Якщо ви регулярно змінюєте паролі?
«Змінюйте паролі регулярно» - це звичайна порада паролів, але це не обов'язково хороша порада. Ви не повинні турбуватися про зміну більшості паролів регулярно - це заохочує вас використовувати слабкі паролі і витрачати час.
Так, існують певні ситуації, коли потрібно регулярно змінювати паролі. Але, ймовірно, це скоріше виняток, ніж правило. Повідомлення типовим користувачам комп'ютерів, які вони повинні регулярно змінювати свої паролі, є помилкою.
Теорія регулярних змін паролів
Регулярні зміни паролів теоретично є гарною ідеєю, оскільки вони гарантують, що хтось не зможе отримати ваш пароль і використовувати його для прослуховування протягом тривалого періоду часу.
Наприклад, якщо хтось придбав ваш пароль електронної пошти, вони можуть регулярно входити до вашого облікового запису електронної пошти та стежити за вашими повідомленнями. Якщо хтось придбав ваш пароль онлайн-банкінгу, вони могли б перехопити ваші транзакції або повернутися через кілька місяців і спробувати перевести гроші на власні рахунки. Якщо хтось придбав ваш пароль Facebook, вони могли б увійти, як ви, і стежити за вашими приватними повідомленнями.
Теоретично, зміна паролів регулярно - можливо, кожні кілька місяців - допоможе запобігти цьому. Навіть якщо хтось придбав ваш пароль, вони матимуть лише кілька місяців, щоб скористатися своїм доступом для неналежних цілей.
Недоліки
Зміни паролів не слід розглядати у вакуумі. Якби людські істоти мали нескінченний час і чудову пам'ять, то звичайні зміни паролів були б прекрасною ідеєю. Насправді, зміна паролів накладає на людей тягар.
Зміна пароля регулярно ускладнює запам'ятовування хороших паролів. Замість того, щоб створювати надійний пароль і вкладати його в пам'ять, потрібно спробувати запам'ятати новий пароль кожні кілька місяців. Користувачі, які змушені регулярно змінювати свій пароль на комп'ютерну систему, можуть додати номер - тому вони можуть використовувати пароль1, password2 і так далі.
Досить важко регулярно змінювати свій пароль на один обліковий запис і запам'ятовувати новий пароль кожного разу. Але у нас багато паролів - уявіть, що потрібно регулярно змінювати свій пароль і постійно запам'ятовувати унікальні, сильні паролі для великої кількості послуг.
Вже в принципі неможливо вибрати сильні, унікальні паролі для кожного веб-сайту і запам'ятати їх - саме тому ми рекомендуємо використовувати менеджер паролів, як LastPass або KeePass. Якщо ви змінюєте пароль кожні кілька місяців, швидше за все, ви будете використовувати слабкіші паролі та повторно використовувати їх на кількох веб-сайтах. Набагато важливіше використовувати сильні, унікальні паролі, ніж регулярно змінювати пароль.
Чому зміна паролів не обов'язково допоможе
Регулярна зміна пароля не допоможе стільки, скільки ви думаєте. Якщо зловмисник отримає доступ до ваших облікових записів, вони, швидше за все, використають свій доступ, щоб негайно завдати шкоди. Якщо вони отримають доступ до вашого онлайн-банківського рахунку, вони ввійдуть і спробують перерахувати гроші, а не сидіти і чекати. Якщо вони отримають доступ до облікового запису онлайн-покупок, вони ввійдуть і спробують замовити продукти з збереженою інформацією про кредитну картку. Якщо вони отримають доступ до вашої електронної пошти, вони, швидше за все, використовуватимуть її для спаму та фішингу, або намагатимуться скинути паролі на інших сайтах із нею. якщо вони отримають доступ до вашого облікового запису Facebook, вони, ймовірно, спробують негайно спамувати або обманути своїх друзів.
Типові зловмисники не тримають ваші паролі протягом тривалого періоду часу і не захоплюватимуть вас. Це не вигідно - і зловмисники тільки після прибутку. Ви помітите, якщо хтось отримає доступ до ваших облікових записів.
Зміна пароля регулярно також є важливим, якщо ви використовуєте один і той самий пароль скрізь, тому що, ймовірно, ваш пароль постійно просочується, коли одна з послуг, які ви використовуєте, скомпрометована. Замість того, щоб регулярно змінювати цей пароль, слід вирішувати справжню проблему і використовувати повсюди унікальні паролі.
Коли ви хочете змінити паролі
Зміна паролів може допомогти, якщо користувач, який не є традиційним зловмисником, має доступ до вашого облікового запису. Наприклад, скажімо, ви поділилися своїми обліковими даними входу Netflix з екс - ви хочете змінити пароль, щоб вони не могли використовувати ваш обліковий запис назавжди. Або, скажімо, хтось з вас, хто був близький до вас, отримав доступ до вашого електронного листа або пароля Facebook і використовував ваш пароль, щоб шпигувати за вами. Коли ви змінюєте свої паролі, ви в першу чергу запобігаєте подібному обліковому запису та перехопленню, не заважаючи комусь з іншого боку світу отримати доступ.
Регулярні зміни паролів також можуть бути цінними для деяких систем роботи, але вони повинні використовуватися з думкою. ІТ-адміністратори не повинні змушувати користувачів постійно змінювати свої паролі, якщо не існує вагомих причин - користувачі просто почнуть використовувати слабкі паролі, записувати паролі або навіть переключатися між двома улюбленими паролями..
Зміни паролів у відповідь на конкретні події, звичайно, є корисним. Це гарна ідея, щоб змінити паролі на веб-сайтах, які були вразливими до Heartbleed, але тепер його виправлено. Зміна пароля після того, як веб-сайт має вкрадену базу даних паролів, також є гарною ідеєю.
Якщо ви повторно використовуєте паролі для різних веб-сайтів, зміна пароля на всіх цих сайтах є гарною ідеєю, якщо один із цих сайтів порушений. Але це найгірше, що ви можете зробити - справжнє рішення тут полягає в використанні унікальних паролів, не постійно змінюючи спільний пароль на новий на всіх службах, які ви використовуєте.
Зосередьтеся на корисних консультаціях
Проблема з консультуванням людей регулярно змінювати пароль - це така відволікаюча порада. Використання сильних, унікальних паролів скрізь є майже нездійсненною порадою, якщо ви не використовуєте менеджер паролів, щоб запам'ятати їх. Двофакторна аутентифікація також є корисною, оскільки вона може запобігти доступу до облікових записів, навіть якщо хтось краде ваші паролі. Замість того, щоб наказувати людям регулярно змінювати свої паролі, ми повинні передавати корисні поради, такі як "використовувати унікальні паролі всюди" - те, чого більшість людей зараз не роблять.
Це не єдина порада, з якою ми не погоджуємося. Для більшості домашніх користувачів записування деяких паролів насправді не є поганою ідеєю - це, безумовно, краще, ніж повторне використання одного і того ж пароля всюди.
Ми не єдині, хто дає рекомендації щодо регулярних, нерозбірливих змін пароля. Експерт з безпеки Брюс Шнайер написав, чому регулярна зміна паролів не є гарною порадою, тоді як Microsoft Research зробила висновок, що зміна паролів регулярно є марною тратою часу. Так, існують певні ситуації, в яких ви можете зробити це, - але передати поради, наприклад, "змінювати паролі кожні три місяці" типовим користувачам комп'ютера, завдають більшої шкоди, ніж користі.
Кредит на зображення: rochelle hartman на Flickr, Lulu Hoeller на Flickr, Joanna Poe на Flickr, snoopsmaus на Flickr, medithIT на Flickr