Názor k článku Postřehy z bezpečnosti: pozor na falešné novináře od Petr - Povinná periodicita 18 měsíců pro změnu hesla je...
-
PetrStříbrný podporovatelPovinná periodicita 18 měsíců pro změnu hesla je navzdory námitce zachována.
Vypořádání se s podněty k NIS2, strana 42 a 43:
Navrhovaná změna:
Vypuštění požadavků na povinné periodické změny hesel v intervalu maximálně 18 měsíců a naopak doplnění požadavku na bezodkladnou změnu hesel při zjištěném bezpečnostním incidentu, tzn. při podezření na kompromitaci nebo přímo zjištěné kompromitaci daného účtu/účtů (ve vyhlášce se řeší pouze částečně u administrátorských účtů, nikoliv však již u účtů uživatelských a účtů technických aktiv).Podrobnosti:
Tento požadavek explicitně z NIS2 nevyplývá. Odůvodnění vyhlášek se dále odkazuje na dokument NIST SP 800-63B, kde se v sekci 5.1.1.2 přímo explicitně uvádí, že periodická změna hesel by neměla být (SHOULD NOT) vyžadována, pokuď pro toto není explicitní důvod (evidence of compromise). Tento požadavek je z pohledu bezpečnosti překonaný a sám o sobě žádným způsobem vyšší bezpečnost prokazatelně nepřináší, spíše ji v praktické rovině naopak snižuje. Ničím neodůvodněné periodické změny hesel vedou k tomu, že uživatelé si tyto mají problém zapamatovat a často je (i nevhodnými způsoby) zapisují, což je vyšším rizikem než možný únik databáze s následnými offline útoky na ní. Je třeba mít na paměti, že uživatelé dnes nemají jen jedno heslo, musí si jich pamatovat celou řadu a i toto je třeba zohledňovat. Textace vyhlášky navíc umožňuje i kratší intervaly a často jsou kratší intervaly s odkazem na tuto vyhlášku implementovány. K problematice lze dále odkázat například na NCSC (ekvivalentní organizace k NÚKIB ve Velké Británii) - https://www.ncsc.gov.uk/collection/passwords/updating-your-approach – kde se tématu také věnují podrobněji (a rovněž je v duchu NIST SP 800-63B). Změna hesla má být vynucována v odůvodněných případech – tzn. při zjištěných kybernetických incidentech, kdy ke kompromitaci účtu skutečně došlo a nebo kdy na toto existuje důvodné podezření – tomuto se naopak vyhláška nevěnuje vůbec. Požadavky vyplývající ze stávající vyhlášky 82/2018 Sb. je v tomto ohledu žádoucí požadovat za zastaralé a tato by neměla v tomto bodě sloužit jako podklad pro tvorbu nové legislativy. Důvodová zpráva k vyhlášce 82/2018 Sb. se sice také u § 19 na NIST SP 800- 63B také odvolává, avšak opět bez korektní interpretace obsahu sekce 5.1.1.2 zmiňovaného dokumentu, naopak už tato vyhláška je s ním přímo v rozporu.Reakce NÚKIB:
Akceptováno jinak.
Periodicita 18 měsíců pro změnu hesla je zanechána právě protože subjekty se zpravidla nijak aktivně nezajímají o to, zdali jejich hesla byla kompromitována, tudíž zde lze argumentovat textací NIST jen částečně. Délka 18 měsíců není nijak náročná a je to tak dlouhá doba, že se neočekává "pouze jednoduché pozměnění předchozího hesla" kvůli kterému se od periodicity upouští (protože je to kontraproduktivní), požadavek na změnu hesla při zjištěné kompromitaci přidán do požadavků.
ČLÁNKY DO MAILU