Przestań zmieniać hasła co kilka miesięcy - oto powód

Zaleca się, by hasła zmieniać regularnie i często, ale jak się okazuje taka praktyka nie jest obecnie wskazana. Eksperci od dłuższego czasu mówią wprost: częsta zmiana haseł nie tylko nie poprawia bezpieczeństwa, ale w wielu przypadkach może je wręcz pogorszyć. Kluczowe jest coś innego - jakość hasła i sposób, w jaki jest ono używane.

Zmiana podejścia nastąpiła kilka lat temu, gdy amerykański instytut NIST, czyli jedna z najważniejszych instytucji ustalających standardy bezpieczeństwa cyfrowego, opublikowała nowe wytyczne dotyczące logowania. W dokumencie jasno stwierdzono, że nie należy wymuszać okresowej zmiany haseł, jeśli nie ma dowodów na ich wyciek lub przejęcie.

Częsta zmiana hasła nie ma sensu

W praktyce oznacza to jedno. Jeśli dane hasło jest mocne i nikt go nie zna, nie ma sensu zmieniać go „profilaktycznie” co trzy czy sześć miesięcy. Według ekspertów taka praktyka prowadzi głównie do tworzenia słabszych haseł, bo użytkownicy zaczynają iść na łatwiznę.

Długość ważniejsza niż kombinacje znaków

Przez lata serwisy internetowe radziły, jak stworzyć silne hasło. Wielka litera, mała litera, cyfra, znak specjalny i najlepiej jeszcze brak powtórzeń. W teorii miało to zwiększać bezpieczeństwo. W praktyce okazało się, iż ludzie mają ogromny problem z zapamiętywaniem takich haseł.

Zmiana podejścia nastąpiła kilka lat temu, gdy amerykański instytut NIST, czyli jedna z najważniejszych instytucji ustalających standardy bezpieczeństwa cyfrowego, opublikowała nowe wytyczne dotyczące logowania. W dokumencie jasno stwierdzono, że nie należy wymuszać okresowej zmiany haseł, jeśli nie ma dowodów na ich wyciek lub przejęcie.

Eksperci zwracają uwagę, iż znacznie ważniejsza od skomplikowanych reguł jest długość hasła. Długie hasło lub całe zdanie jest trudniejsze do złamania niż krótki ciąg znaków z kilkoma symbolami. Mimo to wiele usług nadal ogranicza maksymalną długość hasła, co stoi w sprzeczności z aktualnymi zaleceniami.

Jeden problem, setki haseł

Teoretycznie najbezpieczniej byłoby zapamiętać każde hasło i nigdy go nigdzie nie zapisywać. W praktyce to nierealne. Większość osób ma dziesiątki, a nawet setki kont. Próba trzymania tego wszystkiego w głowie kończy się fiaskiem. Tak samo ich ręczne zapisywanie nie ma większego sensu. Dodatkowy błąd, który ułatwia robotę cyberprzestępcom to używanie jednego hasła do każdego konta.

Dlatego dziś najlepszym rozwiązaniem pozostają menedżery haseł. Pozwalają one generować długie oraz unikalne hasła dla każdej usługi, a użytkownik musi zapamiętać tylko jedno główne hasło. To podejście jest zgodne z aktualnymi zaleceniami ekspertów i instytucji zajmujących się cyberbezpieczeństwem.

Dodatkowe zabezpieczenia zamiast częstych zmian

W nowszych wytycznych podkreśla się też rolę dodatkowych zabezpieczeń. Chodzi między innymi o uwierzytelnianie dwuskładnikowe, blokowanie kont po wielu nieudanych próbach logowania czy wykrywanie bardzo popularnych, słabych haseł. To wszystko realnie podnosi poziom bezpieczeństwa, w przeciwieństwie do wymuszania regularnych zmian.

Ciekawym przykładem jest też funkcja „pokaż hasło” podczas logowania. Według ekspertów ryzyko, że ktoś podejrzy hasło przez ramię, jest minimalne, a możliwość sprawdzenia wpisanego tekstu zmniejsza liczbę błędów.

Dlaczego wciąż musimy zmieniać hasła

Mimo zmiany podejścia, wiele firm i instytucji nadal wymusza regularną zmianę haseł. Dotyczy to zwłaszcza banków oraz środowisk korporacyjnych. Powód jest prosty - strach przed wyciekami danych. Statystyki pokazują, że ogromna część naruszeń bezpieczeństwa wciąż wynika ze słabych lub powtarzanych haseł.

Problem polega na tym, iż systemy często nie rozróżniają złych haseł od dobrych. Nawet jeśli użytkownik stworzy wyjątkowo silne hasło, i tak zostanie zmuszony do jego zmiany po kilku miesiącach. Na to zwykły użytkownik nie ma większego wpływu.