Rotacija lozinki: zastarjela praksa
Dugogodišnja istraživanja pokazuju da su korisnici, kada su prisiljeni povremeno mijenjati svoje lozinke, skloniji koristiti lozinke koje su nesigurne i predvidljive. Također, istraživanja pokazuju da nakon što napadač sazna jednu verziju lozinke koja se periodično mijenja, prilično lako može pogoditi koja će biti i sljedeća lozinka.
Dodatno, rezultati raznih anketa upućuju na to da korisnici koji znaju da će morati promijeniti lozinku, ne odabiru jake lozinke i vjerojatnije je da će te lozinke zapisati na neki medij poput papira.
Stoga su rezultati rotacije lozinki zamor korisnika, smanjena produktivnost, manje sigurne lozinke i na kraju loša sigurnosna praksa kao što je njihovo zapisivanje u nekriptiranom obliku.
Taj problem je Nacionalni institut za standarde i tehnologiju (NIST) prepoznao još 2009. i nedavno ponovio: dok su mehanizmi isteka lozinke "korisni za smanjenje utjecaja nekih kompromitacija lozinki", oni su "neučinkoviti za druge situacije" i "često izvor frustracije za korisnike.” NIST je naglasio da su drugi aspekti politike zaporki, uključujući zahtjeve za duljinu i složenost zaporke važniji. NIST sada izričito navodi da IT administratori "NE BI SMJELI zahtijevati da se memorirane tajne (op.a. lozinke) mijenjaju proizvoljno (npr. povremeno)".
Nadalje, svaka shema rotacije lozinki zahtijeva od IT-a da pošalje obavijesti o skorom isteku lozinke, pozivajući ih da je ponovno postave. Upravo se takve poruke često koriste u phishing napadima kako bi se početno ušlo u mrežu organizacije. Korisnici koji dobivaju takve poruke zapravo će biti manje oprezni i skloni su klikati na linkove za ponovno postavljanje lozinke, lažne ili stvarne, smanjujući tako sposobnost zaposlenika da se odupru phishing napadima. I tako će svaki pokušaj obuke za podizanje svijesti o sigurnosti biti potkopan povremenim resetiranjem lozinki.
U konačnici, argument protiv lozinki odnosi se na promjene u tehnologiji: konvencionalna mudrost jednostavno više nije primjenjiva u svijetu u kojem je multifaktorska provjera autentičnosti (MFA) sveprisutna, a krađa identiteta najpopularnija tehnika za dobivanje neovlaštenog pristupa - brzodjelujući akteri sigurno neće biti spriječeni politikom promjene lozinki u intervalu od 90 dana. Činjenica jest da su lozinke već neko vrijeme zastarjele.
Nastavno na to, Microsoft već neko vrijeme snažno savjetuje protiv rotacija lozinki. Napr. njihovo rješenje Microsoft Secure Score ocjenjuje sigurnosne kontrole organizacija koje koriste Microsoft365, te daje bolju ocjenu i bolje sigurnosno stanje organizacije, ako je rotacija lozinki onemogućena u Microsoft365 okruženju.
U svojoj dokumentaciji Microsoft navodi da "zahtjevi za istek lozinke čine više štete nego koristi, jer ti zahtjevi tjeraju korisnike da odaberu predvidljive lozinke, sastavljene od uzastopnih riječi i brojeva koji su blisko povezani jedni s drugima. U tim slučajevima, sljedeća lozinka može se predvidjeti na temelju prethodne lozinke. Zahtjevi za istek lozinke ne nude nikakve prednosti zaustavljanja napada jer kibernetički kriminalci gotovo uvijek koriste kredencijale trenutačno tj. čim ih kompromitiraju".
Uzimajući u obzir sve ovo, nadamo se da će IT administratori i IT menadžeri zauzeti proaktivniji pristup kod usvajanja MFA i eliminirati zastarjelu praksu rotiranja lozinki.
Iznimka će biti neke tvrtke u industriji platnih kartica, gdje najnoviji PCI DSS 4.0 i dalje zahtijeva promjenu lozinki najmanje jednom svakih 90 dana (za pružatelje usluga, tj. tvrtke koje dijele podatke o vlasniku kartice s trećom stranom). Nadamo se da će Vijeće za sigurnosne standarde industrije platnih kartica (eng. Payment Card Industry Security Standards Council) to ponovno razmotriti u budućnosti i ostaviti ovu praksu u prošlosti.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
