Častá změna hesel prý škodí zabezpečení
4.8.2016, Jan Vítek, aktualita
Lorrie Cranor z Carnegie Mellon University a Federální obchodní komise se vyjádřila k tématu častých změn hesel, což znají především zaměstnanci. Dle ní je takový požadavek pro bezpečnost škodlivý, než aby ji zlepšoval.
Obvyklým požadavkem správců počítačových sítí je periodická změna uživatelských hesel. Od uživatelů se tak požaduje, aby si i několikrát do roka změnili heslo, to si pamatovali a přitom používali vedle malých a velkých písmen i speciální znaky. To vše se dělá z přesvědčení, že častá změna hesel napomůže tomu, aby se nakonec někde neprozradila. Na to se nyní zaměřila expertka Federální obchodní komise Lorrie Cranor, která působí také na Carnegie Mellon University jako vyučující. V rozhovoru pro Ars Technica uvedla, že i když častá změna hesel může mít jistý pozitivní účinek, v důsleku může také bezpečnost zhoršit. To však jako obvykle závisí především na lidském faktoru.
Není ale třeba být bezpečnostní expert na to, abychom si uvědomili, proč může být častá změna hesel špatná pro zabezpečení. Stačí mít s tím své zkušenosti a vědět, jak lidé na takový požadavek často reagují. Lorrie Cranor ale má k dispozici také závěry studie Univerzity v Severní Karolíně. Ta využila hashe z 10.000 již zrušených účtů, jejichž majitelé si museli každé tři měsíce změnit heslo, přičemž získaná data se týkala všech hesel, jež byla postupně použita.
Analýzou těchto dat byly identifikovány velice podobné způsoby, jimiž si uživatelé měnili hesla. Někdo si například zvolil pro začátek heslo "tarheels#1", které poprvé změnil na "tArheels#1", podruhé na "taRheels#1" a tak dále. Někdo jiný by zase toto heslo dle svého stylu změnil na "tarheels#11", pak na "tarheels#111", popřípadě na "tarheels#2", "tarheels#3", atd. Závěrem studie bylo uvedeno, že pokud je někdo nucen měnit si heslo tak často, je pravděpodobné, že využije podobný vzor a v podstatě jen mírně transformuje staré heslo v nové. A zde je problém. Není totiž složité vytvořit algoritmus, který bude takové změny předvídat a přijde s pravděpodobným nástupcem starého hesla, což se na univerzitě podařilo prý s pozoruhodnou mírou úspěšnosti.
Požadavek na častou změnu hesel tak dle závěrů studie má mizivý pozitivní dopad na bezpečnost a na druhé straně vzniká nebezpečí, že si uživatel vytvoří heslo, které je slabé a postupné změny je už nevylepší. To podpořila také nezávislá studie z Carleton University. Hlasy proti častým změnám hesel jsou tak stále silnější a už dříve se tak vyjádřil americký National Institute of Standards and Technology a také britská agentura CESG. Díky Lorrie Cranor toto stanovisko zastává i Federální obchodní komise, kde se už pracuje na tom, aby si uživatelé nemuseli hesla povinně měnit. Na druhou stranu je praxe s častými změnami hesel hluboce zakořeněna a pro její odpůrce bude těžké proti ní bojovat.
Zdroj: Ars Technica
Není ale třeba být bezpečnostní expert na to, abychom si uvědomili, proč může být častá změna hesel špatná pro zabezpečení. Stačí mít s tím své zkušenosti a vědět, jak lidé na takový požadavek často reagují. Lorrie Cranor ale má k dispozici také závěry studie Univerzity v Severní Karolíně. Ta využila hashe z 10.000 již zrušených účtů, jejichž majitelé si museli každé tři měsíce změnit heslo, přičemž získaná data se týkala všech hesel, jež byla postupně použita.
Analýzou těchto dat byly identifikovány velice podobné způsoby, jimiž si uživatelé měnili hesla. Někdo si například zvolil pro začátek heslo "tarheels#1", které poprvé změnil na "tArheels#1", podruhé na "taRheels#1" a tak dále. Někdo jiný by zase toto heslo dle svého stylu změnil na "tarheels#11", pak na "tarheels#111", popřípadě na "tarheels#2", "tarheels#3", atd. Závěrem studie bylo uvedeno, že pokud je někdo nucen měnit si heslo tak často, je pravděpodobné, že využije podobný vzor a v podstatě jen mírně transformuje staré heslo v nové. A zde je problém. Není totiž složité vytvořit algoritmus, který bude takové změny předvídat a přijde s pravděpodobným nástupcem starého hesla, což se na univerzitě podařilo prý s pozoruhodnou mírou úspěšnosti.
Požadavek na častou změnu hesel tak dle závěrů studie má mizivý pozitivní dopad na bezpečnost a na druhé straně vzniká nebezpečí, že si uživatel vytvoří heslo, které je slabé a postupné změny je už nevylepší. To podpořila také nezávislá studie z Carleton University. Hlasy proti častým změnám hesel jsou tak stále silnější a už dříve se tak vyjádřil americký National Institute of Standards and Technology a také britská agentura CESG. Díky Lorrie Cranor toto stanovisko zastává i Federální obchodní komise, kde se už pracuje na tom, aby si uživatelé nemuseli hesla povinně měnit. Na druhou stranu je praxe s častými změnami hesel hluboce zakořeněna a pro její odpůrce bude těžké proti ní bojovat.
Zdroj: Ars Technica
