Miért csak rontja a biztonságot a gyakori jelszómódosítás?

2024 Szerző: Malcolm Clapton | [email protected]. Utoljára módosítva: 2023-12-17 03:59

A gyakori jelszóváltoztatást az egyik leghatékonyabb adatvédelmi módszernek nevezik. Azonban nem minden olyan egyszerű, mint mondják. Miért - olvassa el cikkünket.

Valószínűleg legalább egyszer kapott egy e-mail-értesítést, amelyben azt tanácsolták, hogy változtassa meg jelszavát. Általában félévente egyszer érkeznek ilyen levelek a postai szolgálatoktól és a vállalati hálózatok rendszergazdáitól. És itt van egy választás: kövesse a „legjobban ismerők” tanácsát, és változtassa meg a jelszót, vagy hagyja figyelmen kívül a követelményt, és hagyjon mindent úgy, ahogy van. A második mellett szólnak a brit titkosszolgálatok, amelyek feladatai közé tartozik az elektronikus hírszerzés és a hadsereg információvédelme.

Május 7-én, a Nemzetközi Jelszavak Napja alkalmából a Kormányzati Kommunikációs Parancsnokság (GCHQ) egyik részlegének képviselői felvilágosítást adtak ki, hogy miért ne változtasson túl gyakran jelszót.

A biztonsági politika általában csak összetett jelszavak használatára kötelez bennünket, amelyeket nehéz kitalálni és ennek megfelelően megjegyezni. A jelszavaknak a lehető leghosszabbnak és véletlenszerűnek kell lenniük. Egy-egy ilyen jelszó páros kezelésére eléggé képesek vagyunk, de ha tucatokra megy a pontszám, akkor a helyzet ellenőrizhetetlenné válik.

Kommunikációs elektronikai biztonsági csoport CESG

A helyzetet súlyosbítja, hogy a régi jelszót nem használhatjuk tovább, még akkor sem, ha az megfelel a legmagasabb biztonsági követelményeknek. Ebben az esetben az ember nem filozofál ravaszul, és nem a legmegfontoltabb módon cselekszik:

1. Létrehoz egy új jelszót, kissé módosítva a régit. A támadók kihasználhatják ezt a rést. Ha már ismerték az előző jelszót, akkor valószínűleg nem lesz nehéz újat találniuk. Ráadásul a felhasználók gyakran maguk is elfelejtik az új jelszót, ami kényelmetlenséggel, időveszteséggel és termelékenységgel jár.
2. Gyengíti a régi kombinációt. Az emberek szándékosan egyszerűsítik új jelszavaikat, hogy megfelelően becsomagolják őket az elméjükben. A nagybetűk, a speciális karakterek és számok a kés alá esnek. Persze ettől a felhasználó csak veszít.
3. Felírja új jelszavát papírra, és szinte szabadon elérhetővé teszi. Nyilvánvaló, hogy ez a viselkedés teljesen megöli az eljárás lényegét.

„Ez egy paradoxon: minél gyakrabban kényszerülünk jelszavak megváltoztatására, annál sebezhetőbbek vagyunk. Első pillantásra teljesen ésszerűnek tűnik a jelszavak lehető leggyakrabban történő megváltoztatása, de a gyakorlat azt mutatja, hogy ez nem így van” – összegeznek biztonsági szakértők.

Természetesen az olvasottak elolvasása után ne hanyagoljon el minden jelszómódosítási kérést. Például nem hagyhatja figyelmen kívül az olyan jelentős adatvédelmi incidenseket, mint amilyen 2013-ban az Adobe-fiókokkal történt. Ilyenkor új jelszót kell kitalálni, és esetleg emojiból összeállítani: azt mondják, ez még biztonságosabb.

Az eredeti cikkhez fűzött kommentekben az egyik olvasó annak a véleményének adott hangot, hogy a kormányzati szolgálatok szándékosan engedik be az ilyen kacsákat, hogy elaltatják a tömegek éberségét. A számítás egyszerű: a már feltört fiókokat nem kell újra megnyitni (elvégre ipari méretekben). Valaki támogatta ezt az ötletet, de valaki azt tanácsolta a riasztónak, hogy vegyen be egy pirulát az egyetemes összeesküvésből.

Mit gondol, érdemes-e megváltoztatni a jelszavát, ha az biztonságos, és nincs jele illetéktelen hozzáférésnek a fiókjához?