Mítosz vagy fontos? Jó ötlet egy-két havonta jelszót cserélni?
Ősi és elavult módszer, ha a vállalat arra kényszeríti dolgozóit, hogy bizonyos időközönként cseréljék le jelszavaikat. Ezt nem egy elégedetlen munkavállaló állítja, hanem maga a Microsoft. Ez azért is érdekes, mert az egyik legnagyobb technológiai vállalatként – amely ráadásul vállalati környezetben különösen domináns szereplő – a redmondi cég éveken át sulykolta a rendszergazdákba, erőltessék az általuk felügyelt gépeken és hálózatokon a rendszeres jelszócserét.
Ám aki most felcsapja a vállalat Microsoft 365 online szolgáltatásához kiadott jelszóházirend-javaslatokat, meglepődve tapasztalhatja, hogy már egészen másról szól a fáma. A cég elismeri, hogy „léteznek gyakran használt jelszókezelési gyakorlatok”, de rögtön hozzáteszi, hogy időközben kimutatták, hogy ezek számos hátránnyal járhatnak. A Microsoft elismeri, hogy
a jelszóelévülési követelményei több kárt okoznak, mint jó, mivel ezek a követelmények kiszámítható jelszavakat választanak ki, amelyek egymást követő szavakból és számokból állnak, amelyek szorosan kapcsolódnak egymáshoz. Így a következő jelszó könnyen kitalálható az előző jelszó ismeretében.
A vállalat tájékoztatójából az is kiderült, hogy a jelszólejárati követelmények nem biztosítanak elszigetelési előnyöket, mivel a számítógépes bűnözők szinte mindig hitelesítő adatokat használnak, amint feltörik őket.
Mindez nem újdonság azoknak, akik nemcsak a húsz évvel ezelőtti rendszergazda-tanfolyamhoz vásárolt tankönyvből tájékozódnak, hanem rajta tartják mutatóujjukat a kiberbiztonsági világ lüktető ütőerén. Az Egyesült Államok Szövetségi Kereskedelmi Bizottságának (FTC) munkájában részt vevő Lorrie Cranor technológiai szakértő már 2016-ban a kötelező jelszómódosítás eltörlésére hívta fel a figyelmet, hivatkozva néhány tudományos tényre.
Az amerikai Purdue Egyetem információbiztonsági kutatóközpontjában már 2006-ban feszegetni kezdték a kötelező jelszócsere hatékonyságát. Az Észak-Karolinai Egyetem kutatói néhány évvel később, 2010-ben tették közzé tanulmányukat, melyben olyan egyetemi felhasználókat vizsgáltak, akiknek 3 havonta le kellett cserélniük jelszavaikat. Csupán azáltal, hogy a felhasználók korábban használt jelszavaiból megkaptak egy 4–15 karakteres részleteket – azok hosszától függően, tehát a rövidebbekből kisebb részlethez jutottak a tudósok –, képesek voltak feltörni a jelszavak 60 százalékát.
Az egyetemi vizsgálat során a kutatók algoritmusa egy korábbi jelszó alapján képes volt a fiókok 17 százalékának jelenlegi jelszavát kitalálni.
Mindennek fényében már nem is az a kérdés, a Microsoft miért állítja, hogy az időközönkénti kötelező jelszómódosítás káros. Hanem az: 12 évvel a szóban forgó kísérlet és több évvel a Microsoft-ajánlás frissítése után
hogyan lehetnek még rendszergazdák, akik néhány havonta erőltetik a cserét?
