"Regularnie zmieniaj swoje hasła" jest częstym zaleceniem dotyczącym haseł, ale niekoniecznie jest to dobra rada. Nie powinieneś regularnie zmieniać większości haseł - zachęca to do używania słabszych haseł i marnowania czasu.
Tak, są sytuacje, w których chcesz regularnie zmieniać hasła. Ale to prawdopodobnie będzie raczej wyjątkiem niż regułą. Mówienie typowym użytkownikom komputerów, którzy muszą regularnie zmieniać hasła, jest błędem.
Regularne zmiany haseł są teoretycznie dobrym pomysłem, ponieważ zapewniają, że ktoś nie może uzyskać hasła i używać go do podsłuchiwania przez dłuższy czas.
Na przykład, jeśli ktoś uzyskał twoje hasło e-mail, może regularnie logować się na swoje konto e-mail i monitorować komunikację. Jeśli ktoś uzyskał twoje hasło do bankowości internetowej, może podsłuchać twoje transakcje lub wrócić za kilka miesięcy i spróbować przelać pieniądze na swoje własne konta. Jeśli ktoś uzyskał twoje hasło do Facebooka, może zalogować się jako Ty i monitorować prywatne połączenia.
Teoretycznie regularne zmienianie haseł - być może co kilka miesięcy - pomoże temu zapobiec. Nawet jeśli ktoś zdobyłby twoje hasło, mieliby tylko kilka miesięcy na wykorzystanie ich w nikczemnych celach.
Zmiany hasła nie powinny być rozpatrywane w próżni. Gdyby istoty ludzkie miały nieskończony czas i doskonałą pamięć, regularne zmiany hasła byłyby dobrym pomysłem. W rzeczywistości zmiana hasła nakłada na ludzi ciężar.
Regularna zmiana hasła utrudnia zapamiętanie dobrych haseł. Zamiast tworzyć silne hasło i zatwierdzać je w pamięci, należy co kilka miesięcy próbować zapamiętać nowe hasło. Użytkownicy, którzy są zmuszeni do regularnej zmiany hasła przez system komputerowy, mogą zakończyć dodawanie numeru - mogą więc używać hasła1, hasła2 i tak dalej.
To dość trudne, aby regularnie zmieniać hasło dla pojedynczego konta i za każdym razem pamiętać nowe hasło. Ale wszyscy mamy wiele haseł - wyobraź sobie, że musisz regularnie zmieniać hasło i stale pamiętać unikalne, mocne hasła dla dużej liczby usług.
Zasadniczo niemożliwe jest wybranie silnych, unikatowych haseł dla każdej witryny i zapamiętanie ich - dlatego zalecamy korzystanie z menedżera haseł, takiego jak LastPass lub KeePass. Jeśli zmienisz hasło co kilka miesięcy, najprawdopodobniej skończy się używanie słabszych haseł i wielokrotne używanie ich w wielu witrynach. O wiele ważniejsze jest używanie silnych, unikatowych haseł wszędzie, niż regularne zmienianie hasła.
Regularna zmiana hasła nie pomoże tak dużo, jak mogłoby się wydawać. Jeśli osoba atakująca uzyska dostęp do Twoich kont, najprawdopodobniej skorzysta z ich dostępu, aby spowodować natychmiastowe szkody. Jeśli uzyska dostęp do konta bankowego online, zalogują się i spróbują przelać pieniądze, zamiast siedzieć i czekać. Jeśli uzyskają dostęp do konta online, będą się logować i próbować zamówić produkty z zapisanymi danymi karty kredytowej. Jeśli uzyskają dostęp do Twojego adresu e-mail, prawdopodobnie użyją go do spamu i phishingu, lub spróbują zresetować hasła w innych witrynach z nim. jeśli uzyskają dostęp do twojego konta na Facebooku, prawdopodobnie będą próbować natychmiastowo spamować lub oszukiwać Twoich znajomych.
Typowi agresorzy nie będą trzymać twoich haseł przez dłuższy czas i będą cię śledzić. To nie jest opłacalne - a napastnicy są tuż po zyskach. Zauważysz, że ktoś uzyska dostęp do Twoich kont.
Regularna zmiana hasła jest również niezbędna, jeśli używasz tego samego hasła wszędzie, ponieważ prawdopodobnie twoje hasło jest ciągle wyciekane, gdy zostanie naruszona jedna z używanych przez ciebie usług. Zamiast zmieniać to jedno hasło regularnie, powinieneś poradzić sobie z prawdziwym problemem tutaj i używać unikalnych haseł wszędzie.
Zmiana hasła może pomóc, jeśli ktoś, kto nie jest tradycyjnym napastnikiem, ma dostęp do Twojego konta. Na przykład, powiedzmy, że udostępniłeś swoje dane logowania do Netflix za pomocą ex - będziesz chciał zmienić hasło, aby nie mogły korzystać z Twojego konta na zawsze. Załóżmy też, że ktoś bliski uzyskał dostęp do Twojego adresu e-mail lub hasła na Facebooku i użył Twojego hasła do szpiegowania Ciebie. Gdy zmieniasz hasła, przede wszystkim uniemożliwiasz tego typu udostępnianie konta i szpiegowanie, nie uniemożliwiając dostępu innej osobie po drugiej stronie świata.
Regularne zmiany haseł mogą być również cenne dla niektórych systemów pracy, ale powinny być używane z myślą. Administratorzy IT nie powinni zmuszać użytkowników do ciągłej zmiany haseł, chyba że istnieje ku temu dobry powód - użytkownicy będą po prostu używać słabych haseł, zapisywać hasła, a nawet przełączać się między dwoma ulubionymi hasłami.
Zmiana hasła w odpowiedzi na określone zdarzenia jest oczywiście dobra. Dobrym pomysłem jest zmiana haseł na stronach, które były podatne na Heartbleed, ale teraz je załatano. Dobrym pomysłem jest także zmiana hasła po skradzionej bazie danych haseł.
Jeśli używasz haseł do różnych witryn, zmiana hasła w tych witrynach jest dobrym pomysłem, jeśli jedna z nich zostanie naruszona. Ale to najgorsza rzecz, jaką możesz zrobić - prawdziwym rozwiązaniem jest tutaj używanie unikatowych haseł, nieustanne zmienianie wspólnego hasła na nowe we wszystkich usługach, z których korzystasz.
Problem z doradzaniem ludziom, aby regularnie zmieniać hasło, jest tak rozpraszający.Używanie silnych, unikatowych haseł wszędzie jest już prawie niemożliwe do zrobienia, jeśli nie używasz menedżera haseł, aby je zapamiętać. Użyteczne jest również uwierzytelnianie dwuskładnikowe, ponieważ może to uniemożliwić dostęp do twoich kont, nawet jeśli ktoś ukradnie twoje hasła. Zamiast nakłaniać ludzi do regularnej zmiany haseł, powinniśmy przekazywać przydatne porady, takie jak "używaj unikalnych haseł wszędzie" - coś, czego większość ludzi obecnie nie robi.
Nie jest to jedyna porada, z którą się nie zgadzamy. W przypadku większości użytkowników domowych zapisanie niektórych haseł nie jest złym pomysłem - zdecydowanie lepiej jest użyć tego samego hasła wszędzie.
Nie jesteśmy jedynymi, którzy doradzają w przypadku regularnych, bezkrytycznych zmian haseł. Bruce Schneier, ekspert ds. Bezpieczeństwa, napisał o tym, dlaczego regularne zmienianie haseł nie jest dobrą radą, podczas gdy Microsoft Research stwierdził także, że regularne zmienianie haseł to strata czasu. Tak, są sytuacje, w których możesz chcieć to zrobić - ale przekazywanie porad jak "zmieniaj hasła co trzy miesiące" typowym użytkownikom komputerów przynosi więcej złego niż dobrego.
Image Credit: rochelle hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, medithIT na Flickr