28Aug
"Promijeni lozinke redovito" je zajednički dio savjeta o lozinkama, ali to nije nužno dobar savjet. Ne biste smjeli redovito mijenjati većinu zaporki - potiče vas da koristite slabije lozinke i gubite vrijeme.
Da, postoje situacije u kojima ćete redovito mijenjati svoje lozinke. No one će vjerojatno biti iznimka, a ne pravilo. Govoreći tipičnim korisnicima računala da im redovito mijenjaju svoje lozinke, pogreška je.
Teorija redovitih promjena lozinke
Redovite promjene lozinke teoretski su dobre ideje jer osiguravaju da netko ne može stjecati vašu lozinku i koristiti je za njuškanje na vas tijekom duljeg vremenskog razdoblja.
Na primjer, ako je netko stekao vašu lozinku za e-poštu, mogli bi se redovito prijaviti na svoj račun e-pošte i pratiti vaše komunikacije. Ako je netko stekao vašu lozinku za mrežnu bankovnu uslugu, mogli bi se preusmjeriti na vaše transakcije ili vratiti za nekoliko mjeseci i pokušati prenijeti novac na svoje račune. Ako je netko stekao vašu Facebook lozinku, mogli bi se prijaviti dok pratite vaše privatne komunikacije.
Teoretski, redovito mijenjate lozinke - možda svakih nekoliko mjeseci - pomoći će vam da se to ne dogodi.Čak i ako je netko stekao vašu zaporku, imali bi samo nekoliko mjeseci da koriste svoj pristup u zlonamjerne svrhe.
The Downsides
Promjena zaporke ne treba uzeti u obzir u vakuumu. Ako su ljudska bića imala beskonačno vrijeme i savršenu memoriju, redovite promjene lozinke bile bi fine ideje. U stvarnosti, mijenjanje lozinki nameće teret ljudima.
Promjena zaporke često otežava zapamtiti dobre lozinke. Umjesto da stvorite snažnu lozinku i izvršite ga u memoriju, svakih nekoliko mjeseci pokušajte zapamtiti novu lozinku. Korisnici koji su prisiljeni redovito mijenjati lozinku računalnim sustavom mogu završiti dodavanjem broja - tako da mogu koristiti lozinku1, lozinku2 i tako dalje.
Teško je promijeniti redovito lozinku za jedan račun i zapamtiti svoju novu lozinku svaki put. Ali svi imamo mnoge zaporke - zamislimo da moramo redovito mijenjati zaporku i neprestano pamtiti jedinstvene i jake zaporke za veliki broj usluga.
Već je u osnovi nemoguće odabrati jake, jedinstvene lozinke za svaku web stranicu i zapamtiti ih - zato preporučujemo upotrebu upravitelja lozinke kao LastPass ili KeePass. Ako promijenite zaporku svakih nekoliko mjeseci, vjerojatno ćete imati slabije zaporke i ponovno ih upotrijebiti na više web mjesta. Mnogo je važnije upotrebljavati jake, jedinstvene zaporke svugdje, a ne redovito mijenjati zaporku.
Zašto promjena lozinki ne treba nužno
Redovito mijenjanje lozinke ne pomaže onoliko koliko možda mislite. Ako napadač dobije pristup vašim računima, najvjerojatnije će koristiti njihov pristup da odmah uzrokuje štetu. Ako dobiju pristup vašem mrežnom bankovnom računu, prijavit će se i pokušati prenijeti novac umjesto da sjednu i čekaju. Ako dobiju pristup računu za online kupnju, prijavit će se i pokušati naručiti proizvode sa svojim spremljenim podatcima o kreditnoj kartici. Ako dobiju pristup vašoj e-pošti, vjerojatno će je upotrijebiti za neželjenu poštu i krađu identiteta ili pokušaju resetirati zaporke na drugim web mjestima s njom.ako dobiju pristup vašem Facebook računu, vjerojatno će pokušati odmah spamirati ili zlostavljati svoje prijatelje.
Tipični napadači neće držati vaše lozinke dulje vrijeme i snoop na vas. To nije isplativo - a napadači su tek nakon profita. Primijetit ćete da li netko može pristupiti vašim računima.
Redovito mijenjanje lozinke također je bitno ako koristite istu lozinku svugdje, jer je vaša zaporka stalno propuštena kada je jedna od usluga koje koristite ugrožena. Umjesto da redovito promijenite tu lozinku, trebali biste se ovdje nositi s pravim problemom i upotrebljavati jedinstvene zaporke posvuda.
Kada želite promijeniti lozinke
Promjena lozinke može pomoći ako netko tko nije tradicionalni napadač ima pristup vašem računu. Na primjer, recimo da ste dijelili svoje vjerodajnice za prijavu na Netflix s ex - želite promijeniti svoju zaporku kako ne bi mogli koristiti vaš račun zauvijek. Ili recimo da vam je netko blizak pristup vašoj e-pošti ili Facebook zaporki i da je upotrijebio vašu lozinku da vam špijunira. Kada promijenite zaporke prvenstveno sprječavate ovakav način dijeljenja računa i njuškanja, a ne sprječavate pristup nekoj osobi s druge strane svijeta.
Redovite promjene lozinke također mogu biti vrijedne za neke radne sustave, ali ih treba koristiti s mislima. IT administratori ne bi trebali prisiljavati korisnike da stalno mijenjaju svoje lozinke, osim ako postoji dobar razlog - korisnici će samo početi koristiti slabe lozinke, zapisivati lozinke ili čak prebacivati naprijed-natrag između dvije omiljene lozinke.
Promjene lozinke kao odgovor na određene događaje su dobra stvar, naravno. Dobro je promijeniti vaše lozinke na web-lokacijama koje su bile ranjive na Heartbleed, ali su je sada zakrpile. Promjena lozinke nakon što web stranica ima ukradenu lozinku podataka također je dobra ideja.
Ako ponovno upotrebljavate lozinke za različite web stranice, mijenjanje zaporke na svim tim web lokacijama dobra je ideja ako je jedna od tih web mjesta ugrožena. Ali ovo je najgore što možete učiniti - pravo rješenje ovdje je korištenje jedinstvenih lozinki, a ne stalno mijenjanje zajedničke lozinke na novu na sve usluge koje koristite.
Usredotočite se na korisne savjete
Problem s savjetovanjem ljudi da redovito mijenjaju lozinku jest da je takav odvratni savjet. Korištenje snažnih, jedinstvenih zaporki posvuda je već gotovo nemoguće savjetovati ako ne upotrebljavate upravitelja zaporki da biste ih zapamtili za vas. Autentifikacija s dva faktora također je korisna jer može spriječiti pristup vašim računima čak i ako netko ukrade vaše lozinke. Umjesto da reći ljudima da redovito mijenjaju svoje lozinke, trebali bismo korisnicima pružiti korisne savjete kao što su "upotreba jedinstvenih zaporki posvuda" - nešto što većina ljudi trenutačno ne radi.
Ovo nije jedini savjet s kojim se ne slažemo. Za većinu kućnih korisnika, zapisivanje neke lozinke zapravo nije loša ideja - svakako je bolji od ponovnog korištenja iste lozinke svugdje.
Nismo jedini koji savjetujemo protiv redovitih, neselektivnih promjena lozinke. Sigurnosni stručnjak Bruce Schneier napisao je zašto redovito mijenjanje lozinki nije dobar savjet, dok je Microsoft Research također zaključio da je promjena lozinki redovito gubitak vremena. Da, postoje neke situacije u kojima biste to trebali učiniti - no davanje savjeta poput "promjena lozinke svaka tri mjeseca" tipičnim korisnicima računala čini više zla nego dobra.
Image Credit: rochelle hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, medithIT na Flickr