Konec otravného nařízení: Vynutit změnu hesla je na nic, uznal Microsoft

aktualizováno 
Nutit lidi pravidelně si měnit heslo je chyba, uvedli bezpečnostní experti Microsoftu. Nadále již tento krok nebudou doporučovat. Vynucená změna hesla totiž zvyšuje bezpečnost jen nepatrně a navíc nebere v potaz každodenní realitu. Uživatelé si kvůli častým změnám hesla nepamatují a píšou si je na papírky.

Expirace hesel přináší více problémů, než užitku (ilustrační koláž) | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

„Platnost vašeho hesla brzy vyprší. Změňte si heslo v Nastavení účtu. Na změnu hesla máte pět dní, po uplynutí této lhůty nebude možné přihlásit se starým heslem!“ Podobnou hlášku čas od času vídají miliony lidí po celém světě. Vyžadovat změnu hesla po určité době (tzv. expirace platnosti hesla) patří totiž mezi standardní nástroje bezpečnostní politiky v řadě firem. Jde například o výchozí nastavení všude tam, kde správci používají produkty od firmy Microsoft.

Bezpečnostní tým Microsoftu na svém blogu podrobně rozepsal, proč ustoupil od vynucené změny hesla:

  • Český překlad
  • Anglický originál

Když si lidé vybírají svá vlastní hesla, často je lze odhadnout nebo předpovědět. Když jsou lidem vnucena špatně zapamatovatelná hesla nebo jsou nuceni je často měnit, příliš často si je zapisují tam, kde jsou na očích. Když jsou lidé nuceni měnit svá hesla, často udělají jen malou a předvídatelnou změnu svých stávajících hesel nebo nové brzy zapomenou.

Současné vědecké poznatky zpochybňují validitu mnoha zavedených postupů bezpečnosti hesel, jako jsou pravidla pro vypršení platnosti hesla, a místo toho poukazují na lepší alternativy, jako je seznam zakázaných hesel a vícefaktorové ověřování uživatele.

When humans pick their own passwords, too often they are easy to guess or predict. When humans are assigned or forced to create passwords that are hard to remember, too often they’ll write them down where others can see them. When humans are forced to change their passwords, too often they’ll make a small and predictable alteration to their existing passwords, and/or forget their new passwords.

Recent scientific research calls into question the value of many long-standing password-security practices such as password expiration policies, and points instead to better alternatives such as enforcing banned-password lists and multi-factor authentication.

Microsoft tak navazuje na nová doporučení NIST z roku 2017. Zatím ale nepřistoupil k výrazné změně všech výchozích pravidel bezpečností politiky: „Naše výchozí pravidla jsou koncipována tak, aby je většina organizací mohla použít bez větších změn.“ Zdůrazňuje ale, že politika hesel musí být součástí širší bezpečností politiky.

Expirace hesla nedává smysl, jen zvyšuje riziko

Microsoft nově vyřadil expiraci hesla z výchozího nastavení: „Expirace hesel je obstaróžní a překonaná technika, která přináší velmi malé zvýšení bezpečnosti a myslíme, že nemá místo ve výchozím nastavení,“ uvedli vývojáři. Zdůvodňují to několika argumenty.

Nutí vás ke změně hesla?

Pošlete svým správcům sítě tento článek, třeba změní názor

Slíbit to ale nemůžeme...

V prvé řadě je třeba se ptát, k čemu vlastně expirace měla sloužit. Měla povzbudit uživatele k tomu, aby nezůstávali dlouho u jednoho hesla, což mělo snížit pravděpodobnost, že nějaký útočník použije uniklé heslo a získá neoprávněný přístup. Pokud je ale heslo dobře vybrané a nedojde k jeho vyzrazení, není třeba jej měnit. „A pokud máte důvod se domnívat, že bylo heslo odcizeno, nebudete přece čekat na to, až platnost hesla vyprší,“ připomíná Aaron Margosis, autor blogového příspěvku Microsoftu.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Napsat si heslo na papírek?

Za druhé ukazuje, k čemu v praxi častá změna hesla vede: lidé si často měněná nepamatují. Namísto bezpečných hesel tak volí zapamatovatelné (a tedy často méně bezpečné) alternativy, hesla si píšou na papírek nebo za původní heslo připíšou nějaký znak, aby se systém nažral a paměť zůstala celá.

Výchozí nastavení navíc často slouží jako podklad pro bezpečností audit firmy. Pokud tedy byla výchozí hodnota expirace hesla 60 dní a organizace vyžadovala změnu hesla „jen“ jednou za 365 dní, mohla za to dostat v bezpečnostním auditu negativní hodnocení. Přitom na reálnou bezpečnost to nemělo vliv. „Tím, že odstraníme požadavek na expiraci hesla, organizace si mohou zvolit, co nejlépe vyhovuje jejich potřebám,“ uzavírá Microsoft. „Ale musíme znovu zdůraznit, že silně doporučujeme další opatření a zabezpečení.

Co naopak pomáhá: dvoufaktorové zabezpečení, zakázaná hesla

Když tedy k lepší bezpečnosti nevede vynucená změna hesla, co by měli místo toho administrátoři sítě dělat? Následující rady vycházející z nových doporučení NIST a jsou celkem jednoduché:

  1. Nechtějte po uživatelích, aby jejich heslo mělo „alespoň jednu číslici, jeden speciální znak a jedno velké písmeno“ nebo něco podobného. Místo toho vyžadujte heslo, které není na seznamu známých hesel, což lze ověřit kontrolou při změně hesla
  2. Vzdělávejte své uživatele ohledně toho, jak zacházet s hesly. Především zdůrazněte nutnost jedinečných hesel (nepoužívat stejné heslo na různých místech) a doporučte jim případně nástroj na správu hesel. Můžete je odkázat na náš Návod na zacházení s hesly.
  3. Využijte dvoufaktorové ověření, kdekoli je to možné a vhodné
  4. Nastavte práva přístupů tak, aby napadení jednoho účtu nemělo katastrofální následky pro celou firmu
Doporučení NIST ohledně Elektronické autentizace (2017)
Doporučení NIST ohledně Elektronické autentizace (2017)

Nová doporučení NIST ohledně hesel z roku 2017

Je jasné, že hláška „musíte si změnit heslo“ nezmizí ze dne na den. Firmy mají své postupy a nemohou jen tak ze dne na den změnit bezpečnostní politiku. Nebuďte tedy překvapeni, pokud se vaše upozornění na nové doporučení nesetká s pochopením.

Časem ale toto i tomuto přežitému bezpečnostnímu opatření vyprší platnost.

Autor:

50. výročí přistání na Měsící

Americký kosmický let Apollo 11 splnil svoji misi 20. července 1969. Na povrch Měsíce jako první člověk vstoupil velitel posádky Neil Armstrong. Doprovázel jej Edwin "Buzz" Aldrin, zatímco Michael Collins zůstal na palubě vesmírné lodi.

Téma Apollo 11 v článcích Technet.cz:
O čem si povídali kosmonauti Apolla 11. Poslechněte si tisíce hodin „ticha“
Co kdyby Apollo 11 zůstalo na Měsíci? Pohřbili by je přes rádio zaživa
Vlajky na Měsíci stále stojí. Podívejte se na důkaz ze sondy LRO

Nejčtenější

Chyběl necelý metr. Parašutisté nekopali v kryptě obležené nacisty marně

Radarový průzkum krypty v únoru 2019

Po 77 letech od atentátu na Heydricha se podařilo prokázat existenci průchozí stoky před kostelem sv. Cyrila a Metoděje...

Zelené peklo Normandie. Problém odhalených spodků vyřešil seržant Culin

Digitálně kolorovaná dobová fotografie lehkého tanku M5 Stuart s improvizovanou...

Během detailního plánovaní vylodění v Normandii a prvních fází následného postupu do nitra Francie se zapomnělo na...

Některé nejlevnější notebooky nedoporučí ani výrobce. Vyzkoušeli jsme je

Test nejlevnějších notebooků

Na rčení „nejsem tak bohatý, abych kupoval levné věci“ zákazníci často zapomínají. Otestovali jsme proto šest levných...

Odstartovala nejsilnější raketa světa. Nese desítky satelitů a plachetnici

SpaceX poslala do vesmíru Falcon Heavy 25.6.2019 v 8:30 našeho času. Na palubě...

V úterý 25. června ráno v 8:30 našeho času znovu odstartovala nejsilnější raketa současnosti, Falcon Heavy. Vynesla...

Smrt nad Kanálem. Zahynuli při letecké nehodě, StB je obvinila z emigrace

V 70. letech 20. století se na obloze potkávaly rozmanité typy letadel, jak...

Kanál La Manche je tichým svědkem desítek nouzových přistání i zřícení letadel. Zahynuli zde českoslovenští hokejisté i...

Další z rubriky

Programy a aplikace, které z PC nebo smartphonu udělají čtečku e-knih

Ilustrační foto - e-knihy

Čtečka elektronických knih je sice ideální řešení pro konzumaci knih v digitální podobě, ale lze k tomu využít i...

Software zdarma: ovládání rychlosti myši a jasu monitoru z panelu

Ilustrační foto - notebook

Program KeepMouseSpeedOK umožňí nastavit rychlost kurzoru myši na jeden klik a Win10 BrightnessSlider zase snadno...

iTunes končí. Pro „jablíčkáře“ povinnou aplikaci nahradí tři nové

Česká verze iTunes store

Po osmnácti letech v pondělí skončil program, bez kterého se svého času neobešel žádný iPod. iTunes. Pro některé...

Najdete na iDNES.cz