Měnit heslo pravidelně je zbytečné, jsou jen dva důvody pro změnu

May 19, 2020

Heslo je stále pro většinu služeb hlavním autentizačním mechanismem. Podle hesla služba pozná, že skutečně přišel ten správný uživatel a může dostat přístup. Kolem hesel však panuje mnoho mýtů a dávno vyvrácených omylů, které jsou ale v uživatelích pevně zakořeněné.

Pravidelná změna hesla vede ke zkratkám

„Vaše heslo vyprší za 6 dnů, změňte si ho.“ Hláška, která straší uživatele už mnoho let. Uživatel je nucen měnit hesla v pravidelných cyklech, uváděným důvodem je přitom zvýšení bezpečnosti.

Uživatel tlačený k neustálé zbytečné změně hesla nutně sklouzne ke zkratkám. Bude hledat nejjednodušší způsob, jak splnit nastavená pravidla a přitom si příliš nezkomplikovat život. Tradičním postupem je přidání čísla na konci hesla: heslo1, heslo2, heslo3. Pokud se systém takové triviální obměně brání, zkusíme něco lepšího: heslo-leden, heslo-unor a tak dále.

Je to logické: uživatel si musí zapamatovat spoustu informací a pokud se některá z nich má neustále měnit, paměti to způsobuje velké potíže. Náš mozek není stavěný na to, aby si každé dva týdny zapamatoval složitou kombinaci znaků. Jediným ulehčením tedy může být vytvoření zapamatovatelné kombinace.

Pravidelná změna hesla tedy vede přesně k opačnému chování, než je zamýšleno. Uživatel si zvolí triviální heslo, které pak velmi jednoduše obměňuje. Pokud mu život dále zkomplikujeme pravidly, bude se je snažit splnit s co nejmenší námahou. V nejhorším případě si zaměstnanci v kancelářích vedle monitoru přilepí kus papíru a na ten si hesla napíší. Tohle jste opravdu nechtěli.

Americká vládní standardizační organizace NIST už v nejnovějších doporučeních varuje před změnou hesla a upozorňuje právě na tyto problémy. Jejími doporučeními se řídí úřady ve Spojených státech, ale přebírá je také mnoho soukromých organizací.

Silné a trvalé heslo

Mnohem lepší postup je nastavit jednoduchá minimální pravidla a dovolit uživatelům vytvořit si dlouhodobé silné heslo. Neměli by přitom být omezeni počtem ani typem znaků. Chce si uživatel složit heslo z emoji? Proč bychom mu v tom měli bránit?

Pokud bude uživatel vědět, že heslo může používat dlouhodobě, nebude demotivován už při jeho tvorbě a bude si moci vytvořit silnější heslo. Bude totiž vědět, že mu bude stačit jedna silná kombinace na dlouhou dobu.

Vhodné je u kritických služeb doplnit přihlašování také o druhý faktor, například potvrdit přihlášení na mobilním telefonu nebo vložením smart karty do čtečky. Tím ulehčíme život uživatelům i sobě, protože nebudeme muset tolik tlačit na sílu hesla.

Jsou jen dva legitimní důvody pro změnu hesla: posílení hesla a podezření na kompromitaci.

Posílení hesla

Uživatel má mít rozhodně možnost heslo kdykoliv změnit a měl by to dělat, pokud se rozhodne pro silnější heslo. Může například začít používat správce hesel a bude chtít nová hesla generovat náhodně. To je rozhodně snaha o silnější heslo a důvod ke změně.

Podobně může uživatel po čase dojít k tomu, že jeho původní heslo opravdu nebylo příliš dobře a bezpečně zvolené, takže by bylo dobré vymyslet něco silnějšího. V takovém případě je určitě změna hesla pozitivní věc a pokud do ní uživatel nebude nucen, opět je velká šance, že přijde se něčím smysluplným.

Podezření na kompromitaci

Druhým legitimním důvodem ke změně hesla je podezření na kompromitaci. Pokud uživatel zjistí, že se mu někdo při zadávání hesla díval přes rameno nebo správce odhalí průnik do systému, pak je prostor ke změně hesla. Uživatelům se to ale musí dostatečně vysvětlit, poukázat na možná rizika a pak je možné ke změně přístoupit.

Samozřejmě by to opět nemělo být příliš často, protože tím se vracíme zase na začátek ke špatným zvykům. Kompromitace hesla nepřichází příliš často a je možné ji docela dobře zaznamenat. Na webu Have I Been Pwned je možné přihlásit celou doménu a správce pak dostane informaci, pokud se v nějakém zveřejněném úniku hesel objeví citlivé údaje některého z uživatelů.

Nenuťte uživatele měnit hesla

Doporučení tedy zní: nenuťte uživatele ke zbytečné změně hesla. Nepřinese to žádnou skutečnou bezpečnost, jen se budete bezmyšlenkovitě držet zastaralých pravidel. Změna hesla by měla být výjimečnou událostí spojenou s nějakým konkrétním problémem či snahou mu předejít.