Ősi és elavult módszer, ha a vállalat arra kényszeríti dolgozóit, hogy bizonyos időközönként cseréljék le jelszavaikat. Ezt nem egy elégedetlen munkavállaló állítja, hanem maga a Microsoft. Ez azért is érdekes, mert az egyik legnagyobb technológiai vállalatként – amely ráadásul vállalati környezetben különösen domináns szereplő – a redmondi cég éveken át sulykolta a rendszergazdákba, erőltessék az általuk felügyelt gépeken és hálózatokon a rendszeres jelszócserét.

Ám aki most felcsapja a vállalat Microsoft 365 online szolgáltatásához kiadott jelszóházirend-javaslatokat, meglepődve tapasztalhatja, hogy már egészen másról szól a fáma. A cég elismeri, hogy „léteznek gyakran használt jelszókezelési gyakorlatok”, de rögtön hozzáteszi, hogy időközben kimutatták, hogy ezek számos hátránnyal járhatnak. A Microsoft elismeri, hogy

a jelszóelévülési követelményei több kárt okoznak, mint jó, mivel ezek a követelmények kiszámítható jelszavakat választanak ki, amelyek egymást követő szavakból és számokból állnak, amelyek szorosan kapcsolódnak egymáshoz. Így a következő jelszó könnyen kitalálható az előző jelszó ismeretében.

A vállalat tájékoztatójából az is kiderült, hogy a jelszólejárati követelmények nem biztosítanak elszigetelési előnyöket, mivel a számítógépes bűnözők szinte mindig hitelesítő adatokat használnak, amint feltörik őket.

Mindez nem újdonság azoknak, akik nemcsak a húsz évvel ezelőtti rendszergazda-tanfolyamhoz vásárolt tankönyvből tájékozódnak, hanem rajta tartják mutatóujjukat a kiberbiztonsági világ lüktető ütőerén. Az Egyesült Államok Szövetségi Kereskedelmi Bizottságának (FTC) munkájában részt vevő Lorrie Cranor technológiai szakértő már 2016-ban a kötelező jelszómódosítás eltörlésére hívta fel a figyelmet, hivatkozva néhány tudományos tényre.

Ha ennyire erős jelszót használ, semmin nem kell változtatnia

A közhiedelemmel ellentétben nem kell mindig újabbra cserélni az egyes szolgáltatáshoz tartozó jelszavunkat. Azzal érjük el a legtöbbet, ha elég bonyolult és egyedi kódot használunk, az ugyanis hosszú ideig megvédheti online életünket.

Az amerikai Purdue Egyetem információbiztonsági kutatóközpontjában már 2006-ban feszegetni kezdték a kötelező jelszócsere hatékonyságát. Az Észak-Karolinai Egyetem kutatói néhány évvel később, 2010-ben tették közzé tanulmányukat, melyben olyan egyetemi felhasználókat vizsgáltak, akiknek 3 havonta le kellett cserélniük jelszavaikat. Csupán azáltal, hogy a felhasználók korábban használt jelszavaiból megkaptak egy 4–15 karakteres részleteket – azok hosszától függően, tehát a rövidebbekből kisebb részlethez jutottak a tudósok –, képesek voltak feltörni a jelszavak 60 százalékát.

Az egyetemi vizsgálat során a kutatók algoritmusa egy korábbi jelszó alapján képes volt a fiókok 17 százalékának jelenlegi jelszavát kitalálni.

Mindennek fényében már nem is az a kérdés, a Microsoft miért állítja, hogy az időközönkénti kötelező jelszómódosítás káros. Hanem az: 12 évvel a szóban forgó kísérlet és több évvel a Microsoft-ajánlás frissítése után

hogyan lehetnek még rendszergazdák, akik néhány havonta erőltetik a cserét?

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.