🔐 О регулярном форсировании смены паролей
В сентябре Microsoft
объявила о наступлении беспарольного будущего (на самом деле - о возможности
удалить пароль в MSA). В анонсе были любопытные результаты опроса пользователей:
🔹 15% включают в пароли имена домашних питомцев
🔹 10% применяют одинаковые пароли на разных сайтах (как-то подозрительно мало :)
🔹 40% используют в пароле некую формулу с вариациями при смене (например, Fall2021 → Winter2021 → Spring2022)
Я уверен, что последний пункт весьма актуален и популярен у сотрудников организаций, форсирующих смену пароля каждые 3-4 месяца. Я и сам примерно так делаю 😊 Не выдумывать же каждый раз абсолютно новый пароль, который надо вводить много раз в день.
ℹ️ Это не секрет ни для кого в индустрии, где весьма авторитетным органом является NIST, национальный институт технологий и стандартов США. И еще в марте 2020 года в гайдлайнах цифровой аутентификации
800-63B появилось любопытное изменение.
👉 В разделе 10.2.1 написано (в моем вольном переводе). Не требуйте периодической смены паролей, если только пользователь сам не попросил об этом либо есть сведения о компрометации механизма аутентификации.
Регулярная смена пароля защищает от сценария, когда злоумышленник узнал пароль. Принуждая пользователя сменить пароль, мы делаем это знание бесполезным через несколько месяцев. Однако с учетом популярности предсказуемых паттернов, злоумышленнику не составит труда подобрать новый пароль на основе старого. Поэтому NIST и не видит смысла в регулярной смене паролей.
📊 Ваша организация заставляет вас менять пароли каждые несколько месяцев?
🙄 - Да
😀 - Нет
🤷♂️ - Не мой случай / другое
