28Aug
"Redno spreminjanje gesel" je pogost nasvet gesel, vendar to ni nujno dober nasvet. Ne smete redno spreminjati večine gesel - spodbuja uporabo šibkejših gesel in izgubi čas.
Da, v nekaterih primerih boste želeli redno spreminjati gesla. Toda verjetno bodo to izjema in ne pravilo. Povedati tipičnim uporabnikom računalnikov, ki jih potrebujejo za redno spreminjanje gesel, je napaka.
Teorija rednih sprememb gesel
Redne spremembe gesla so teoretično dobra ideja, ker zagotavljajo, da nekdo ne more pridobiti vašega gesla in ga uporabiti, da bi ga daljši čas trajati.
Če ste nekdo na primer pridobili vaše e-poštno geslo, se lahko redno prijavijo v svoj e-poštni račun in spremljajo vaše komunikacije.Če je nekdo kupil vaše spletno bančno geslo, bi lahko prešli na vaše transakcije ali se vrnil v nekaj mesecih in poskušal prenesti denar na svoje račune.Če je nekdo pridobil vaše geslo za Facebook, se lahko prijavijo kot vi in spremljate zasebne komunikacije.
Teoretično lahko redno spreminjate gesla - morda vsakih nekaj mesecev - to preprečite. Tudi če bi si nekdo pridobil svoje geslo, bi imeli le nekaj mesecev, da uporabijo svoj dostop za nepoštene namene.
Spremembe gesla
Downsides se ne smejo obravnavati v vakuumu.Če bi ljudje imeli neskončni čas in popoln spomin, bi bile redne geselne spremembe lepa ideja. V resnici sprememba gesel nalaga breme za ljudi.
Spreminjanje gesla redno otežuje zapomnitev dobrih gesel. Namesto da ustvarite močno geslo in ga zavežete v pomnilnik, poskusite zapomniti novo geslo vsakih nekaj mesecev. Uporabniki, ki so prisiljeni redno spreminjati svoje geslo s pomočjo računalniškega sistema, lahko na koncu dodajo številko - tako da lahko uporabijo geslo1, geslo2 in tako naprej.
Dovolj je težko spremeniti vaše geslo redno za en račun in vsakič zapomniti novo geslo. Ampak vsi imamo veliko gesel - si predstavljamo, da redno spreminjate svoje geslo in se nenehno spominjate na edinstvena, močna gesla za veliko število storitev.
V osnovi je nemogoče izbrati močna in edinstvena gesla za vsako spletno stran in jih zapomniti - zato priporočamo uporabo upravitelja gesel, kot sta LastPass ali KeePass.Če spremenite svoje geslo vsakih nekaj mesecev, boste verjetno na koncu uporabili šibka gesla in jih ponovno uporabili na več spletnih mestih. Veliko bolj pomembno je, da povsod uporabite močna, edinstvena gesla, kot pa redno spreminjati geslo.
Zakaj sprememba gesel ne bo nujno pomoč
Redno spreminjanje gesla ne bo pomagalo toliko, kot si mislite.Če napadalec pridobi dostop do vaših računov, bodo najverjetneje uporabili njihov dostop, da bodo takoj povzročili škodo.Če dobijo dostop do vašega spletnega bančnega računa, se bodo prijavili in poskusili prenesti denar, ne pa sedeti in počakati.Če dobijo dostop do spletnega nakupovalnega računa, se bodo prijavili in poskušali naročiti izdelke s shranjenimi podatki o kreditni kartici.Če dobijo dostop do vašega e-poštnega sporočila, bodo verjetno uporabljali za neželeno pošto in lažno predstavljanje ali pa poskusili ponastaviti gesla na drugih spletnih mestih z njim.če dobijo dostop do svojega računa Facebook, bodo verjetno poskusili neželeno pošto ali goljufanje prijateljev takoj.
Tipični napadalci ne bodo zadrževali vaših gesel za daljše časovno obdobje in vas bodo snoopirali. To ni donosno - in napadalci so šele po dobičku. Opazili boste, če nekdo pridobi dostop do vaših računov.
Geslo redno spreminjate tudi, če uporabljate isto geslo povsod, ker je verjetno, da vaše geslo nenehno pušča, ko je ena od storitev, ki jo uporabljate, ogrožena. Namesto da redno spreminjate to geslo, morate obravnavati resnično težavo tukaj in uporabljati edinstvena gesla povsod.
Ko želite spremeniti gesla
Spreminjanje gesel lahko pomaga, če ima nekdo, ki ni tradicionalni napadalec, dostop do vašega računa. Na primer, recimo, da ste dali poverilnice za prijavo v Netflix z nekdanjim - boste želeli spremeniti geslo, da ne morejo več uporabljati svojega računa. Ali recimo, da je nekdo, ki je blizu vas, pridobil dostop do vašega e-poštnega ali gesla Facebook in uporabil svoje geslo za vohunjenje nad vami. Ko spremenite gesla, v prvi vrsti preprečite tovrstno skupno rabo in snoopiranje računov, ne da bi preprečili, da bi nekdo na drugi strani sveta pridobil dostop.
Redne spremembe gesla so lahko tudi dragocene za nekatere delovne sisteme, vendar jih je treba uporabljati z mislijo. IT skrbniki ne smejo prisiliti uporabnikov, da neprestano spreminjajo gesla, razen če obstaja dober razlog - uporabniki bodo začeli uporabljati šibka gesla, zapisovati gesla ali celo preklapljati med dvema priljubljena gesla.
Geslo spremembe kot odgovor na določene dogodke so dobra stvar, seveda. Dobro je, da spremenite gesla na spletnih mestih, ki so bila ranljiva za Heartbleed, vendar so jih zdaj popravili. Zamenjava gesla po tem, ko je spletna stran imela ukradeno bazo podatkov za gesla, je tudi dobra ideja.
Če ponovno uporabite gesla za različna spletna mesta, je zamenjava gesla na vseh teh spletnih mestih dobra ideja, če je ogrožen eden od teh spletnih mest. Ampak to je najhujša stvar, ki jo lahko storite - resnična rešitev tukaj je uporaba edinstvenih gesel, ne pa nenehno spreminjanje gesla za skupno rabo na novo v vseh storitvah, ki jih uporabljate.
Osredotočite se na koristne nasvete
Problem pri svetovanju ljudem, da redno spreminjajo geslo, je, da je to tako odvračilno svetovanje. Uporaba močnih, edinstvenih gesel povsod je že skoraj nemogoče svetovati, če ne uporabljate upravitelja gesel, da jih boste zapomnili za vas. Prav tako je v pomoč pri dvokomponentnem preverjanju pristnosti, ker lahko prepreči dostop do vaših računov, tudi če kdo ukrade vaše geslo. Namesto da bi ljudem povedali, da redno spreminjajo gesla, bi morali posredovati koristne nasvete, kot so "uporabljati edinstvena gesla povsod" - nekaj, kar večina ljudi trenutno ne dela.
To ni edini nasvet, s katerim se ne strinjamo. Za večino domačih uporabnikov zapisovanje nekaterih gesel dejansko ni slaba ideja - vsekakor je bolje kot ponovna uporaba istega gesla.
Nismo edini, ki svetuje proti rednim, neselektivnim spremembam gesel. Strokovnjak za varnost Bruce Schneier je napisal o tem, zakaj redno spreminjanje gesel ni dober nasvet, medtem ko je Microsoft Research tudi ugotovil, da je spreminjanje gesel redno izguba časa. Da, obstaja nekaj primerov, v katerih bi to morda želeli storiti, vendar pa običajnim uporabnikom računalnikov poskuša narediti več škode, kot je dobro, s posredovanjem nasvetov, kot so "spreminjanje gesla vsake tri mesece".
Image Credit: rochel hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, meditIT na Flickr