TK
Cyberbezpieczeństwo

Czy zmiana hasła co 90 dni naprawdę zwiększa bezpieczeństwo

V

Dowiedz się, kiedy zmiana hasła ma sens, a kiedy tylko udaje bezpieczeństwo. Zobacz, jak ustawić zasady, które naprawdę zmniejszają ryzyko.

Tomasz Karczmarczyk
AutorTomasz Karczmarczyk
4 minuty czytania
Zapisano:
Czy zmiana hasła co 90 dni naprawdę zwiększa bezpieczeństwo

Hasło nie starzeje się jak jogurt. Traci wartość wtedy, gdy ktoś je pozna, wyłudzi albo wyciągnie z wycieku, a nie wtedy, gdy kalendarz przewróci kartkę.

Dlatego cykliczna zmiana hasła często nie jest rozsądnym środkiem bezpieczeństwa. To porządek administracyjny przebrany za ochronę. Z zewnątrz wygląda poważnie. W środku bywa pusty jak segregator z procedurą, której nikt nie rozumie, ale wszyscy ją podpisali.

Problem nie leży w wieku hasła

Samo hasło nie psuje się z upływem czasu. Jeśli jest mocne, unikalne i nie wyciekło, to fakt, że istnieje od czterech czy ośmiu miesięcy, nie tworzy nagle nowego zagrożenia.

Zagrożenie pojawia się wtedy, gdy hasło przestaje być tajemnicą. Może do tego dojść przez wyciek bazy danych, phishing, ponowne użycie tego samego hasła w innym serwisie albo podejrzane logowanie, którego nie da się uczciwie wyjaśnić. Wtedy zmiana ma sens, bo odcina napastnikowi dostęp. Ma cel. Nie jest ruchem dla samego ruchu.

Skąd bierze się mit „zmieniaj co 90 dni”

Taka zasada dobrze wygląda w polityce bezpieczeństwa. Daje prostą rubrykę do odhaczenia i przyjemne złudzenie, że skoro coś dzieje się cyklicznie, to znaczy, że jest pod kontrolą.

To niestety klasyczna pomyłka. Łatwo pomylić dyscyplinę administracyjną z realnym bezpieczeństwem. Te rzeczy czasem idą razem, ale nie są tym samym. Formularz nie wykrywa wycieku. Tabela nie rozpoznaje phishingu. Data w systemie nie powie Ci, że ktoś właśnie zalogował się na konto z drugiego końca świata.

Jak to działa w praktyce

Wyobraź sobie firmę, która wymusza zmianę hasła co 90 dni. Pracownik ma już czwarty reset w roku. Za pierwszym razem ustawił sensowne hasło. Za drugim zrobił wariant starego. Za trzecim dopisał numer. Za czwartym zapisał nowe na kartce, bo przestał udawać, że ten układ ma coś wspólnego z wygodą albo rozsądkiem.

I właśnie wtedy organizacja zaczyna przegrywać z własną procedurą. Nie dlatego, że ludzie są leniwi. Dlatego, że system wypycha ich w stronę skrótów. Jeśli polityka bezpieczeństwa regularnie produkuje słabsze nawyki, to nie jest polityka bezpieczeństwa. To działanie na własną szkodę ubrane w regulamin.

Kiedy częsta zmiana ma sens

Żeby nie popaść w drugą skrajność, są sytuacje, w których częstsza zmiana poświadczeń jest uzasadniona. Na przykład przy hasłach tymczasowych, kontach awaryjnych, dostępie współdzielonym, środowiskach testowych zostawionych byle jak albo tam, gdzie istnieje podwyższone ryzyko przejęcia i nie da się jeszcze wdrożyć lepszych mechanizmów.

To jednak nie obrona ślepej zasady „wszyscy wszystko co 90 dni”. To raczej dowód na to, że sens ma zmiana wynikająca z konkretnego kontekstu ryzyka. Jeśli warunki są gorsze, reakcja może być ostrzejsza. Ale nadal chodzi o realne zagrożenie, a nie o kult daty.

Najczęstsze błędy

Najgorszy błąd polega na wierze, że częsta zmiana sama w sobie podnosi poziom ochrony. Nie podnosi go, jeśli kończy się ciągiem typu „Haslo!1”, „Haslo!2”, „Haslo!3”. To nie jest nowa tajemnica. To stara tajemnica z doklejonym ogonem.

Drugi błąd to pomijanie przyczyny incydentu. Jeśli ktoś dał się nabrać na phishing, sam reset hasła nie załatwia sprawy. Trzeba jeszcze sprawdzić, co zostało ujawnione, gdzie to hasło było używane i czy nie ma śladów dalszego dostępu.

Trzeci błąd to traktowanie menedżera haseł i MFA jak dodatków dla przesadnie ostrożnych. Tymczasem to właśnie one robią pracę, której kalendarz wykonać nie potrafi. Menedżer pomaga utrzymać mocne i unikalne hasła. MFA dokłada kolejny próg wejścia. Oba rozwiązania mają związek z rzeczywistością. Cykliczny reset często ma związek głównie z polityką dokumentów.

Co z tego wynika w praktyce

Lepszy model jest prosty: jedno konto, jedno mocne i unikalne hasło. Do tego menedżer haseł. Do tego MFA. A zmiana wtedy, gdy pojawia się sensowny sygnał naruszenia albo realna zmiana ryzyka.

Taka polityka jest mniej uroczysta. Nie robi wrażenia na miłośniku tabelek. Za to działa lepiej. Bezpieczeństwo nie polega na tym, żeby coś robić regularnie. Polega na tym, żeby robić właściwą rzecz we właściwym momencie.

Jeśli zarządzasz firmą, warto patrzeć na polityki haseł jak na narzędzie, a nie rytuał. Rytuał daje spokój na papierze. Narzędzie daje kontrolę wtedy, gdy robi się nieprzyjemnie, czyli wtedy, kiedy ta kontrola naprawdę jest potrzebna.

FAQ

Czy hasło trzeba zmienić po wycieku danych?

Tak, i najlepiej od razu. Zwłaszcza jeśli to samo albo podobne hasło było użyte gdziekolwiek indziej.

Czy mocne hasło może być używane długo?

Tak, jeśli jest unikalne, nie zostało ujawnione i konto jest chronione dodatkowymi warstwami, takimi jak MFA.

Czy MFA zastępuje dobre hasło?

Nie. MFA ogranicza skutki przejęcia hasła, ale nie zamienia słabego hasła w dobre. Te elementy działają razem, nie zamiast siebie.

Czy menedżer haseł naprawdę pomaga?

Tak, bo usuwa najczęstszy problem człowieka, czyli recykling haseł i słabe wariacje tego samego pomysłu.

Co dalej

Jeśli porządkujesz bezpieczeństwo w firmie, zacznij od polityk, które działają w realnym świecie, a nie tylko dobrze wyglądają w tabeli.

Tomasz Karczmarczyk
O autorze
Tomasz Karczmarczyk
Jestem edukatorem AI i inżynierem oprogramowania. Pomagam firmom odzyskać czas, który codziennie ginie w powtarzalnych zadaniach. Audytuję procesy i narzędzia, wdrażam automatyzacje i buduję zespoły wspierane przez AI. Założyłem także PressShield – markę specjalizującą się w cyberbezpieczeństwie witryn opartych na WordPressie.
in
V

Powiązane

Zrozumienie jednego strzępu to za mało, by pojąć nadchodzące zmiany. Zanurz dłonie głębiej w kurz archiwum i odczytaj inne z tego samego stosu.

Dlaczego MFA zatrzymuje większość przejęć kont
4 minuty czytania

Dlaczego MFA zatrzymuje większość przejęć kont

Samo hasło dziś nie wystarcza. Sprawdź, jak MFA odcina phishing, wycieki i credential stuffing, zanim ktoś wejdzie na Twoje konto.

Zapisano:
Menedżer haseł to nie wygoda, tylko konieczność
6 minut czytania

Menedżer haseł to nie wygoda, tylko konieczność

Jeden wyciek nie musi sparaliżować całej Twojej firmy. Sprawdź, jak menedżer haseł odcina efekt domina, ogranicza szkody i dlaczego to konieczność.

Zapisano: