Заставляя пользователей часто менять свои пароли, вы можете снизить уровень защищенности систем, предупреждает британское агентство по информационной безопасности Communication-Electronics Security Group (CESG), входящее в состав органа надзора UK Government Communications Headquarters (GCHQ).
Большинство администраторов требуют, чтобы пользователи ИТ-систем периодически меняли свои пароли — каждые 30, 60 или 90 дней. Однако большого смысла в этом нет, поскольку, как отмечают в CESG, украденные пароли обычно используются злоумышленниками сразу же.
Объясняя причины, по которым организациям рекомендуется отказаться от практики давления на пользователей по поводу необходимости частной смены паролей, представители CESG указывают на то, что мы все перегружены паролями: в большинстве случаев политики организации парольной защиты требуют от нас использовать трудно запоминаемые пароли — как можно более длинные и состоящие из случайного набора символов.
«Мы в состоянии с этим справиться, если используем всего несколько паролей, но это совершенно невозможно, если в своей онлайн-жизни приходится использовать десятки паролей», — говорится в опубликованном CESG сообщении.
Если все же пользователей заставляют менять пароли, в большинстве случаев они выбирают либо что-то слегка отличающееся от предшествующего варианта, либо уже используемый где-либо еще, либо более слабый, чем был до того. Этим могут воспользоваться злоумышленники, считают в CESG: если у атакующих есть старый пароль, они зачастую могут довольно легко определить новый.
В случае регулярной смены паролей повышается вероятность того, что их будут где-то записывать (дополнительная уязвимость) или просто забывать, что приводит к снижению производительности труда и дополнительной нагрузке на службу поддержки пользователей, которой придется назначить новый пароль.
«Это один из тех случаев в области безопасности, когда вместо ожидаемого эффекта достигается обратный: чем чаще пользователей вынуждают менять пароли, тем выше общая уязвимость перед атаками. Оказывается, то, что казалось совершенно разумной и укоренившейся практикой, на самом деле не оправдывает себя», — утверждают в CESG.
Отказ от практики установления сроков действия паролей снижает уровень уязвимостей, обусловленных частой сменой паролей, при лишь незначительном повышении рисков в связи с длительным их использованием, добавляют в CESG.
По мнению агентства, чтобы предотвратить использование скомпрометированных паролей, целесообразнее наладить мониторинг действий, выполняемых под логинами пользователей, для выявления необычного их поведения и своевременного предупреждения пользователей о выполняемых под их логинами нетипичных операциях. Это позволит пользователям сообщить о несанкционированных ими действиях.
CESG не одиноко в своем призыве отказаться от частой смены паролей. Лори Кранор, главный технолог Федеральной торговой комиссии США, недавно высказала аналогичную точку зрения: «Исследования говорят о том, что практика частой смены паролей неудобна пользователям и раздражает их, не принося того эффекта в обеспечении безопасности, на который прежде рассчитывали, и может даже привести к тому, что пользователи будут мене строго соблюдать правила безопасности».