 zná asi každý, ostatně stroje U-2 druhé generace létají dodnes. Historii má...

Přistáli jsme. Podívejte se na fotky z unikátního závodu balónů

Exkluzivně Z letiště Kejžlice v přibližném geografickém středu Česka odstartoval v 8 hodin ráno třetí ročník závodu balonů, Pohár...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Co byste měli u svého routeru prověřit, aby fungoval správně a bez rizika

Premium Router představuje vstupní bránu do počítačové sítě. Než začne dobře sloužit, potřebuje každý router nejprve správně...

Kriminalista Karel Tichý: Jestli se Radovan Krejčíř vrátí, budu první mrtvý

Premium Podle Karla Tichého už dříve Radovan Krejčíř vyslal signál, že chce zpátky do Česka. A byl za to ochotný vysvětlit...

Trable s láskou v posteli. Když chce jeden z partnerů víc než ten druhý

Premium „Ty už mě nemiluješ! Vůbec tě nevzrušuju!“ protne noční ticho výčitka ostrá jako břitva a následuje vzlykot, nad nímž...

Závislost na alkoholu? Při odvykání můžete vidět bílé myši, vysvětluje odbornice

Premium Dvě skleničky vína ještě neznamenají závislost na alkoholu. „Aby člověk mohl být označen za závislého, musí splnit...

Uživatelé online služeb Microsoftu čelili výpadku. Firma vrátila nastavení

Ve středu dopoledne bylo mnoho uživatelů postiženo výpadkem služeb Teams, Microsoft (dříve Office) 365, Xbox Live a...

Aplikace vám pomohou zorganizovat i užít si Vánoce

Vánoce mají být svátky klidu, ale nejdříve je třeba přežít předvánoční shon. Obě fáze vám mohou usnadnit speciální...

Stačí zadat slova a umělá inteligence Googlu složí hudbu

Strojové učení s prvky umělé inteligence zvládne čím dále tím více věcí. Na základě několika klíčových slov umí napsat...

Toto by měl jednou za čas udělat každý uživatel Windows

Počítače jsou jen stroje, a tak i ony potřebují občasnou údržbu. Podobně jako se zajímáte o své zdraví, tak by vás mělo...

Advantage Consulting, s.r.o.
STROJNÍK SLÉVÁRNY/KVARTÁLNÍ ODMĚNY

Advantage Consulting, s.r.o.
Jihomoravský kraj
nabízený plat: 28 500 - 35 000 Kč

Z jídelníčku vyřadila zánětlivé potraviny. Za půl roku zhubla 9 kilo

Paní Petra byla vždy sportovně založená. Problém přišel po operaci nohou, kdy musela omezit sport, což se projevilo na...

Každý má nějakou erotickou slabůstku či fetiš. Které patří mezi nejčastější?

Mít v sexuálních hrátkách nějakou více či méně podivnou „úchylku“, která nám dělá dobře, rozhodně není hřích. Je to...

A TOTO VÍTE? K čemu je ten tlustý válec na hlavních moderních tanků

Seriál I na tanku lze identifikovat věci, které mohou u někoho vzbudit otazníky. Například tlustší válec na hlavni kanonu....

Zemřela zpěvačka Naďa Urbánková. Proslavila se hity Závidím či Drahý můj

Ve věku 83 let zemřela v pátek zpěvačka a herečka Naďa Urbánková, držitelka pěti Zlatých slavíků, interpretka hitů...

Maláčová je rozvedená. Připila si na nový začátek a už má nabídky na rande

Bývalá ministryně práce a sociálních věcí Jana Maláčová (41) oznámila svým příznivcům na sociálních sítích, že má...