Konečně! Další velký hráč tvrdí, že pravidelná změna hesel je nesmyslem

3. 5. 2019

Sdílet

 Autor: Fotolia © Artem Gorohov
Pravidelná změna hesel působí víc škody než užitku. Microsoft mění svá léta zavedená bezpečnostní doporučení.

Microsoft vydal prohlášení, ve kterém firmám radí, aby své zaměstnance nenutili měnit si heslo každé dva měsíce. Tuto praktiku společnost označila za zastaralou a poukázala na jiné, efektivnější, způsoby zabezpečení.

„Pravidelná expirace hesel je zastaralé a překonané zabezpečení, které už dnes nemá velký význam,“ uvedl Aaron Margosis, bezpečnostní konzultant Microsoftu. V nejnovějších pokynech pro optimální zabezpečení Windows 10 proto Microsoft upouští od doporučení častého měnění hesel – v předchozích vydáních byla doporučována doba 60 dní (v minulosti dokonce 90) coby ideální interval pro pravidelnou změnu hesel.

Margosis si navíc všímá, že doporučované bezpečnostní standardy jsou firmami často chybně interpretovány, a podotýká, že pouhé měnění hesel nemůže být samo o sobě dostatečným.

„Lepší opatření však nelze shrnout do univerzálního souboru pravidel,“ upozorňuje. Lepšími opatřeními přitom myslí například dvoufázové ověření nebo vyvarování se slabých, potažmo neoriginálních hesel.

Microsoft přitom není první, kdo zavedené bezpečnostní zvyklosti zpochybňuje. Už před dvěma lety se s podobnou argumentací ozval National Institute of Standards and Technology spadající pod americké Ministerstvo obchodu, byť ve své dokumentaci termín „hesla“ nahradil pojmem „pamatovatelné tajné informace“.

„Uživatelé mají tendenci vybírat si slabé pamatovatelné tajné informace, jestliže vědí, že je budou muset v brzké době změnit. Když k této změně dojde, často si volí informaci, která je podobná té staré, jen změněná jednoduchým způsobem, jako je například navýšení číslovky v heslu.“

Jak NIST tak Microsoft apelují na firmy, ať resetují hesla až tehdy, existuje-li důkaz, že byla prolomena nebo jinak zneužita.

„Pokud však k ničemu takovému nedošlo, není důvod heslo měnit,“ uvádí Margosis. Jeho tezi podporuje též John Pescatore ze SANS Institutu zaměřeného na kyberbezpečnost: „Nutit zaměstnance ke změně hesla v určitých intervalech ve finále působí víc škody než užitku. Už jen proto, že stoupá počet těch, kteří svá často měněná hesla zapomínají.“

ICTS24

V další části svých aktualizovaných bezpečnostních pokynů pro Windows 10 Microsoft upouští také od pravidel šifrovacího nástroje BitLocker. Zatímco dosud doporučoval nejsilnější možné šifrování, aktuálně uvádí, že není nutné.

„Naši experti tvrdí, že v dohledné budoucnosti nehrozí, že by 128-bit šifrování bylo prolomeno,“ vysvětluje Margosis.