Porada Microsoftu szokuje: nie trzeba często zmieniać haseł
Microsoft zasugerował, by wyłączyć wymuszanie zmiany hasła. A przecież wielu ekspertów twierdzi, że hasło powinno się co jakiś czas zmieniać. Podpowiadamy, czy należy się do tych porad dostosować i jak stworzyć silne hasło.
Jeden z czytelników portalu Niebezpiecznik zauważył, że Microsoft zachęca do braku regularnej zmiany haseł. W usłudze Office 365 hasła domyślnie wygasają co 90 dni, co oznacza, że użytkownik musi po tym czasie wymyślać nowe zabezpieczenie. To dobrze?
Niekoniecznie. A przynajmniej tak twierdzi nie tylko Microsoft - który zachęca do wyłączenia komunikatu zachęcającego do zmiany hasła - ale też Narodowy Instytut Standaryzacji i Technologii. Niebezpiecznik przypomniał, że według organizacji NIST nie powinno się na użytkownikach regularnie (np. co miesiąc) wymuszać zmiany haseł.
Dlaczego? Mówiąc wprost: bo to ich rozleniwia. Skoro co jakiś czas trzeba zmieniać hasło, to kreatywność w ich wymyślaniu spada. Tym bardziej, gdy wymaga tego od nas wiele serwisów i usług. Nie ma szans, że zapamięta się wszystkie nowe i skomplikowane kombinacje, więc… wpisuje się jak najprostsze, by mieć problem z głowy. Zapewne dlatego wśród najpopularniejszych haseł w 2017 roku znajdziemy takie jak “123456”, “111111”, “qwerty”, “polska”, imię + rok urodzenia, imię żony, męża lub dziecka.
Właśnie dlatego, jeżeli ktoś ma sprawdzone, skomplikowane i trudne do złamania hasło, to zmuszanie go do zmiany jest błędną decyzją. Można więc powiedzieć, że wszystko zależy od użytkowników.
Jakie jest więc najlepsze wyjście? Wydaje się jednak, że skuteczniejszą obroną jest skomplikowane hasło, którego nie będzie się zbyt często zmieniać. Jak je stworzyć? Specjaliści do spraw bezpieczeństwa sugerują używanie haseł-zdań (ang. pass-phrase) zamiast haseł-słów. Np. hasło typu: „NiesłychanieZielonyParasol”, jest dużo łatwiejsze do zapamiętania i prawie niemożliwe do złamania metodą typu brute force. Jeśli fraza składa się z przypadkowych wyrazów to jest też mocno zabezpieczona przed atakiem słownikowym, w którym atakujący wykorzystuje popularnie używane hasła lub dane samej ofiary. Żeby jeszcze bardziej zwiększyć poziom bezpieczeństwa hasła-zdania można dorzucić kilka znaków specjalnych i cyfr.
Tam gdzie jest to możliwe, warto włączyć weryfikację dwuetapową i informowanie, gdy logowanie nastąpi z nieznanego urządzenia. Należy też uważać na strony phishingowe, które mogą podawać się za oficjalne serwisy i pamiętać, by nigdy nikomu nie podawać swoich danych potrzebnych do logowania. Przede wszystkim nie należy stosować tego samego hasła do wielu stron. W przypadku wycieku z jednego portalu, stracić możemy znacznie więcej: bo za pomocą hasła, z którego korzystamy wszędzie, przestępcy przejmą też konta na portalu społecznościowym, poczcie czy banku. Straty mogą być więc poważne.
Eksperci do spraw bezpieczeństwa radzą również, by używać menadżera haseł, jeśli sami nie jesteśmy w stanie wymyślić wielu trudnych kombinacji.
- Taki program nie tylko potrafi wygenerować skomplikowane, trudne do odgadnięcia hasła, ale również jest w stanie w bezpieczny sposób je przechowywać. Warto podkreślić, że niektóre antywirusy mają funkcję menadżera haseł, ponadto potrafią chronić użytkowników przed działaniem keyloggerów – programów, które wychwytują wpisywane w przeglądarkę dane. Dzięki takim zabezpieczeniom jesteśmy w stanie chronić nasze dane logowania i korzystać z Internetu w sposób bezpieczny – tłumaczył Kamil Sadkowski z ESET.