Zdroj: TechCrunch
Politiku na pravidelnú zmenu hesla vymyslel ešte v roku 2003 Bill Burr pracujúci vtedy pre NIST (National Institute of Standards and Technology). NIST vytvára bezpečnostné odporúčania pre americkú federálnu vládu. Bill Burr v rozhovore z roku 2017 vyjadril ľútosť nad vytvorením tohto odporúčania. Povedal, že táto politika v skutočnosti mala negatívny dopad na použitelnosť systémov. NIST vypustil túto politiku zo svojich odporúčaní minulý rok.
Microsoft nasledujúc NIST teraz na svojom blogu uvažuje, že prednastavená bezpečnostná politika už nebude nútiť na pravidelné zmeny hesla. Ďalej píše, že táto politika je stará a má nízku hodnotu z hľadiska bezpečnosti. Ak heslo nikdy neuniklo a je dostatočne dlhé a bezpečné, nie je dôvod ho meniť. Ak uniklo a vie sa o tom, tak sa okamžite zmení. Ak uniklo a nevie sa o tom, tak ako pomôže periodická zmena hesla za 42 dní alebo 60?
Pravidelné zmeny frustrujú používateľov a výsledkom je, že ak viem ako útočník predchádzajúce heslo, viem aj aké si používateľ zvolí nasledujúce heslo. Na konci dňa by si mala každá organizácia zvoliť svoj prístup na základe zhodnotenia rizík.
Obrázok: „Microsoft Windows: Making it easier“ by Jason Eppink, used under CC BY 2.0
