Zmiana hasła co miesiąc jest szkodliwa i bez sensu

„Zmieniaj swoje hasło co miesiąc” – do dziś grzmią niektóre dokumenty związane z wymogami cyberbezpieczeństwa.

CERT Polska w poradniku podkreśla, że w lutym 2019 roku uchylono Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., nakazujące m.in. zmianę hasła co 30 dni.

W dokumencie sprzed ponad 20 lat znajdowały się inne, dziś archaiczne rekomendacje, takie jak wymóg tworzenia co najmniej ośmioznakowych haseł (wykorzystujących małe i wielkie litery oraz cyfry lub znaki specjalne).

Obecnie CERT Polska zaleca tworzenie haseł składających się z 14 znaków, będących złożeniem kilku wyrazów, np. „NaCzerwonymParapecieStoją3ŻółteKwiaty”.

Wymóg z 2004 roku spełnia np. hasło „Andrzej1”, które według HaveIBeenPwned (platformy pozwalającej sprawdzać występowanie danych w wyciekach) zostało zaobserwowane ponad 40 tysięcy razy.

Dlaczego nie warto zmieniać hasła co miesiąc?

Rekomendacje techniczne CERT Polska dla systemów uwierzytelniania ze stycznia 2022 roku mówią wprost: nie powinno się wymuszać od użytkowników okresowej zmiany haseł.

Podobne stanowisko znalazło się w poradniku „Kompleksowo o hasłach” od CERT-u. Jako argument podano zjawisko tworzenia haseł łatwych do przewidzenia.

Zrezygnowano również z wymuszania okresowej zmiany haseł, ponieważ powstające w jej wyniku nowe hasła są najczęściej wariacją poprzednich, zazwyczaj skonstruowane w łatwy do przewidzenia sposób. Badania pokazują, że użytkownicy nie są w stanie zapamiętać całkiem nowego silnego hasła np. co miesiąc.
CERT Polska, „Kompleksowo o hasłach"

„Nie ma potrzeby okresowej zmiany hasła. Hasło zmieniamy tylko wtedy, jeżeli mamy podejrzenie, że ktoś je poznał” – kwituje CERT Polska. W podobnym tonie wypowiada się Urząd Komisji Nadzoru Finansowego.

Nie ma potrzeby zmieniania hasła co miesiąc (wbrew ogólnemu przekonaniu) (...). Hasło powinno być unikatowe!
UKNF, Q&A

Nie zmieniajmy hasła co miesiąc

W 2021 roku Michał Sajdak (Sekurak) stwierdził, że wymuszanie zmiany hasła co miesiąc jest bez sensu – prowadzi to do „zmniejszenia bezpieczeństwa haseł”. Adam Haertle (Zaufana Trzecia Strona) podkreśla, że częsta zmiana hasła „najczęściej obniża jego jakość”.

Możecie mieć te same (dobre) hasła latami i nie musieć ich zmieniać.
Adam Haertle, Zaufana Trzecia Strona

Piotr Konieczny (Niebezpiecznik) w artykule z 2018 roku opisał sugestie Microsoftu dotyczące braku wymuszania zmiany haseł. Podkreślił, że podobne zalecenia wydał NIST.

„(…) badacze ustalili, że dla 17% kont znajomość poprzedniego hasła pozwalała na zgadnięcie kolejnego hasła w mniej niż 5 próbach” – stwierdził Marcin Maj na łamach Niebezpiecznika w 2016 roku w artykule opisującym badania Lorrie Cranor z amerykańskiej Federalnej Komisji Handlu (FTC).

Kiedy zmieniać hasła?

Na pytanie „Co ile zmieniać hasła?” bardzo ciekawej odpowiedzi udzielił jeden z ekspertów w trakcie panelu dyskusyjnego w PAP podczas prezentacji raportu „Cyberbezpieczeństwo – Trendy 2026”. Panelista skierował wówczas następujące pytanie do rozmówcy: „A jak często zmienia Pan zamki w swoim domu?”.

Zamki w domu wymieniamy w przypadku m.in. zgubienia klucza, ponieważ w jego posiadaniu może znaleźć się nieuprawniona osoba. Dokładnie tak samo powinniśmy postępować z naszymi hasłami: jeżeli są unikalne (inne dla każdego portalu), należy je zmieniać wyłącznie w sytuacji, gdy mogły zostać skompromitowane. Może tak się zdarzyć w wyniku:

• wycieku danych (zazwyczaj upubliczniane są hasła jako hashe, czyli funkcje skrótu);
• działania złośliwego oprogramowania (np. infostealera);
• wyłudzenia w ramach ataku phishingowego.

„To kiedy trzeba zmieniać? Przede wszystkim wtedy, gdy podejrzewamy, że ktoś mógł je poznać. To bardzo dobry powód, a zmieniamy je zaraz po tym, jak usuniemy prawdopodobną przyczynę wycieku. Nie da się ukryć, że zmiana haseł na nadal zainfekowanym komputerze (lub nawet tylko użycie na nim nowego hasła) wiele nie poprawi w naszej sytuacji. (…) Na pewno „zwykły użytkownik” nie powinien być zmuszany do regularnej zmiany hasła – to szkodliwa praktyka” – stwierdził Adam Haertle w artykule poświęconym hasłom.

Realne przykłady

Postanowiliśmy wyszukać trzech schematycznych haseł w bazie HaveIBeenPwned. Okazało się, że wyniki – delikatnie mówiąc – nie napawają optymizmem. Niektóre hasła znajdowały się tysiące razy w zasobach portalu:

• „Marzec2022" – 1422 wystąpienia;
• „Listopad2016" – 1683 wystąpienia;
• „Lipiec2020" – 3141 wystąpień.

W sieci można znaleźć instrukcje publikowane nawet w 2024 i 2025 roku, które wymagają zmiany hasła co 30 dni – np. w uchwale Urzędu Marszałkowskiego Województwa Małopolskiego sprzed trzech miesięcy czy w instrukcji NFZ dla aptek z lipca 2024 roku.

Jak się chronić?

Obecnie rekomendowanym zabezpieczeniem konta jest dwuetapowe uwierzytelnianie, które polega na wykorzystaniu dodatkowego składnika logowania, takiego jak m.in.:

• kod z SMS;
• kod z aplikacji;
• potwierdzenie w aplikacji uwierzytelniającej;
• wykorzystanie fizycznego klucza (U2F).

„Dzięki zastosowaniu weryfikacji dwuetapowej, nawet jeśli ktoś pozna nasze hasło, nie będzie w stanie uzyskać dostępu do konta bez drugiego czynnika uwierzytelniającego. To zdecydowanie zwiększa bezpieczeństwo!” – apeluje CERT Polska. Szerzej 2FA opisaliśmy w artykule na naszych łamach.

Do przechowywania haseł zaleca się korzystanie z menedżerów haseł, dzięki czemu mogą być odpowiednio złożone oraz unikalne.