Rotacija lozinki: zastarjela praksa
Godine istraživanja pokazuju da kada su korisnici prisiljeni periodično mijenjati svoje lozinke, skloniji su korištenju lozinki koje su nesigurne i predvidljive. Također, istraživanja pokazuju, da nakon što napadač sazna jednu verziju lozinke koja se periodično mijenja, prilično lako može pogoditi koja će biti i sljedeća lozinka.
Također, rezultati različitih anketa sugeriraju da korisnici koji znaju da će morati promijeniti lozinku, ne biraju jake lozinke i vjerojatnije je da će te lozinke zapisati na neki medij poput papira.
Stoga su rezultati rotacije lozinki zamor korisnika, smanjena produktivnost, manje sigurne lozinke i na kraju loša sigurnosna praksa kao što je njihovo zapisivanje u nekriptiranom obliku.
Taj problem je Nacionalni institut za standarde i tehnologiju (NIST) prepoznao još 2009. i nedavno ponovio: iako su mehanizmi isteka lozinke "korisni za smanjenje utjecaja nekih kompromitacija lozinki", oni su "nedjelotvorni za druge situacije" i "često izvor frustracije za korisnike.” NIST je naglasio da su drugi aspekti politike lozinki, uključujući zahtjeve za dužinu i složenost zaporke, važniji. NIST sada izričito navodi da IT administratori "NE BI SMJELI zahtijevati da se memorirane tajne (op.a. lozinke) mijenjaju proizvoljno (npr. periodično)".
Nadalje, svaka shema rotacije lozinki zahtijeva od IT-a da pošalje obavještenja kada će lozinka uskoro isteći, podstičući ih da je resetuju. Takve poruke se često koriste u phishing napadima da bi inicijalno dobili pristup mreži organizacije. Korisnici koji dobivaju takve poruke zapravo će biti manje oprezni i skloni su klikati na linkove za ponovno postavljanje lozinke, lažne ili prave, smanjujući tako sposobnost zaposlenika da se odupru phishing napadima. I tako će svaki pokušaj obuke za podizanje svijesti o sigurnosti biti potkopan povremenim resetiranjem lozinke.
Konačno, slučaj protiv lozinki odnosi se na promjenu tehnologije: konvencionalna mudrost jednostavno se više ne primjenjuje u svijetu u kojem je multifaktorska provjera autentičnosti (MFA) sveprisutna, a krađa identiteta najpopularnija tehnika za sticanje neovlaštenog pristupa - brzodjelujući akteri sigurno neće biti spriječeni politikom promjene lozinki od 90 dana. Činjenica je da su lozinke već neko vrijeme zastarjele.
Nastavno na to, Microsoft već neko vrijeme snažno savjetuje protiv rotacija lozinki. Njihovo rešenje Microsoft Secure Score ocjenjuje sigurnosne kontrole organizacije koje koriste Microsoft365, te daje bolju ocjenu i bolje sigurnosno stanje organizacije, ako je rotacija lozinki onemogućena u Microsoft365 okruženju.
U svojoj dokumentaciji Microsoft navodi da "zahtjevi za istek lozinke čine više štete nego koristi, jer ih ti zahtjevi primoravaju da biraju predvidljive lozinke, sastavljene od uzastopnih riječi i brojeva koji su usko povezani jedni s drugima. U tim slučajevima, sljedeća lozinka može se predvidjeti na temelju prethodne lozinke. Zahtjevi za istekom lozinke ne nude nikakve prednosti zadržavanja jer kibernetički kriminalci gotovo uvijek koriste kredencijale trenutačno tj. čim ih kompromitiraju".
Imajući sve ovo na umu, nadamo se da će IT administratori i lideri zauzeti proaktivniji pristup usvajanju MFA-a i eliminisati zastarjelu praksu rotiranja lozinki.
Izuzetak će biti neke kompanije u industriji platnih kartica, gde najnoviji PCI DSS 4.0 i dalje zahteva promjenu lozinki najmanje jednom svakih 90 dana (za pružaoce usluga, odnosno kompanije koje dele podatke o vlasniku kartice sa trećom stranom). Nadamo se da će Vijeće za sigurnosne standarde industrije platnih kartica (eng. Payment Card Industry Security Standards Council) to ponovno razmotriti u budućnosti i ostaviti ovu praksu u prošlosti.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
