במקום לשנות את הסיסמאות שלך, שדרג אותן

מה מייצרסיסמה מעולה? משהו ארוך, משהו אקראי עםכל מיני דמויות- מספרים, סמלים ואותיות של כל המקרים - ובאופן אידיאלי, משהו שמגובה בושיטת אימות משנית. במילים אחרות, כך קל יותראַתָהכדי לזכור את הסיסמה שלך, כך קל יותר למישהו אחר לפצח אותה (באופן כללי).

אמנם זה צריך להיות הגיון בריא לכל מי שיש לואי פעם היה צריך ליצור סיסמה, ויששפע של כליםאתה יכול להשתמש כדי ליצור, לאחסן ולזכור סיסמאות נהדרות, יש אזהרה אחת קטנה לתהליך הזה שאולי לא חשבת עליה הרבה. באיזו תדירות כדאילְשַׁנוֹתהסיסמה שלך?

כנראה שחווית את זה בעבודה יותר מכל דבר אחר - איזו התראה מעצבנת או אימייל המודיעים לך שהגיע הזמן (שוב) לשנות את הסיסמה שלך. זה יכול להיות תהליך מסורבל, במיוחד אם אתה צריך ללכת ולעדכן את הסיסמה שלך במספר אפליקציות ומכשירים.

כפי שמתברר, כל התהליך הזה די מיותר. כל עוד יש לךסיסמה חזקה מלכתחילה, קיומו לא עושה את זהפָּחוֹתחָזָק. בפוסט בבלוג המפרט מדוע מיקרוסופט ביטלה את מדיניות תפוגת הסיסמה מהגדרות האבטחה הבסיסיות שלה עבור Windows 10 ו-Windows Server 2019, "חנון Windows" של מיקרוסופט ומומחה האבטחה אהרון מרגוסיסכתב:

"תפוגה תקופתית של סיסמה היא הגנה רק מפני ההסתברות שסיסמה (או hash) תיגנב במהלך מרווח התוקף שלה ותשמש גורם לא מורשה. אם סיסמה לעולם לא נגנבת, אין צורך לפקוע אותה. ואם יש לך הוכחות לכך שסיסמה נגנבה, יש להניח שתפעל מיד במקום לחכות לפקיעת תוקף כדי לתקן את הבעיה.

אם זה מובן מאליו שסביר להניח שסיסמה תיגנב, כמה ימים הוא פרק זמן מקובל להמשיך כדי לאפשר לגנב להשתמש בסיסמה שנגנבה? ברירת המחדל של Windows היא 42 ימים. זה לא נראה כמו הרבה זמן עד כדי גיחוך? ובכן, זה כן, ובכל זאת קו הבסיס הנוכחי שלנו אומר 60 יום - ונוהג לומר 90 יום - כי כפיית תפוגה תכופה מציגה בעיות משלה. ואם זה לא מובן מאליו שסיסמאות ייגנבו, אתה רוכש את הבעיות האלה ללא שום תועלת. יתרה מכך, אם המשתמשים שלך הם מהסוג שמוכן לענות על סקרים בחניון המחליפים חטיף ממתקים בסיסמאות שלהם, שום מדיניות תפוגת סיסמאות לא תעזור לך.

[...]

תפוגה תקופתית של סיסמה היא הפחתה עתיקה ומיושנת בעלת ערך נמוך מאוד, ואנחנו לא מאמינים שכדאי לקו הבסיס שלנו לאכוף ערך ספציפי כלשהו. על ידי הסרתו מקו הבסיס שלנו במקום המלצה על ערך מסוים או על חוסר תפוגה, ארגונים יכולים לבחור את מה שמתאים ביותר לצרכיהם הנתפסים מבלי לסתור את ההנחיות שלנו. יחד עם זאת, עלינו להדגיש כי אנו ממליצים בחום על הגנות נוספות למרות שלא ניתן לבטא אותן בקווי הבסיס שלנו".

אני נלהב1 סיסמהמשתמש - אוהב את זה - ואני מעריך את האופן שבו האפליקציה עושה מאמצים רבים כדי ליידע אותך מתי הסיסמאות שבהן אתה משתמש עשויות להיות לא בטוחות או שנפגעות אחרת. מה זהלאלעשות, בהתאם להצעות של מיקרוסופט, הוא לתת לך צער משום שהסיסמה שבה אתה משתמש היא בת x ימים (או בת x שנים).

עם זאת, ישאֶחָדסיבה חשובה לשינוי הסיסמאות שלך - בין אם זה תהליך מאולץ או תהליך שאתה מחליט לעשות בעצמך. אם אתה מסוג האנשים שלאלבדוק כדי לראותאם הסיסמאות שבהן אתה משתמשנפגעו, להמציא סיסמאות חדשות על בסיס קבוע הוא לפחות פתרון טוב להתמודדות עם סיסמאות חלשות יותר שעלולות להיות בחוץ.

לכך, אני מציע הצעה חלופית: במקוםמִשְׁתַנֶהאת הסיסמאות שלך לפי לוח זמנים שרירותי, אתה צריךשדרוגהסיסמאות שלך. אם אתה יוצר סיסמאות מושלם, כנראה שאתה לא צריך את השלב הזה. אבל אם אתה נורמלי, כמוני, ולפעמים אתה משתמש בסיסמאות חלשות יותר עבורשירותים חדשים שאתה מנסהמכיוון שאינך רוצה להיות מוטרד מלמשוך את מנהל הסיסמאות שלך ולזמן מפלצת של 22 תווים, עליך לתזמן זמן לבדוק ולשדרג את הסיסמאות המצומצמות שלך לאבטחות יותר.

זה סופר קל לעשות זאת אם אתה משתמש במנהל סיסמאות, מכיוון שאתה יכול פשוט לסרוק למטה את רשימת הסיסמאות השמורות ולהתחיל לעדכן כל דבר שהוא יוצא דופן: "cat12345", בניגוד ל-"1Jf*@4 ,f@a9!04#*5vka*4&5%." אם כי, כדאיגַםכבר יש לך מושג די טוב אם אתה משתמש בסיסמאות חלשות עבור האפליקציות והשירותים המועדפים עליך - וזה כנראה סביר אפילו יותר אם אינך משתמש במנהל סיסמאות כלל.

זה יהיה תהליך מייגע אם יש לך המון סיסמאות חלשות, אבל אתה תמיד יכול לחשוב אסטרטגית. התחל עם החשבונות שבהם אתה משתמש בתדירות הגבוהה ביותר ותתקדם משם. (שוב, אפליקציית ניהול סיסמאות תקל על תהליך זה, ואפליקציה מצוינת תוכל לומר לך מתי היא רואה שאתה משתמש בסיסמה חלשה יותר עבור שירות.)

וכמובן, אפילו הסיסמה הגדולה ביותר מרוויחה מחיזוק: השתמש באימות רב-גורמי בכל מקום אפשרי, והחשבונות שלך יהיו הרבה יותר מאובטחים. לאחר מכן הדפס את המאמר הזה - או את הפוסט בבלוג של מיקרוסופט - והעביר אותו לצוות ה-IT שלך כשתאלץ לשנות את הסיסמה שלך בפעם השמינית השנה.