;

Microsoft IT administrátorům: pozor na „zastaralé“ praktiky resetování hesel (2)

3. 5. 2019
Doba čtení: 2 minuty

Sdílet

 Autor: Fotolia © xiaoliangge
Microsoft obrátil a tvrdí, že nutit uživatele k pravidelnému restartu hesel v předem nastavených časových intervalech nefunguje tak, jako ostatní bezpečnostní varianty.

Předchozí díl

Před dvěma lety podobně argumentoval americký Národní institut standardů a technologie (NIST), odnož tamního ministerstva obchodu, který tehdy snižoval význam pravidelné změny hesel. „Ověřovatelé by neměli vyžadovat svévolnou (například periodickou) změnu memorovaných tajemství,“ napsal NIST v dokumentu často kladených dotazů (FAQ) ke směrnicím digitální identity z června 2017.

Institut tehdy vysvětloval, proč jsou povinné změny hesel špatný nápad: „Uživatelé mají tendenci volit si slabší memorovaná tajemství [čili hesla, pozn. red.], když vědí, že je v blízké budoucnosti budou muset změnit. Když se tyto změny udějí, často si zvolí tajemství [heslo] podobné jejich starému memorovanému tajemství [zapamatovanému heslu], využitím souboru běžných změn, jako je navýšení čísla v heslu.“

NIST i Microsoft organizace vybízejí k tomu, aby vyžadovaly reset hesel tehdy, když existují důkazy o tom, že hesla byla ukradena nebo jiným způsobem zkompromitována. A pokud se jich nikdo nedotkl? „Jestliže není heslo ukradeno, není důvod ho zneplatňovat,“ tvrdí Margosis z Microsoftu.

ICTS24

„Stoprocentně souhlasím s logikou Microsoftu pro podniky, které jsou právě těmi, kdo stejně používá skupinová pravidla,“ říká John Pescatore, ředitel pro nově vznikající bezpečnostní trendy ve společnosti SANS Institute. „Nutit všechny zaměstnance, aby si v nějaké určené době povinně měnili hesla, téměř nevyhnutelně způsobuje více zranitelností, jež se objevují v procesu resetu hesel (protože zde nyní dochází k častým prudkým nárůstům těch uživatelů, kteří zapomínají svoje hesla), což riziko zvyšuje více, než je ho onen nucený reset hesla schopen snížit.“

Zdroj: Computerworld.com