Większość administratorów systemów Windows robiła to całe lata swoim użytkownikom. Nie bacząc na opinie ekspertów od cyberbezpieczeństwa i znawców użyteczności systemów informatycznych, zmuszali ich do regularnego zmieniania haseł dostępowych. Nie było sposobu, by przemówić im do rozsądku: ot Microsoft w swojej przemyślności uznał, że hasła powinny być zmieniane i wprowadził do domyślnej polityki haseł domeny ich wygaśnięcie po 42 dniach. Ot informatyczna paranoja. I dopiero dziś można powiedzieć, że ktoś w Redmond się ocknął i skończył z tym szaleństwem. Administratorzy nie będą mieli już powodu, by odmówić użytkownikom stosowania dobrych, bezpiecznych haseł przez całe lata.

Domyślnie w domenie Windows Servera, użytkownicy są zobowiązani do zmiany hasła co 42 dni, a hasło musi mieć długość co najmniej siedmiu znaków i spełniać wymagania w zakresie złożoności, w tym stosowania trzech z czterech typów znaków: wielkich, małych, numerycznych i niealfanumerycznych. Te trzy zasady dotyczące haseł, tj. maksymalny wiek hasła, długość hasła i złożoność hasła, dają się we znaki użytkownikom systemów Microsoftu od lat. O ile wymaganie tych dwóch ostatnich zasad jest niezbędne, aby uniknąć haseł w rodzaju „kasia123”, to pierwsza, choć płynąca z niewątpliwie dobrych intencji, okazała się być skrajnie szkodliwa.

Profesor Lorrie Cranor z amerykańskiej Federalnej Komisji Handlu w 2016 roku została zaskoczona niespodziewanym tweetem jej instytucji. Mówił on: zachęcaj swoich bliskich do częstej zmiany haseł, tak by były długie, silne i unikalne. Zajmującej się przez całe lata bezpieczeństwem IT ekspertce nie zajęło wiele czasu podważenie tej koncepcji.

Dobre i bezsensowne chęci administratora

W założeniu chodziło o to, że gdy sieć organizacji zostanie spenetrowana przez napastników,, którzy nie zostali jeszcze odkryci, to częste zmiany haseł pozbawią ich w końcu dostępu. W praktyce prowadzi to jednak do czegoś zupełnie innego, ich hasła zostają znacząco osłabione. Jeśli ludziom każemy zmieniać regularnie hasła, to okazuje się, że mają oni tendencję do korzystania z wzorca i robią to, co nazywamy transformacją – biorą swoje stare hasła, nieco je zmieniają i tworzą w ten sposób nowe hasło. Jak wyjaśniała prof. Cranor:

Hasło takie jak tarheels#1 często stawało się tArheels#1 po pierwszej zmianie, taRheels#1 po drugiej zmianie i tak dalej. Mogło też zostać zmienione tarheels#11 przy pierwszej zmianie i tarheels#111 przy drugiej. Inną popularną techniką było zastępowanie cyfry, kolejną, np. tarheels#2, tarheels#3 i tak dalej.

Badacze z University of North Carolina sięgnęli po opisane tu transformacje w celu opracowania algorytmów, które były w stanie przewidzieć zmiany z dużą dokładnością. Następnie przetestowali je w rzeczywistym świecie. W atakach online, w których atakujący próbują zgadywać jak najwięcej razy, zanim docelowa sieć je blokuje, algorytm złamał 17% kont w mniej niż pięciu próbach. W atakach offline przeprowadzanych na odzyskanych haszach przy użyciu klastrów obliczeniowych, 41% procent zmienionych haseł zostało złamanych w ciągu trzech sekund. Taki jest faktyczny obraz skutków wymuszania częstych zmian haseł.

Hasło na życie, a nie na 42 dni?

W Microsofcie wreszcie zwyciężył zdrowy rozsądek. Ostatnie aktualizacje v1903 dla Windows 10 i Windows Servera zmieniły domyślne polityki wygaśnięcia hasła. Firma z Redmond przyznaje na łamach TechNetu:

Ostatnie badania naukowe podają w wątpliwość wartość wielu tradycyjnych praktyk w zakresie bezpieczeństwa haseł, takich jak polityka wygaśnięcia hasła, a zamiast tego wskazują na lepsze alternatywy, takie jak wymuszanie polityk haseł zakazanych czy wieloczynnikowe uwierzytelnienie. (…) Jeśli hasło nigdy nie zostanie skradzione, nie ma potrzeby jego wygaśnięcia. A jeśli masz dowody, że hasło zostało skradzione, to prawdopodobnie będziesz działać natychmiast, zamiast czekać na wygaśnięcie hasła. (…).

Jeśli zaś organizacja z powodzeniem wdrożyła listy haseł zakazanych, uwierzytelnianie wieloczynnikowe, wykrywanie ataków zgadywania haseł i wykrywanie anomalnych prób logowania, czy potrzebuje dodatkowo okresowego wygasania hasła? A jeśli nie wdrożyła nowoczesnych środków zaradczych, ile ochrony zyska dzięki wygaśnięciu hasła? Okresowe wygaśnięcie hasła jest przestarzałym środkiem zapobiegawczym o bardzo niskiej wartości – tłumaczy Aaron Margosis z Microsoftu.

Co można teraz poradzić nękanym przymusowymi zmianami haseł użytkownikom? Najlepiej niech wyślą ten wpis swoim administratorom – ale nie tylko. Także i decydenci w organizacji są nękani politykami haseł. W końcu uświadomią sobie, że są lepsze metody zabezpieczeń, takie jak np. 2FA – niż zmuszanie nas do zabawy w dodawanie do hasła kolejnych cyferek.