Rotacija lozinki: zastarela praksa
Godine istraživanja pokazuju da kada su korisnici primorani da periodično menjaju svoje lozinke, skloniji su da koriste lozinke koje su nesigurne i predvidljive. Također, istraživanja pokazuju, da nakon što napadač sazna jednu verziju lozinke koja se periodično menja, može prilično lako da pogodi koja će biti sledeća lozinka.
Takođe, rezultati različitih anketa sugerišu da korisnici koji znaju da će morati da promene svoje lozinke ne biraju jake lozinke i verojatnije je da će te lozinke zapisati na nekom medijumu kao što je papir.
Prema tome, rezultati rotacije lozinki su zamor korisnika, smanjena produktivnost, manje bezbedne lozinke i na kraju loša bezbednosna praksa kao što je njihovo zapisivanje u nešifrovanom obliku.
Problem je prepoznao Nacionalni institut za standarde i tehnologiju (NIST) još 2009. i nedavno je ponovio: iako su mehanizmi isteka lozinke "korisni za smanjenje uticaja nekih kompromisa lozinki", oni su "neefikasni za druge situacije" i "često izvor frustracije za korisnike.” NIST je naglasio da su drugi aspekti politike lozinki, uključujući zahteve za dužinu i složenošću zaporke, važniji. NIST sada posebno navodi da IT administratori "NE TREBA da zahtevaju da se memorirane tajne menjaju proizvoljno (npr. periodično)".
Štaviše, bilo koja šema rotacije lozinki zahteva od IT-a da šalje obavještenja kada će lozinka uskoro isteći, podstičući ih da je resetuju. Takve poruke se često koriste u phishing napadima da bi inicijalno dobili pristup mreži organizacije. Korisnici koji dobivaju takve poruke zapravo će biti manje oprezni i skloni su kliknuti na linkove za ponovno resetovanje lozinke, lažne ili stvarne, čime se smanjuje sposobnost zaposlenih da se odupru phishing napadima. I tako će svaki pokušaj obuke za podizanje svesti o bezbednosti biti potkopan povremenim resetovanjem lozinke.
Konačno, slučaj protiv lozinki odnosi se na promenu tehnologije: konvencionalna mudrost jednostavno više ne važi u svetu u gde je multifaktorska provjera autentičnosti (MFA) sveprisutna, a krađa identiteta najpopularnija tehnika za dobijanje neovlaštenog pristupa - brzodelujući akteri sigurno neće biti sprečeni politikom promene lozinki od 90 dana. Činjenica je da su lozinke već neko vrijeme zastarele.
Pored toga, Microsoft je izričito savetovao protiv rotacija lozinki. Njihovo rešenje Microsoft Secure Score ocenjuje bezbednosne kontrole organizacije koje koriste Microsoft365 i daju bolji rezultat i bolje bezbednosno držanje organizaciji, ako je njihova rotacija lozinki onemogućena.
U svojoj dokumentaciji Microsoft navodi da "zahtevi za istekom lozinke čine više štete nego koristi, jer ovi zahtevi primoravaju korisnike da biraju predvidljive lozinke, sastavljene od uzastopnih reči i brojeva koji su usko povezani jedni s drugima. U tim slučajevima, sledeća lozinka može biti predviđena na osnovu prethodne lozinke. Zahtevi za istekom lozinke ne nude nikakve prednosti zadržavanja jer sajber kriminalci skoro uvek koriste kredencijale čim su kompromitovani".
Imajući sve ovo na umu, nadamo se da će IT administratori i lideri imati proaktivniji pristup usvajanju MFA-a i eliminisati zastarelu praksu rotiranja lozinki.
Izuzetak će biti neke kompanije u industriji platnih kartica, gde najnoviji PCI DSS 4.0 i dalje zahteva promenu lozinki najmanje jednom svakih 90 dana (za provajdere usluga, odnosno kompanije koje dele podatke o vlasniku kartice sa trećim licima). Nadamo se da će Savet za bezbednosti industrije platnih kartica (eng. Payment Card Industry Security Standards Council) to ponovo razmotriti u budućnosti i ostaviti ovu praksu u prošlosti.