"Cambia le tue password regolarmente" è un consiglio comune per le password, ma non è necessariamente un buon consiglio. Non dovresti preoccuparti di cambiare la maggior parte delle password regolarmente: ti incoraggia a utilizzare password più deboli e fa perdere tempo.
Sì, ci sono alcune situazioni in cui vorresti cambiare regolarmente le tue password. Ma quelle saranno probabilmente l'eccezione piuttosto che la regola. Dire agli utenti tipici di computer di dover cambiare regolarmente le proprie password è un errore.
La teoria delle modifiche regolari della password
Le modifiche regolari della password sono teoricamente una buona idea perché assicurano che qualcuno non possa acquisire la tua password e utilizzarla per curiosare su di te per un lungo periodo di tempo.
Ad esempio, se qualcuno ha acquisito la tua password e-mail, potrebbe accedere regolarmente al tuo account e-mail e monitorare le tue comunicazioni. Se qualcuno ha acquisito la tua password di banking online, potrebbe curiosare nelle tue transazioni o tornare dopo diversi mesi e tentare di trasferire denaro sui propri account. Se qualcuno acquisisce la tua password di Facebook, potrebbe accedere come te e monitorare le tue comunicazioni private.
In teoria, cambiare le password regolarmente, forse ogni pochi mesi, aiuterà a evitare che ciò accada. Anche se qualcuno avesse acquisito la tua password, avrebbe solo pochi mesi per utilizzare il suo accesso per scopi nefasti.
Gli svantaggi
Le modifiche alla password non dovrebbero essere considerate nel vuoto. Se gli esseri umani avessero un tempo infinito e una memoria perfetta, cambiare regolarmente la password sarebbe un'ottima idea. In realtà, cambiare le password impone un peso alle persone.
Cambiare regolarmente la password rende più difficile ricordare password valide. Piuttosto che creare una password complessa e salvarla in memoria, è necessario tentare di ricordare una nuova password ogni pochi mesi. Gli utenti che sono costretti a modificare regolarmente la propria password da un sistema informatico possono finire per aggiungere un numero, quindi possono utilizzare password1, password2 e così via.
È già abbastanza difficile cambiare la password regolarmente per un singolo account e ricordare ogni volta la nuova password. Ma tutti abbiamo molte password: immagina di dover cambiare la tua password regolarmente e ricordare costantemente password uniche e complesse per un gran numero di servizi.
RELAZIONATO: Perché dovresti usare un gestore di password e come iniziare
È già praticamente impossibile scegliere password complesse e univoche per ogni sito web e ricordarle: ecco perché noi consiglia di utilizzare un gestore di password come LastPass o KeePass . Se modifichi la password ogni pochi mesi, probabilmente finirai per utilizzare password più deboli e riutilizzarle su più siti web. È molto più importante utilizzare ovunque password complesse e univoche che cambiare la password regolarmente.
Perché la modifica delle password non è necessariamente di aiuto
Cambiare regolarmente la password non sarà di grande aiuto come potresti pensare. Se un utente malintenzionato ottiene l'accesso ai tuoi account, molto probabilmente utilizzerà il suo accesso per causare subito danni. Se riescono ad accedere al tuo conto bancario online, accedono e tentano di trasferire denaro invece di restare seduti e aspettare. Se accedono a un account per lo shopping online, accedono e tentano di ordinare prodotti con i dati della carta di credito salvati. Se riescono ad accedere alla tua posta, probabilmente la useranno per spam e phishing o tentare di reimpostare le password su altri siti con esso. se riescono ad accedere al tuo account Facebook, probabilmente tenteranno di inviare spam o frodare i tuoi amici immediatamente.
RELAZIONATO: Chi crea tutto questo malware e perché?
Gli aggressori tipici non manterranno le tue password per un lungo periodo di tempo e ti ficceranno il naso. Non è redditizio e gli aggressori sono solo dopo il profitto . Noterai se qualcuno ottiene l'accesso ai tuoi account.
Anche cambiare la password regolarmente è essenziale se utilizzi la stessa password ovunque, perché è probabile che sia la tua la password viene continuamente persa quando uno dei servizi che utilizzi è compromesso. Piuttosto che cambiare regolarmente quella singola password, dovresti affrontare il vero problema qui e utilizzare password univoche ovunque.
Quando si desidera modificare le password
La modifica delle password può essere utile se qualcuno che non è un utente malintenzionato tradizionale ha accesso al tuo account. Ad esempio, supponiamo che tu abbia condiviso le tue credenziali di accesso a Netflix con un ex: ti consigliamo di cambiare la password in modo che non possano utilizzare il tuo account per sempre. Oppure, supponiamo che qualcuno vicino a te abbia ottenuto l'accesso alla tua email o alla password di Facebook e abbia utilizzato la tua password per spiarti. Quando modifichi le tue password, stai principalmente impedendo questo tipo di condivisione di account e ficcanaso, non impedendo a qualcuno dall'altra parte del mondo di ottenere l'accesso.
Anche le modifiche regolari della password possono essere utili per alcuni sistemi di lavoro, ma dovrebbero essere utilizzate con attenzione. Gli amministratori IT non dovrebbero obbligare gli utenti a cambiare costantemente le loro password a meno che non ci sia una buona ragione: gli utenti inizieranno semplicemente a utilizzare password deboli, a scrivere password o persino a passare da una password all'altra.
RELAZIONATO: Spiegazione Heartbleed: perché è necessario modificare le password ora
Le modifiche alla password in risposta a eventi specifici sono ovviamente una buona cosa. È una buona idea cambiare le tue password su siti web che erano vulnerabili a Il cuore sanguinava ma ora l'ho rattoppato. Anche cambiare la password dopo che a un sito web è stato rubato il database delle password è una buona idea.
Se stai riutilizzando le password per diversi siti web, cambiare la tua password su tutti quei siti è una buona idea se uno di questi siti è compromesso. Ma questa è la cosa peggiore che puoi fare: la vera soluzione qui è usare password univoche, non cambiare costantemente la tua password condivisa con una nuova su tutti i servizi che usi.
Concentrati sui consigli utili
RELAZIONATO: Chiedi How-To Geek: cosa c'è di sbagliato nello scrivere la tua password?
Il problema nel consigliare alle persone di cambiare la password regolarmente è che è un consiglio così distratto. Usare password complesse e univoche ovunque è già un consiglio quasi impossibile da fare se non utilizzi un gestore di password per ricordarle per te. Autenticazione a due fattori è anche utile in quanto può impedire l'accesso ai tuoi account anche se qualcuno ruba le tue password. Piuttosto che dire alle persone di cambiare regolarmente le loro password, dovremmo trasmettere consigli utili come "usa password uniche ovunque", qualcosa che la maggior parte delle persone al momento non fa.
Questo non è l'unico consiglio con cui non siamo d'accordo. Per la maggior parte degli utenti domestici, annotare alcune password in realtà non è una cattiva idea - è decisamente meglio che riutilizzare la stessa password ovunque.
Non siamo gli unici a sconsigliare modifiche regolari e indiscriminate della password. L'esperto di sicurezza Bruce Schneier ha scritto sul perché cambiare le password regolarmente non è un buon consiglio , mentre anche Microsoft Research lo ha concluso cambiare le password regolarmente è una perdita di tempo . Sì, ci sono alcune situazioni in cui potresti volerlo fare, ma trasmettere consigli come "cambia le tue password ogni tre mesi" ai tipici utenti di computer sta facendo più male che bene.
Credito immagine: rochelle hartman su Flickr , Lulu Hoeller su Flickr , Joanna Poe su Flickr , snoopsmaus su Flickr , Meredith Ann Flickr
