„Regularnie zmieniaj hasła” to częsta rada dotycząca hasła, ale niekoniecznie jest to dobra rada. Nie powinieneś zawracać sobie głowy regularną zmianą większości haseł - zachęca to do używania słabszych haseł i marnuje Twój czas.
Tak, są sytuacje, w których będziesz chciał regularnie zmieniać hasła. Ale prawdopodobnie będzie to raczej wyjątek niż reguła. Błędem jest mówienie typowym użytkownikom komputerów, że muszą regularnie zmieniać hasła.
Teoria regularnych zmian hasła
Regularne zmiany haseł są teoretycznie dobrym pomysłem, ponieważ zapewniają, że ktoś nie może uzyskać Twojego hasła i użyć go do szpiegowania Cię przez dłuższy czas.
Na przykład, jeśli ktoś zdobył Twoje hasło e-mail, mógłby regularnie logować się na Twoje konto e-mail i monitorować Twoją komunikację. Jeśli ktoś zdobył Twoje hasło do bankowości internetowej, mógłby podsłuchać Twoje transakcje lub wrócić za kilka miesięcy i spróbować przelać pieniądze na swoje konta. Jeśli ktoś zdobył Twoje hasło do Facebooka, mógłby zalogować się jako Ty i monitorować Twoją prywatną komunikację.
Teoretycznie regularna zmiana haseł - być może co kilka miesięcy - pomoże temu zapobiec. Nawet jeśli ktoś zdobyłby Twoje hasło, miałby tylko kilka miesięcy na wykorzystanie dostępu do nikczemnych celów.
Wady
Zmiany hasła nie powinny być rozważane w próżni. Gdyby istoty ludzkie miały nieskończony czas i doskonałą pamięć, regularne zmiany hasła byłyby dobrym pomysłem. W rzeczywistości zmiana haseł stanowi obciążenie dla ludzi.
Regularna zmiana hasła utrudnia zapamiętanie dobrych haseł. Zamiast tworzyć silne hasło i zapisywać je w pamięci, należy co kilka miesięcy próbować zapamiętać nowe hasło. Użytkownicy, którzy są zmuszeni do regularnej zmiany hasła przez system komputerowy, mogą w końcu dołączyć liczbę - mogą więc używać hasła1, hasła2 i tak dalej.
Wystarczająco trudno jest regularnie zmieniać hasło do jednego konta i za każdym razem pamiętać nowe hasło. Ale wszyscy mamy wiele haseł - wyobraź sobie konieczność regularnej zmiany hasła i ciągłego pamiętania unikatowych, silnych haseł do wielu usług.
ZWIĄZANE Z: Dlaczego warto używać menedżera haseł i jak zacząć
Już w zasadzie niemożliwe jest wybranie silnych, niepowtarzalnych haseł do każdej witryny i ich zapamiętanie - dlatego właśnie my zalecamy używanie menedżera haseł, takiego jak LastPass lub KeePass . Jeśli zmieniasz hasło co kilka miesięcy, prawdopodobnie będziesz używać słabszych haseł i używać ich ponownie w wielu witrynach. Używanie silnych, unikalnych haseł wszędzie jest o wiele ważniejsze niż regularna zmiana hasła.
Dlaczego zmiana haseł niekoniecznie pomoże
Regularna zmiana hasła nie pomoże tak bardzo, jak mogłoby się wydawać. Jeśli osoba atakująca uzyska dostęp do Twoich kont, najprawdopodobniej użyje swojego dostępu, aby od razu wyrządzić szkody. Jeśli uzyskają dostęp do Twojego konta bankowego online, zalogują się i spróbują przelać pieniądze zamiast siedzieć i czekać. Jeśli uzyskają dostęp do konta zakupów online, zalogują się i spróbują zamówić produkty, korzystając z zapisanych informacji o karcie kredytowej. Jeśli uzyskają dostęp do Twojej poczty e-mail, prawdopodobnie wykorzystają ją do spamowania i wyłudzanie informacji lub próbuj zresetować hasła w innych witrynach. jeśli uzyskają dostęp do Twojego konta na Facebooku, prawdopodobnie natychmiast spróbują spamować lub oszukiwać Twoich znajomych.
ZWIĄZANE Z: Kto tworzy to całe złośliwe oprogramowanie - i dlaczego?
Typowi hakerzy nie zatrzymują Twoich haseł przez dłuższy czas i nie będą Cię szpiegować. To nie jest opłacalne - i napastnicy są tuż po zysku . Zauważysz, że ktoś uzyska dostęp do Twoich kont.
Regularna zmiana hasła jest również niezbędna, jeśli wszędzie używasz tego samego hasła, ponieważ prawdopodobnie jest ono Twoje hasło jest ciągle wyciekane gdy jedna z używanych przez Ciebie usług jest zagrożona. Zamiast regularnie zmieniać to pojedyncze hasło, powinieneś rozwiązać tutaj prawdziwy problem i wszędzie używać unikalnych haseł.
Kiedy chcesz zmienić hasła
Zmiana haseł może pomóc, jeśli ktoś, kto nie jest tradycyjnym intruzem, ma dostęp do Twojego konta. Załóżmy na przykład, że udostępniłeś swoje dane logowania do serwisu Netflix byłemu partnerowi - chcesz zmienić hasło, aby nie mógł używać Twojego konta na zawsze. Albo załóżmy, że ktoś bliski uzyskał dostęp do Twojej poczty e-mail lub hasła do Facebooka i użył Twojego hasła, aby Cię szpiegować. Zmieniając hasła, przede wszystkim zapobiegasz tego rodzaju udostępnianiu konta i podsłuchiwaniu, a nie uniemożliwiając komuś z drugiej strony świata uzyskanie dostępu.
Regularne zmiany haseł mogą być również cenne w przypadku niektórych systemów roboczych, ale należy ich używać z rozwagą. Administratorzy IT nie powinni zmuszać użytkowników do ciągłej zmiany haseł, chyba że ma ku temu dobry powód - użytkownicy zaczną po prostu używać słabych haseł, zapisywać hasła, a nawet przełączać się między dwoma ulubionymi hasłami.
ZWIĄZANE Z: Heartbleed Explained: Dlaczego musisz teraz zmienić swoje hasła
Oczywiście zmiany haseł w odpowiedzi na określone zdarzenia to dobra rzecz. Dobrym pomysłem jest włączenie haseł witryny, które były podatne na Heartbleed, ale teraz to załatałem. Dobrym pomysłem jest również zmiana hasła po kradzieży bazy danych haseł w witrynie.
Jeśli ponownie używasz haseł do różnych witryn, zmiana hasła we wszystkich tych witrynach jest dobrym pomysłem, jeśli któraś z tych witryn jest zagrożona. Ale to najgorsza rzecz, jaką możesz zrobić - prawdziwym rozwiązaniem jest tutaj używanie unikalnych haseł, a nie ciągła zmiana wspólnego hasła na nowe we wszystkich usługach, z których korzystasz.
Skoncentruj się na przydatnych radach
ZWIĄZANE Z: Zapytaj How-To Geek: Co jest nie tak z zapisywaniem hasła?
Problem z zalecaniem ludziom regularnej zmiany hasła polega na tym, że jest to taka rozpraszająca rada. Używanie silnych, unikalnych haseł wszędzie jest już prawie niemożliwą wskazówką, jeśli nie używasz menedżera haseł do zapamiętania ich za Ciebie. Uwierzytelnianie dwuskładnikowe jest również pomocny, ponieważ może uniemożliwić dostęp do Twoich kont, nawet jeśli ktoś ukradnie Twoje hasła. Zamiast mówić ludziom, aby regularnie zmieniali swoje hasła, powinniśmy przekazywać przydatne porady, takie jak „używaj wszędzie unikalnych haseł” - coś, czego większość ludzi obecnie nie robi.
To nie jedyna rada, z którą się nie zgadzamy. W przypadku większości użytkowników domowych zapisywanie niektórych haseł nie jest w rzeczywistości złym pomysłem - to zdecydowanie lepsze rozwiązanie niż ponowne używanie wszędzie tego samego hasła.
Nie tylko my odradzamy regularne, masowe zmiany hasła. Ekspert ds. Bezpieczeństwa Bruce Schneier napisał o tym dlaczego regularna zmiana haseł nie jest dobrą radą , podczas gdy Microsoft Research również to stwierdził regularna zmiana haseł to strata czasu . Tak, są sytuacje, w których możesz chcieć to zrobić - ale przekazywanie porad typu „zmieniaj hasła co trzy miesiące” typowym użytkownikom komputerów przynosi więcej szkody niż pożytku.
Źródło zdjęcia: rochelle hartman on Flickr , Lulu Hoeller na Flickr , Joanna Poe on Flickr , snoopsmaus na Flickr , Meredith Ann Flickr
