28Aug
"Regularnie zmieniaj swoje hasła" jest częstą poradą dotyczącą hasła, ale niekoniecznie jest dobrą radą.Nie powinieneś regularnie zmieniać większości haseł - zachęca to do używania słabszych haseł i marnowania czasu.
Tak, są sytuacje, w których chcesz regularnie zmieniać hasła. Ale to prawdopodobnie będzie raczej wyjątkiem niż regułą.Mówienie typowym użytkownikom komputerów, którzy muszą regularnie zmieniać hasła, jest błędem.
Teoria zwykłych zmian haseł
Regularne zmiany haseł są teoretycznie dobrym pomysłem, ponieważ zapewniają, że ktoś nie może uzyskać twojego hasła i używać go do podsłuchiwania przez dłuższy czas.
Na przykład, jeśli ktoś nabył twoje hasło e-mail, mógł regularnie logować się na twoje konto e-mail i monitorować komunikację.Jeśli ktoś uzyskał twoje hasło do bankowości internetowej, może podsłuchać twoje transakcje lub wrócić za kilka miesięcy i spróbować przelać pieniądze na swoje własne konta. Jeśli ktoś uzyskał twoje hasło do Facebooka, może zalogować się jako Ty i monitorować prywatne połączenia.
Teoretycznie regularne zmienianie haseł - być może co kilka miesięcy - pomoże temu zapobiec. Nawet jeśli ktoś zdobyłby twoje hasło, mieliby tylko kilka miesięcy na wykorzystanie ich w nikczemnych celach.
Zmiana hasła w dół
nie powinna być rozważana w próżni. Gdyby istoty ludzkie miały nieskończony czas i doskonałą pamięć, regularne zmiany hasła byłyby dobrym pomysłem. W rzeczywistości zmiana hasła nakłada na ludzi ciężar.
Regularne zmienianie hasła utrudnia zapamiętanie dobrych haseł.Zamiast tworzyć silne hasło i zatwierdzać je w pamięci, należy co kilka miesięcy próbować zapamiętać nowe hasło. Użytkownicy, którzy są zmuszeni do regularnej zmiany hasła przez system komputerowy, mogą zakończyć dodawanie numeru - mogą więc używać hasła1, hasła2 i tak dalej.
Wystarczająco trudne jest regularne zmienianie hasła dla pojedynczego konta i każdorazowe zapamiętanie nowego hasła. Ale wszyscy mamy wiele haseł - wyobraź sobie, że musisz regularnie zmieniać hasło i stale pamiętać unikalne, mocne hasła dla dużej liczby usług.
Zasadniczo niemożliwe jest wybranie silnych, unikatowych haseł dla każdej witryny i zapamiętanie ich - dlatego zalecamy korzystanie z menedżera haseł, takiego jak LastPass lub KeePass. Jeśli zmienisz hasło co kilka miesięcy, najprawdopodobniej skończy się używanie słabszych haseł i wielokrotne używanie ich w wielu witrynach. O wiele ważniejsze jest używanie silnych, unikatowych haseł wszędzie, niż regularne zmienianie hasła.
Dlaczego zmiana haseł nie pomoże koniecznie
Regularna zmiana hasła nie pomoże tak dużo, jak mogłoby się wydawać.Jeśli osoba atakująca uzyska dostęp do Twoich kont, najprawdopodobniej skorzysta z ich dostępu, aby spowodować natychmiastowe szkody. Jeśli uzyska dostęp do konta bankowego online, zalogują się i spróbują przelać pieniądze, zamiast siedzieć i czekać.Jeśli uzyskają dostęp do konta online, będą się logować i próbować zamówić produkty z zapisanymi danymi karty kredytowej. Jeśli uzyskają dostęp do Twojego adresu e-mail, prawdopodobnie użyją go do spamu i phishingu, lub spróbują zresetować hasła w innych witrynach z nim.jeśli uzyskają dostęp do twojego konta na Facebooku, prawdopodobnie będą próbować natychmiastowo spamować lub oszukiwać Twoich znajomych.
Typowi napastnicy nie będą trzymali się twoich haseł przez dłuższy czas i będą cię śledzić.To nie jest opłacalne - a napastnicy są tuż po zyskach. Zauważysz, że ktoś uzyska dostęp do Twoich kont.
Regularna zmiana hasła jest również niezbędna, jeśli używasz tego samego hasła wszędzie, ponieważ prawdopodobnie twoje hasło jest ciągle wyciekane, gdy zostanie naruszona jedna z używanych przez ciebie usług. Zamiast zmieniać to jedno hasło regularnie, powinieneś poradzić sobie z prawdziwym problemem tutaj i używać unikalnych haseł wszędzie.
Kiedy chcesz zmienić hasło
Zmiana hasła może pomóc, jeśli ktoś, kto nie jest tradycyjnym napastnikiem, ma dostęp do Twojego konta. Na przykład, powiedzmy, że udostępniłeś swoje dane logowania do Netflix za pomocą ex - będziesz chciał zmienić hasło, aby nie mogły korzystać z Twojego konta na zawsze. Powiedzmy, że ktoś bliski uzyskał dostęp do Twojego adresu e-mail lub hasła na Facebooku i użył Twojego hasła do szpiegowania Ciebie. Gdy zmieniasz hasła, przede wszystkim uniemożliwiasz tego typu udostępnianie konta i szpiegowanie, nie uniemożliwiając dostępu innej osobie po drugiej stronie świata.
Regularne zmiany haseł mogą być również cenne dla niektórych systemów roboczych, ale powinny być używane z myślą.Administratorzy IT nie powinni zmuszać użytkowników do ciągłej zmiany haseł, chyba że istnieje ku temu dobry powód - użytkownicy będą po prostu używać słabych haseł, zapisywać hasła, a nawet przełączać się między dwoma ulubionymi hasłami.
Zmiana hasła w odpowiedzi na określone zdarzenia jest oczywiście dobra. Dobrym pomysłem jest zmiana haseł na stronach, które były podatne na Heartbleed, ale teraz je załatano. Dobrym pomysłem jest także zmiana hasła po skradzionej bazie danych haseł.
Jeśli używasz haseł do różnych witryn internetowych, zmiana hasła na tych stronach jest dobrym pomysłem, jeśli jedna z tych stron zostanie naruszona. Ale to najgorsza rzecz, jaką możesz zrobić - prawdziwym rozwiązaniem jest tutaj używanie unikatowych haseł, nieustanne zmienianie wspólnego hasła na nowe we wszystkich usługach, z których korzystasz.
Skoncentruj się na przydatnej usłudze
Problem polegający na tym, że użytkownicy regularnie zmieniają hasło, jest tak rozpraszający. Używanie silnych, unikatowych haseł wszędzie jest już prawie niemożliwe do zrobienia, jeśli nie używasz menedżera haseł, aby je zapamiętać.Użyteczne jest również uwierzytelnianie dwuskładnikowe, ponieważ może to uniemożliwić dostęp do twoich kont, nawet jeśli ktoś ukradnie twoje hasła. Zamiast nakłaniać ludzi do regularnej zmiany haseł, powinniśmy przekazywać przydatne porady, takie jak "używaj unikalnych haseł wszędzie" - coś, czego większość ludzi obecnie nie robi.
Nie jest to jedyna porada, z którą się nie zgadzamy. Dla większości użytkowników domowych zapisanie niektórych haseł nie jest złym pomysłem - zdecydowanie lepsze jest to, niż wszędzie używanie tego samego hasła.
Nie jesteśmy jedynymi doradcami w zakresie regularnych, masowych zmian haseł.Bruce Schneier, ekspert ds. Bezpieczeństwa, napisał o tym, dlaczego regularne zmienianie haseł nie jest dobrą radą, podczas gdy Microsoft Research stwierdził także, że regularne zmienianie haseł to strata czasu. Tak, są pewne sytuacje, w których możesz chcieć to zrobić - ale przekazywanie porad jak "zmieniaj hasła co trzy miesiące" typowym użytkownikom komputerów przynosi więcej złego niż dobrego.
Image Credit: rochelle hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, medithIT na Flickr
