Miksi toistuva salasanan vaihto vain vahingoittaa turvallisuutta

2024 Kirjoittaja: Malcolm Clapton | [email protected]. Viimeksi muokattu: 2023-12-17 03:55

Toistuvaa salasanan vaihtoa kutsutaan yhdeksi tehokkaimmista tavoista suojata tietoja. Kaikki ei kuitenkaan ole niin suoraviivaista kuin he sanovat. Miksi - lue artikkelimme.

Olet todennäköisesti saanut ainakin kerran sähköposti-ilmoituksen, jossa sinua kehotettiin vaihtamaan salasanasi. Pääsääntöisesti tällaiset kirjeet tulevat postipalveluilta ja yritysverkkojen ylläpitäjiltä puolivuosittain. Ja tässä syntyy valinta: seuraa "parhaiten tietävän" neuvoja ja vaihda salasana tai jätä vaatimus huomioimatta ja jätä kaikki ennalleen. Toisen puolesta puhuvat Britannian tiedustelupalvelut, joiden tehtäviin kuuluu sähköinen tiedustelu ja armeijan tietoturva.

Toukokuun 7. päivänä, kansainvälisen salasanapäivän yhteydessä, hallituksen viestintäkeskuksen (GCHQ) yksikön edustajat antoivat selvennyksen, miksi salasanaa ei kannata vaihtaa liian usein.

Yleensä turvallisuuspolitiikka velvoittaa meidät käyttämään vain monimutkaisia salasanoja, joita on vaikea arvata ja vastaavasti muistaa. Salasanojen tulee olla mahdollisimman pitkiä ja mahdollisimman satunnaisia. Pystymme hallitsemaan pari tällaista salasanaa, mutta kun pisteet nousevat kymmeniin, tilanne muuttuu hallitsemattomaksi.

Communications Electronics Security Group CESG

Tilannetta pahentaa se, että emme saa jatkaa vanhan salasanan käyttöä, vaikka se täyttäisi korkeimmat turvallisuusvaatimukset. Tässä tapauksessa henkilö ei filosofoi ovelasti eikä toimi järkevimmällä tavalla:

1. Luo uuden salasanan muokkaamalla hieman vanhaa. Hyökkääjät voivat hyödyntää tätä aukkoa. Jos he tiesivät jo edellisen salasanan, heidän ei todennäköisesti ole vaikeaa löytää uutta. Lisäksi käyttäjät usein unohtavat uuden salasanan itse, mikä aiheuttaa haittoja, ajanhukkaa ja tuottavuutta.
2. Heikentää vanhaa yhdistelmää. Ihmiset yksinkertaistavat tietoisesti uusia salasanojaan pakatakseen ne oikein mieleensä. Isot kirjaimet, erikoismerkit ja numerot jäävät veitsen alle. Tietysti käyttäjä vain häviää tästä.
3. Kirjoittaa uuden salasanansa paperille ja jättää sen lähes vapaasti saataville. Ilmeisesti tämä käyttäytyminen tappaa kokonaan menettelyn koko pisteen.

”Tämä on paradoksi: mitä useammin joudumme vaihtamaan salasanoja, sitä haavoittuvampia olemme. Ensi silmäyksellä vaikuttaa täysin järkevältä vaihtaa salasanoja mahdollisimman usein, mutta käytäntö osoittaa, että näin ei ole”, turvallisuusasiantuntijat päättävät.

Kun olet lukenut lukemasi, sinun ei tietenkään pidä laiminlyödä kaikkia salasanan vaihtopyyntöjä. Et voi esimerkiksi sivuuttaa suuria tietomurtoja, kuten se, joka tapahtui vuonna 2013 Adobe-tileillä. Tällaisissa tapauksissa sinun on keksittävä uusi salasana ja mahdollisesti laadittava se emojista: he sanovat, että tämä on vielä turvallisempaa.

Alkuperäisen artikkelin kommenteissa yksi lukijoista ilmaisi mielipiteen, että valtion palvelut päästävät tarkoituksella tällaisia ankkoja tuudittaakseen joukkojen valppautta. Laskenta on yksinkertainen: jo hakkeroituja tilejä ei tarvitse avata uudelleen (teollisen mittakaavan loppujen lopuksi). Joku tuki tätä ajatusta, mutta joku neuvoi hälytystekijää ottamaan pillerin yleisestä salaliitosta.

Mitä mieltä olette, kannattaako salasanan vaihtaminen, jos se on suojattu eikä tililläsi ole merkkejä luvattomasta käytöstä?