Wymuszanie regularnej zmiany haseł jest czasem konieczne, ale przesadzanie z tą praktyką może zaszkodzić. Ci, od których wymaga się częstej zmiany hasła, wybierają hasła prostsze i zmieniają je wedle przewidywalnych reguł.

Ludzie idą na skróty

Tak uważa Lorrie Cranor z amerykańskiej Federalnej Komisji Handlu (FTC), wykładająca na Carnegie Mellon University. Cranor opisała na stronie FTC badania przeprowadzone na University of North Carolina (w Chapel Hill). Badacze pozyskali ponad 51 tys. hashy haseł do 10 tys. nieaktywnych kont studentów i pracowników, na których wymuszano zmianę hasła co 3 miesiące.

Po użyciu łamaczy haseł, odzyskano 60% haseł z czego dla 7,7 tys. kont udało się pozyskać przynajmniej jedno hasło niebędące ostatnim hasłem dla danego konta. Te “nieostatnie” hasła wykorzystano w kolejnym etapie badania — badacze opracowali metody łamania haseł oparte na poprzednich hasłach danego użytkownika. Przeprowadzono analizę sposobu tworzenia nowych haseł, która wykazała pewne przewidywalne wzorce zachowań tzw. transformacje:

Ludzie nierzadko szli na skróty i tworząc nowe hasło zwiększali jakąś liczbę, zmieniali litery na podobne symbole (np. S na $) dodawali lub usuwali znaki specjalne, zmieniali porządek cyfr lub znaków specjalnych.

Przykładowo ludzie potrafią zmieniać hasło poprzez zmianę numerka odpowiadającego miesiącowi. Hasło “0gi3r-1” stosowane w styczniu może być w marcu zmienione na “0gi3r-3“. Ułatwia to oczywiście zapamiętanie hasła, ale również jego przewidzenie.

Takie podejście w “zgadywaniu” haseł zastosował Alladyn2 podczas włamania na rządowe serwery 4 lata temu.

Koniec końców, badacze ustalili, że dla 17% kont znajomość poprzedniego hasła pozwalała na zgadnięcie kolejnego hasła w mniej niż 5 próbach.

Inne badania

Nowsze badania tego problemu przeprowadzono na Carleton University. W tym przypadku badacze również zwrócili uwagę nie tylko na przewidywalność kolejnych haseł, ale także na nieskuteczność zmiany haseł w przypadku niektórych rodzajów ataków (np. z użyciem keyloggera). Ostatecznie badacze z Carleton dochodzą do wniosku, że:

prawdziwe korzyści z wymuszania zmiany haseł nie rekompensują wystarczająco związanych z tym uciążliwości.

Są też badania mówiące o tym, że ludzie zmuszani do częstej zmiany haseł po prostu unikają tworzenia silnych haseł. Nie chodzi więc o to, że samo wymuszanie zmiany haseł jest obiektywnie złe. Ono jest teoretycznie korzystne, ale działanie czynnika ludzkiego obniża te korzyści.

image_8.png

Sprawa do przemyślenia

To wszystko nie oznacza, że należy rezygnować z wymuszania zmiany haseł. Wnioski nakazują raczej przemyśleć sposób stosowania tej praktyki. Trzeba się zastanowić nad częstotliwością wymuszania zmian, albo nad łączeniem wymuszeń z zachęcaniem użytkowników do utworzenia silnego hasła. Być może należałoby zastosować mechanizmy wymuszające tworzenie haseł wyraźnie odmiennych od starego?

Z pewnością nie będzie dobrym pomysłem całkowita rezygnacja ze zmiany haseł, szczególnie po wyciekach lub kradzieżach. W tym kontekście polecamy zajrzeć do naszego tekstu o zarządzaniu incydentami bezpieczeństwa informacji w przedsiębiorstwie.

Na koniec, jak zwykle polecimy KeePassa, lub ogólniej, jakikolwiek program typu “manager haseł”, który pozwala użytkownikowi na “zapomnienie” wszystkich haseł (poza tym do managera), zajmuje się ich generowaniem i dba o to, aby dla każdego serwisu były one różne (a to jest najważniejsze!).

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *