Tartja magát egy mondás az IT szakemberek körében, hogy a jelszavakat úgy kezeljünk, mint az alsóneműt: cseréljük rendszeresen, és ne osszuk meg másokkal. Ez a mondás megdőlni látszik, miután több szakértő szerint is a gyakori jelszócsere nem segíti, hanem inkább rontja a biztonságot.

Mindenki számára tiszta, hogy miért nem szabad senkivel megosztani a saját jelszavát. Azt viszont általában utáljuk, ha egy rendszerben havonta meg kell változtatnunk a jelszavunkat, és még az utolsó 10 változatot sem használhatjuk. Ilyenkor az emberek kínlódnak, és a folyamat vége az, hogy egyre gyakrabban felejtik el, mit adtak meg utoljára.

Az elképzelés megalkotója, Bill Burr is visszakozott már. A szakember 2003-ban, az Amerikai Szabványügyi Hivatal munkatársaként találta ki a jelszóalkotási szabályokat, de a három évvel ezelőtt a The Wall Street Journal-nak adott interjúban elmondta, hogy sajnálja akkori tanácsait, cél tévesztettek ajánlásai. A szakembert most a német Információbiztonsági Szövetségi Hivatal is megerősítette, az újonnan elfogadott német jelszóhasználati útmutatóban azt javasolják, hogy a jelszót akkor kell cserélni, ha felmerült annak a gyanúja, hogy illetéktelen személyek birtokába jutott. Vagyis ez azt jelenti, hogy nem kell négy hetente változtani őket.

Sok vállalatnál viszont az informatikai rendszerek ma is havonta kikényszerítik a jelszavak megváltoztatását. Azért, hogy megelőzzék a jelszavak újra és újra felhasználását a rendszergazdák folyamatosan új szabályokat találnak ki azok alkotására, így a nagybetű szám, speciális karakter mellett az új jelszó nem lehet az utóbbi X jelszavak egyike sem. Ezért a bevett gyakorlat az, hogy egy kitalált jelszó után az adott év-hónap kombinációja kerül vagy ennél egyszerűbben a hónapok változását a számok növekedése jelzi. Vagy még rosszabb, az alkalmazottak minden hónapban kitalálnak egy új jelszót, melyet lejegyeznek és egy cetlin tárolnak a monitoron.

A gyakori jelszóváltoztatás azt a reakciót is kiválthatja, hogy az alkalmazottak nem veszik komolyan a jelszavakat és könnyen kitalálható, gyakran használtakat vetnek be.

Erre válaszként a feladatukat komolyan vevő vállalati rendszergazdák fekete listára teszik ezeket a gyakran előforduló jelszavakat. Az egész gyakori jelszóváltoztatási kényszer az IT-sok és alkalmazottak macska-egér játékává fajult.

A többfaktoros azonosítás segíthet

Vállalati környezetben is könnyedén kivitelezhető a kétfaktoros azonosítás, ennek bevezetésével lehetne növelni a cég biztonsági szintjét. A jelszó mellé egy SMS-ben küldött kód, ujjlenyomat vagy egy speciális biztonsági hardver bevezetése könnyíti meg az alkalmazottak és a rendszergazdák dolgát.

Amint arról nemrég írtunk, az FBI szerint a jelmondatok sokkal biztonságosabbak, mint a jelszavak, így érdemesebb lenne a gyakori cserélgetést abbahagyni, és inkább jelmondatokat használni.