В продължение на години корпоративните ИТ отдели и „най-добрите практики“ за сигурност са ни натрапвали един и същ набор от правила: създайте сложна парола, сменяйте я на всеки 90 дни и никога не я записвайте. Изненадващ нов анализ от How-To Geek обаче разкрива, че точно този съвет е една от най-големите уязвимости в съвременната киберсигурност.
Според анализа политиката за „90-дневна ротация“, някога златен стандарт за дигитална хигиена, се е превърнала в основен инструмент за хакерите. Като принуждават потребителите да променят паролите, които най-накрая са запомнили, организациите неволно обучават служителите си да създават по-слаби, по-предсказуеми пароли, които компютърен скрипт може да отгатне за секунди.
Едно от най-големите погрешни схващания е идеята, че постоянната смяна на пароли подобрява безопасността. На практика потребителите, принудени да актуализират паролите редовно, са склонни да правят само малки корекции – като например добавяне на число или промяна на един символ. Тези модели са лесни за отгатване от нападателите, особено със съвременни автоматизирани инструменти.
По подобен начин, стремежът към изключително сложни пароли – пълни със символи, главни букви и произволни знаци, често води до друга непредвидена последица: хората записват пароли или ги използват повторно в множество акаунти. И двете поведения увеличават уязвимостта, особено ако един акаунт е компрометиран.
Докладът подчертава и феномен, известен като „умора от сигурността“. Когато мерките за сигурност станат неудобство, потребителите спират да ги възприемат като защита и започват да ги виждат като препятствия, които трябва да бъдат заобиколени. Това води до опасно поведение, като например писане на пароли на лепящи се листчета или използване на една и съща „базова“ парола за всеки акаунт.
В проучване, цитирано от Националния център за киберсигурност (NCSC) на Обединеното кралство, потребителите, страдащи от умора от сигурността, са значително по-склонни да разменят своите идентификационни данни за тривиална награда, просто защото вече не ценят парола, за която знаят, че така или иначе ще изтече след няколко седмици.
Ако старите правила са опасни, какви са новите? Експертите по киберсигурност сега се застъпват за подход „задай го и го забрави“, при условие, че първоначалната парола е дълга, произволна и се управлява от специален мениджър на пароли.
Новият златен стандарт е ключът за достъп (Passkey). За разлика от традиционната парола, passkey използва „криптография с публичен ключ“, за да свърже устройството ви с уебсайт. Няма текстов низ, който да запомните и следователно няма нищо, което хакер да може да открадне или да познае. В комбинация с многофакторно удостоверяване (MFA), това създава стратегия за защита в дълбочина, която не разчита на човешка памет или предвидими модели.
Въпреки че много хора вече са преминали към пароли за личния си живот, анализът отбелязва разочароващ „двоен стандарт“ на работното място. Много корпоративни ИТ отдели все още са заседнали в манталитета от 2005 г. за принудителна ротация.
За мнозина това означава да се отучат от навици, които някога са се смятали за най-добри практики. Честата смяна на пароли, прекомерната сложност и зависимостта единствено от паметта отстъпват място на по-дългите пароли, мениджърите на пароли и многопластовите мерки за сигурност.













Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари