Błędne przekonanie

Tradycyjna teoria mówi, że ​​jeśli hasła są często zmieniane, pasywny atakujący nie ma większego dostępu do naszych informacji.

Nie jest to prawdą z wielu powodów, w tym z prostego faktu, że atakujący działa aktywnie a nie przechodzi w stan uśpienia. Na przykład haker, który ma dostęp do twoich danych bankowych, nie będzie czekał; natychmiast przeleją pieniądze z twojego konta bankowego i będzie to zauważalne. W takiej sytuacji nie ma sensu regularnie zmieniać danych uwierzytelniających, ale najważniejsze jest, aby zmienić je jak najszybciej po uzyskaniu informacji o utracie.

Inną wadą częstych zmian haseł jest to, że utrudniają one ich zapamiętanie. Co więcej, jeśli wymuszane są regularne zmiany haseł, ludzie częściej wybierają hasła, które są łatwiejsze do zapamiętania i odgadnięcia, niż gdyby mogli używać tych samych haseł przez dłuższy czas. Zachęca to również ludzi do korzystania z technik, takich jak zapisywanie haseł na karteczkach samoprzylepnych lub w dziennikach, co prowadzi do większego ryzyka utraty lub złamania tych haseł.

Nowe standardy

Zgodnie z wytycznymi NIST i NCSC nie ma najlepszego czasu na resetowanie hasła. A najważniejsze jest skupienie się na zmianie hasła natychmiast po naruszeniu oraz korzystanie z uwierzytelniania wieloskładnikowego (MFA) i usług zarządzania hasłami, jeśli są dostępne. Te wytyczne opierają się na rozsądnych praktykach. Przecież nie zmieniałbyś zamków w swoim domu co trzy miesiące, ale zrobiłbyś to, gdy ktoś się włamie.

Istnieją pewne sytuacje, w których czas trwania resetowania hasła jest niezbędny do zachowania zgodności z określonymi normami, takimi jak ISO 27001 i NIST 800-53. W innych przypadkach przydatne byłoby użycie menedżerów haseł. Dzięki menedżerom haseł możesz generować hasła, które nie są łatwe do odgadnięcia, można je zapisać i wymusić określony czas trwania poprzez wygaśnięcie hasła.

Inną dobrą funkcją oferowaną przez menedżerów haseł jest MFA, które działa przy użyciu zasadniczo różnych metod potwierdzania Twojej tożsamości, zwykle z trzema klasycznymi czynnikami: 

• coś, co wiesz (wiedza),
• coś, co masz (posiadanie)
• i coś, czym jesteś (dziedziczenie) . 

Dobrze zbudowane MFA wykorzystują dwa lub więcej z tych unikalnych czynników, takich jak hasło (wiedza) plus odcisk palca (inherencja) lub hasło (wiedza) plus hasło jednorazowe w aplikacji mobilnej, aby udowodnić posiadanie telefonu.

Posiadanie wielu czynników utrudnia działania atakującym, ponieważ udany atak wymaga wielu miejsc interakcji. Aktywne monitorowanie haseł, które zostały naruszone, to kolejna ważna funkcja. Daje pewność, że wiesz, czy którekolwiek z Twoich haseł zostało naruszone w wyniku wycieku danych przez jakąkolwiek usługę, z której korzystasz.

Aplikacje, które pomagają w zarządzaniu hasłami i utrzymaniu optymalnego bezpieczeństwa

Zoho Vault oferuje funkcje mające na celu ochronę użytkowników. Wbudowany generator haseł pozwala tworzyć hasła o dowolnej wymaganej złożoności i automatycznie je zapisywać. Zoho Vault ma również opcję ustawienia alertów wygaśnięcia dla tych użytkowników, którzy muszą okresowo resetować hasła. Kolejną oferowaną funkcją jest uwierzytelnianie dwuskładnikowe w postaci tymczasowych OTP (TOTP) dla haseł. Vault oferuje również funkcję wykrywania naruszeń haseł; Vault wyszukuje wszystkie Twoje hasła, które mogły zostać naruszone w wyniku naruszenia hasła.

Za każdym razem, gdy Twoje hasło do konta zostanie naruszone, Vault powiadomi Cię o konieczności zmiany lub aktualizacji tego hasła. Baner alertu będzie widoczny, dopóki nie zresetujesz poświadczeń. Ponadto za pośrednictwem pulpitu nawigacyjnego Vault umożliwia identyfikowanie i usuwanie słabych i ponownie używanych haseł z konta dzięki dostosowanym statystykom bezpieczeństwa wyświetlanym na pulpicie nawigacyjnym.

Jeśli chcesz dowiedzieć się więcej o korzyściach, jakie Ty lub Twoja organizacja możecie odnieść z używania menedżera haseł, skontaktuj się z naszymi ekspertami Zoho Vault, aby uzyskać więcej informacji o produkcie i wersję demonstracyjną.