Cykliczna zmiana haseł – jak często i czy ma sens
Jak często wymuszacie zmianę haseł przez userów? Na papierze jest to super zgodne i pomaga z RODO czy normami ISO, ale czy ma to większy sens i jest bezpieczniejsze waszym zdaniem niż na przykład wymuszenie ustawienia silnego hasła złożonego z małych i dużych liter, cyfr i znaków specjalnych o długości powyżej 10 znaków?
Czy częsta zmiana haseł nie obniża potencjalnie ich jakości i tym samym bezpieczeństwa? Czy pracownicy nie stają się zniechęceni? A może odpuścić temat i skupić się na wdrożeniu 2FA – co dwa zabezpieczenia to nie jedno?
Udostępnij
17 Odpowiedzi
Zostaw odpowiedź
Musisz się zalogować lub zarejestrować aby dodać nowy odpowiedź.
U nas nie spotkałem się z tym w każdej firmie. Staramy się zbudować jedne solidne dla danego usera i by je zapamiętał (co graniczy z cudem :D). Takie wymuszanie zmiany haseł prowadzi za sobą sporo złych nawyków np. zapisywanie ich na kartce i przyklejanie na monitorze, gdzie np gdzie klienci się wałęsają po całym sklepie prowadzi do groźnego narażenia wycieku hasła 🙂 To tak tylko z mojej obserwacji.
2FA zdecydowanie dla połączeń VPN, zmiana haseł co 30 dni powoduje iż użytkownicy tworzą kolejne w oparciu o schemat, moim zdaniem 90 dni jest optymalne + blokowanie konta na okres 45 minut po 3 nieudanych próbach
Na uczelni spotkałem się z takim rozwiązaniem w przypadku poczty elektronicznej – blokowanie na 24h skrzynki po zablokowaniu konta błędnym hasłem x-razy, tudzież masowej wysyłki poczty (niestety serwer podczas przenoszenie masowo wiadomości między folderami, także rozpoznawał takowe zachowanie jako spamowanie…). Obecnie w szpitalu nie wyobrażam sobie, aby nagle jakiś lekarz tudzież pielęgniarka miała zablokowane konto przez 45 minut. Czy takie zachowanie jest zatem dopuszczalne w korporacjach? Zawsze wydało mi się, iż tam jest jeszcze większe parcie na wydajność i zysk…
Zbyt częste wymuszanie haseł powoduje, że użytkownicy dostawiają sobie do starego hasła jedynkę i przy kolejnym wymuszeniu zmiany wracają do starego hasła (chyba, że zapisujemy historię starych haseł, żeby uniemożliwić tą praktykę).
2FA może nieco upierdliwe dla użytkowników, ale znacznie zwiększa poziom bezpieczeństwa.
min 8 znaków, małe i duże litery + cyfry, wymusza co 30 dni, po trzech nieudanych blokada na 30 min, historia 24 haseł.
Oczywiście użytkownicy stosują schematy (no może nie wszyscy)
Zmiana hasła optymalnie według mnie co 90 dni. Historia do 10 haseł. Złożoność minimum 8 znaków w tym małe, duże litery, cyfry oraz znaki specjalne.
U nas zmiana co 30 dni, oczywiście polityka silnego hasła (8 znaków, duża litera, cyfra i znak specjalny). Historia zapamiętywania ostatnich 10 haseł. Co prawda na początku były problemy z zapominaniem nowych haseł ale jakoś teraz się unormowało 🙂
Również uważam, że zbyt częsta zmiana hasła jest szkodliwa dla tworzenia polityki mocnych haseł. Wydaje mi się że zmiana co 90 dni jest wystarczająca.
Sporo osób pisze, że ma zapamiętanie historii hasła nawet do 10 wstecz. OK, pytanie czy jest też ustawiony „Minimalny okres ważności hasła”, tak żeby użytkownik w ciągu jednego dnia nie mógł wrócić do swojego ulubionego i jedynego hasła.
U nas co 30 min. 8 znaków – oczywiście złożoność hasła – organizacja już się przyzwyczaiła i nie robią problemów – tym bardziej, że staramy się wszystkie autoryzacje opierać na AD
Pomyłka oczywiście co 30 dni zmiana hasła a nie co 30 min.
U mnie zmiana co 30 dni, pamięć 5 ostatnich haseł, 8 znaków, małe, duże, cyfry i specjalne wymagane.
Chociaż po ostatnich próbach łamania różnych haseł na AWS przez najmocniejsze możliwe do wykupienia maszyny wychodzi, że bezpieczne jest dopiero od 10 znaków.
Tak jak pisze większość 30 dni i hasło 8 – 10 znaków. Watro poczytać sobie best practices i wybrać najlepsze dla swoich potrzeb
30 dni wydaje się rozsądnym rozwiązaniem. Dodatkowo oczywiście obowiązkowa historia haseł. 2FA wydaje się świetne, tylko trzeba mieć na to środki…
A tak naprawdę całe to wymyślanie procedur zależy od pracowników – Pani Grażynka i tak będzie trzymać hasło zapisane w notesie a Pan Andrzej dodawał kolejne kropki do swojego ulubionego hasła.
2FA to juz nie są koszta. Google Authenticator można podłączyć do bardzo wielu rozwiązań, Azure MFA jest za darmo chyba już w każdej licencji (kiedyś był tylko dla adminów), jest też Cisco Duo i wiele droższych rozwiązań. Dla większej ochrony klucze sprzętowe.
Zmiana hasła co 90 czy 180 dni nie ma sensu. Ważniejsze jest monitorowanie, blokowanie po nieudanych próbach i wymuszanie MFA wszędzie gdzie się da i ochrona samego urządzenia, które jest tym MFA np. telefonu 6-cyfrowym PINem lub biometrią.
Ja stosuje regułę zmiany co 180 dni, minimum 10 znaków, hasła złożone (3 grupy znakowe) blokada na 10minut po 10 próbach.
Z tymi hasłami jest różnie, jedni mówią o 30 dniach, 45, jakieś badania naukowe potwierdzają że zmiana haseł jest zbędna bo człowiek najczęściej tylko zmienia kawałek, ja zastosowałem 60 dni w Urzędzie, duży ruch ludzi odwiedzających Urząd jest dla mnie uznany jako potencjalne zagrożenie.
Dodam od siebie… pracowałem i pracuje w różnych instytucjach państwowych i niestety wszyscy stosują 30 dni… Mimo, iż od kiedy mamy RODO to nie obowiązuje już rozporządzenie do starej ustawy o ochronie danych osobowych i nie ma formalnego wymogu stosowania tej procedury wynikającej wprost z przepisu prawa. Niestety siła przyzwyczajeń jest większa i TopAdmini decydujący o tych kwestiach nie widzą problemu. A problem jest, gdyż 99% haseł jest z nazwą miesiąca i rokiem… albo zapisane w „tajnym” zeszycie podpisanym dla niepoznaki „hasła” i leżący na biurku albo w szufladzie… najtrudniejsze to chyba karteczki przyklejone do spodu klawiatury.
Jeśli tylko mogę (opiekuje się także kilkoma mniejszymi firmami) to wdrażam:
1) szkolenie z haseł i konsekwencji dla uzytkownika i firmy
2) politykę właściwą…
3) ponawiam co roku szkolenia (nowi pracownicy… dla utrwalenia…)
system nie wymaga zmiany hasła, ale hasło musi być skomplikowane: min. 15 znaków, duże małe litery, cyfry i znaki specjalne.
po krótkim szkoleniu nikt nie zapisuje hasła! zmienia swoje prywatne hasła wg. zasad ze szkolenia – bo w końcu nie musi ich pamietać 🙂
Zasada tworzenia to – budowa zdania. Czyli np. hasło „Tomojehasłodokomputera123!”
oczywiście też można wspomagać użytkowników aplikacjami typu openpass…
szkolenie jest krótkie i poruszam na nim kilka kwestii świadomości i odpowiedzialności za hasło – nie ma zapisywania i przekazywania tego hasła koleżance bo jestem na urlopie… hasło jest czymś bardzo cennym dla firmy i stanowi o naszej lojalności dla niej… jeśli coś pójdzie nie tak, to nie tylko ja mogę stracic pracę ale wszyscy! … i tego typu informacje… bez straszenia odpowiedzialnością karną czy czym kolwiek – uświadamianie… + praktyczna nauka zmiany hasła przez każdego w dowolnym momencie bo zasada jest, że jeśli mamy podejrzenie, ze ktoś wszedł w posiadanie naszego hasła (podejrzał jak logujemy się) to zmieniamy to hasło… bez udziału administratora… czy czekania na kolejny miesiąc….