Добавить в корзинуПозвонить
Найти в Дзене
Technique
46 подписчиков

Перестаньте менять пароли каждые 90 дней

13
4 мин
Почему принудительная регулярная смена паролей вредит безопасности, и что делать вместо этого (например, внедрение passphrases и мониторинг утечек). Одно из самых старых и незыблемых правил кибербезопасности, вбитое в голову каждому сотруднику с момента появления первого корпоративного аккаунта, звучало просто: «Меняйте свой пароль каждые 90 дней». Это считалось признаком добросовестности и высшей формой цифровой гигиены. Современные исследования и практика показывают, что принудительная регулярная смена сложных паролей не укрепляет, а ослабляет безопасность. Этот непопулярный совет давно устарел и приносит больше вреда, чем пользы. Требование частой смены паролей основано на ложном предположении, что злоумышленник будет годами подбирать ваш пароль методом грубой силы. Реальность гораздо прозаичнее и опаснее. Подавляющее большинство утечек происходит из-за фишинга, уязвимостей на сайтах или баз данных украденных логинов, а не из-за подбора. Вот что происходит на практике, когда вы заст
Оглавление

Почему принудительная регулярная смена паролей вредит безопасности, и что делать вместо этого (например, внедрение passphrases и мониторинг утечек).

Одно из самых старых и незыблемых правил кибербезопасности, вбитое в голову каждому сотруднику с момента появления первого корпоративного аккаунта, звучало просто: «Меняйте свой пароль каждые 90 дней». Это считалось признаком добросовестности и высшей формой цифровой гигиены.

Современные исследования и практика показывают, что принудительная регулярная смена сложных паролей не укрепляет, а ослабляет безопасность. Этот непопулярный совет давно устарел и приносит больше вреда, чем пользы.

Почему эта система сломана? Психология против безопасности

Требование частой смены паролей основано на ложном предположении, что злоумышленник будет годами подбирать ваш пароль методом грубой силы. Реальность гораздо прозаичнее и опаснее. Подавляющее большинство утечек происходит из-за фишинга, уязвимостей на сайтах или баз данных украденных логинов, а не из-за подбора.

Вот что происходит на практике, когда вы заставляете пользователей менять пароли по календарю:

  1. Предсказуемость и шаблоны. Пользователи не изобретают каждый раз новый, уникальный и сложный пароль. Они используют предсказуемые шаблоны. Пароль эволюционирует по схеме: MyPassword2024! -> MyPassword2024!1 -> MyPassword2024!2. Злоумышленник, узнав одну из предыдущих версий, с легкостью предположит следующую.
  2. Снижение сложности. Осознавая, что пароль - явление временное, пользователи теряют мотивацию создавать по-настоящему надежные комбинации. Они выбирают то, что можно быстро вспомнить и ввести, жертвуя энтропией.
  3. Проклятие «забытого пароля». Постоянные смены приводят к тому, что пользователи начинают записывать пароли на стикерах. хранить в незашифрованных файлах или использовать один и тот же пароль для нескольких сервисов, чтобы не запутаться. Это создает критические точки отказа.
  4. Огромные издержки. Каждая принудительная смена пароля ведет к потерям времени, звонкам в службу поддержки и снижению общей продуктивности. Безопасность, которая мешает работе, приводит к тому, что сотрудники начинают ее обходить.

Вывод: Вы не защищаетесь от умного взломщика. Вы боретесь с человеческой природой - и проигрываете.

Что делать вместо этого? Стратегия разумного парирования

Отказ от архаичного правила - не призыв к расслабленности. Это переход к более умным и эффективным мерам.

  1. Внедряйте Passphrase (парольные фразы). Забудьте о паролях с заглавными буквами, цифрами и символами, которые невозможно запомнить. Будущее за passphrase. Что это? Длинная фраза, состоящая из 4-6 и более случайных, несвязанных между собой слов. Пример: Космос-Ананас-Велосипед-Гравитация! Почему это работает? Длина — это новая сложность. Такую фразу невероятно сложно подобрать методом грубой силы, даже без специальных символов. Легко запомнить. Осмысленный (хотя и абсурдный) образ, созданный фразой, запоминается мозгом лучше, чем P@ssw0rd123. Устойчивость к предсказуемости. Случайная комбинация слов не следует шаблонам, в отличие от инкрементных паролей.
  2. Принудительно используйте менеджеры паролей. Единственный способ использовать по-настоящему уникальные и сложные пароли для каждого сервиса - это делегировать их запоминание менеджеру паролей (Bitwarden, 1Password и т.д.). Главный пароль от менеджера должен быть той самой надежной passphrase. Для всех остальных сервисов генерируйте длинные, случайные строки символов, которые вам даже не нужно знать или запоминать.
  3. Включите многофакторную аутентификацию (MFA/2FA) везде. Это важнейший шаг, который делает сам пароль менее критичным. Даже если ваш пароль будет скомпрометирован, злоумышленник не сможет войти без второго фактора (телефон, аппаратный ключ, приложение-аутентификатор). Требуйте включения MFA для всех критичных сервисов, от почты до банковских аккаунтов.
  4. Внедрите мониторинг утечек данных. Ваша безопасность не должна зависеть от того, насколько хорошо вы охраняете свой пароль. Она должна зависеть от того, как быстро вы реагируете, когда он уже украден. Используйте сервисы вроде Have I Been Pwned или встроенные проверки в менеджерах паролей и браузерах. Настройте оповещения о том, что ваш email или логин появились в новых утечках. Ваша новая политика: Меняйте пароль не по расписанию, а только в случае утечки.

Пора отправить в отставку один из самых живучих мифов кибербезопасности. Принудительная смена паролей каждые 90 дней — это «безопасность театра», которая создает видимость активности, но не решает реальных проблем.

Перестаньте бороться с человеческой памятью. Начните работать с ней в союзе. Переход на passphrase, повсеместное использование менеджеров паролей, обязательное внедрение MFA и проактивный мониторинг утечек - вот современная стратегия, которая действительно защищает от реальных, а не гипотетических угроз.

Ваша безопасность станет сильнее, когда вы перестанете делать то, что бесполезно.

Безопасность и правопорядок
95,2 тыс интересуются