28Aug

Dovresti cambiare le password regolarmente?

"Cambia le tue password regolarmente" è un consiglio comune per la password, ma non è necessariamente un buon consiglio. Non dovresti preoccuparti di cambiare la maggior parte delle password regolarmente: ti incoraggia ad usare password più deboli e spreca tempo.

Sì, ci sono alcune situazioni in cui ti consigliamo di cambiare regolarmente le tue password. Ma quelli saranno probabilmente l'eccezione piuttosto che la regola. Dire agli utenti tipici di computer che hanno bisogno di cambiare regolarmente le loro password è un errore.

The Theory of Regular Password Changes

Le modifiche periodiche della password sono teoricamente una buona idea perché assicurano che qualcuno non possa acquisire la password e usarla per curiosare su di te per un lungo periodo di tempo.

Ad esempio, se qualcuno ha acquisito la tua password e-mail, potrebbe accedere regolarmente al tuo account e-mail e monitorare le tue comunicazioni. Se qualcuno ha acquisito la tua password di banking online, potrebbe curiosare sulle tue transazioni o tornare in diversi mesi e tentare di trasferire denaro ai propri account. Se qualcuno ha acquisito la tua password di Facebook, potrebbe accedere come te e monitorare le tue comunicazioni private.

In teoria, cambiare le password regolarmente - forse ogni pochi mesi - aiuterà a prevenire che ciò accada. Anche se qualcuno avesse acquisito la tua password, avrebbero avuto solo pochi mesi per utilizzare il loro accesso a scopi nefandi.

The Downsides Le modifiche alla password

non devono essere considerate nel vuoto. Se gli esseri umani avessero tempo infinito e memoria perfetta, le normali modifiche delle password sarebbero una buona idea. In realtà, cambiare le password impone un peso alle persone.

Cambiare la password regolarmente rende più difficile ricordare password valide. Anziché creare una password complessa e salvarla nella memoria, è necessario tentare di ricordare una nuova password ogni pochi mesi. Gli utenti che sono costretti a cambiare regolarmente la propria password da un sistema informatico possono finire per aggiungere un numero, quindi possono usare password1, password2 e così via.

È abbastanza difficile cambiare la password regolarmente per un singolo account e ricordare ogni volta la nuova password. Ma tutti abbiamo molte password - immagina di dover cambiare la password regolarmente e ricordare costantemente password uniche e forti per un gran numero di servizi.

E 'praticamente impossibile scegliere password forti e uniche per ogni sito web e ricordarle - ecco perché raccomandiamo l'uso di un gestore di password come LastPass o KeePass. Se cambi la tua password ogni pochi mesi, probabilmente finirai per utilizzare password più deboli e riutilizzarle su più siti web.È molto più importante utilizzare password forti e univoche ovunque che cambiare la password regolarmente.

Perché cambiare le password non serve necessariamente a

Cambiare regolarmente la password non aiuta quanto si potrebbe pensare. Se un utente malintenzionato accede ai tuoi account, probabilmente useranno il loro accesso per causare danni immediatamente. Se riescono ad accedere al tuo conto bancario online, accederanno e tenteranno di trasferire denaro, piuttosto che sedersi e aspettare. Se accedono a un account di shopping online, accedono e tentano di ordinare prodotti con i dati della carta di credito salvati. Se accedono alla tua email, probabilmente la useranno per spam e phishing o tenteranno di reimpostare le password su altri siti.se hanno accesso al tuo account Facebook, probabilmente tenteranno di inviare spam o frodare i tuoi amici immediatamente.

Gli aggressori tipici non manterranno le tue password per un lungo periodo di tempo e ti spieranno addosso. Non è redditizio, e gli aggressori sono subito dopo il profitto. Noterai se qualcuno ottiene l'accesso ai tuoi account.

Cambiare la password regolarmente è essenziale anche se si utilizza la stessa password ovunque, perché è probabile che la password venga costantemente trapelata quando uno dei servizi che si utilizza è compromesso. Piuttosto che cambiare la singola password regolarmente, dovresti affrontare il vero problema qui e usare password uniche ovunque.

Quando si desidera modificare le password

Modifica delle password può aiutare se qualcuno che non è un aggressore tradizionale ha accesso al tuo account. Ad esempio, supponiamo che tu abbia condiviso le tue credenziali di accesso a Netflix con una ex, ti consigliamo di cambiare la password in modo che non possano usare il tuo account per sempre. Oppure, diciamo che qualcuno vicino a te ha avuto accesso alla tua email o alla tua password di Facebook e ha usato la tua password per spiarti. Quando modifichi le password, prevedi principalmente questo tipo di condivisione e snooping dell'account, impedendo a chiunque dall'altra parte del mondo di ottenere l'accesso.

Le modifiche regolari alle password possono essere utili anche per alcuni sistemi di lavoro, ma dovrebbero essere utilizzate con attenzione. Gli amministratori IT non devono obbligare gli utenti a modificare costantemente le password a meno che non ci sia una buona ragione: gli utenti inizieranno a utilizzare password deboli, scrivere password o persino passare da una password all'altra.

Le modifiche alla password in risposta a eventi specifici sono una buona cosa, ovviamente.È una buona idea modificare le password su siti Web vulnerabili a Heartbleed, ma che ora sono stati modificati. Cambiare la password dopo che un sito Web ha rubato il suo database delle password è anche una buona idea.

Se si riutilizzano le password per siti Web diversi, la modifica della password su tutti questi siti è una buona idea se uno di questi siti è compromesso. Ma questa è la cosa peggiore che puoi fare - la vera soluzione qui è usare password uniche, non cambiando costantemente la tua password condivisa con una nuova su tutti i servizi che usi.

Focus su consigli utili

Il problema di consigliare alle persone di cambiare regolarmente la propria password è che è un consiglio che distrae. Usare password forti e uniche ovunque è già quasi un consiglio impossibile da fare se non si utilizza un gestore di password per ricordarle per te. Anche l'autenticazione a due fattori è utile in quanto può impedire l'accesso ai tuoi account anche se qualcuno ruba le tue password. Piuttosto che dire alle persone di cambiare regolarmente le loro password, dovremmo dare dei consigli utili come "usa password uniche ovunque" - qualcosa che la maggior parte delle persone attualmente non fa.

Questo non è l'unico consiglio di cui non siamo d'accordo. Per la maggior parte degli utenti domestici, scrivere alcune password non è una cattiva idea, è decisamente meglio che riutilizzare la stessa password ovunque.

Non siamo gli unici a sconsigliare le normali e indiscriminate modifiche alle password. L'esperto di sicurezza Bruce Schneier ha scritto sul perché cambiare le password regolarmente non è un buon consiglio, mentre Microsoft Research ha anche concluso che cambiare le password regolarmente è una perdita di tempo. Sì, ci sono alcune situazioni in cui potresti voler fare questo - ma passare consigli come "cambiare le tue password ogni tre mesi" ai tipici utenti di computer fa più male che bene.

Image Credit: rochelle hartman su Flickr, Lulu Hoeller su Flickr, Joanna Poe su Flickr, snoopsmaus su Flickr, medithIT su Flickr