28Aug

Ska du ändra dina lösenord regelbundet?

"Ändra lösenord regelbundet" är en vanlig del av lösenordsråd, men det är inte nödvändigtvis bra råd. Du bör inte störa de flesta lösenord regelbundet - det uppmuntrar dig att använda svagare lösenord och slösa bort din tid.

Ja, det finns vissa situationer där du vill byta lösenord regelbundet. Men de kommer troligen att vara undantaget snarare än regeln. Att berätta typiska datoranvändare som de behöver regelbundet ändra sina lösenord är ett misstag.

Teorin om regelbundna lösenord ändras

Vanliga lösenord ändringar är teoretiskt en bra idé eftersom de ser till att någon inte kan få ditt lösenord och använda det för att snoopa på dig under en längre tid.

Om någon till exempel fått ditt e-postlösenord kunde de regelbundet logga in på ditt e-postkonto och övervaka din kommunikation. Om någon förvärvade ditt lösenord för nätbanken kunde de snoopa på dina transaktioner eller komma tillbaka om flera månader och försöka överföra pengar till sina egna konton. Om någon fick ditt Facebook-lösenord kunde de logga in som du och övervaka din privata kommunikation.

Teoretiskt förändras lösenordet regelbundet - kanske några månader - för att förhindra att detta händer.Även om någon förvärvade ditt lösenord, skulle de bara ha några månader att använda sin åtkomst till nyfikna ändamål.

The Downsides

Lösenordsändringar bör inte beaktas i vakuum. Om människor hade oändlig tid och perfekt minne, skulle vanliga lösenord ändringar vara en bra idé.I själva verket innebär förändrade lösenord en börda för människor.

Ändra ditt lösenord gör det vanligtvis svårare att komma ihåg bra lösenord. Snarare än att skapa ett starkt lösenord och begära det till minne, måste du försöka komma ihåg ett nytt lösenord varje några månader. Användare som tvingas regelbundet ändra sitt lösenord med ett datorsystem kan sluta lägga till ett nummer - så de kan använda lösenord1, lösenord2 och så vidare.

Det är svårt att byta lösenord regelbundet för ett enda konto och kom ihåg ditt nya lösenord varje gång. Men vi har alla många lösenord - föreställ dig att du måste byta lösenord regelbundet och ständigt komma ihåg unika, starka lösenord för ett stort antal tjänster.

Det är redan i princip omöjligt att välja starka, unika lösenord för varje webbplats och kom ihåg dem - det är därför vi rekommenderar att du använder en lösenordshanterare som LastPass eller KeePass. Om du ändrar ditt lösenord varje månad kommer du sannolikt att sluta använda svagare lösenord och återanvända dem på flera webbplatser. Det är mycket viktigare att använda starka, unika lösenord överallt än att byta lösenord regelbundet.

Varför byta lösenord kommer inte nödvändigtvis hjälpa

Regelbundet ändra ditt lösenord hjälper inte så mycket som du kanske tror. Om en angripare får tillgång till dina konton, kommer de med största sannolikhet att använda sin tillgång till att orsaka skada genast. Om de får tillgång till ditt bankkonto, loggar de in och försöker överföra pengar istället för att sitta och vänta. Om de får tillgång till ett online shoppingkonto loggar de in och försöker beställa produkter med din sparade kreditkortsinformation. Om de får tillgång till ditt e-postmeddelande, brukar de använda dem för skräppost och phishing eller försök att återställa lösenord på andra webbplatser med den. Om de får tillgång till ditt Facebook-konto, försöker de förmodligen att skräppost eller bedrägna dina vänner omedelbart.

Typiska angripare kommer inte hålla fast vid dina lösenord under en längre tid och snoopa på dig. Det är inte lönsamt - och angripare är efter vinst. Du märker om någon får tillgång till dina konton.

Ändra lösenordet regelbundet är också viktigt om du använder samma lösenord överallt, eftersom det är troligt att ditt lösenord ständigt läcker ut när en av de tjänster du använder är äventyrad. Snarare än att ändra det enda lösenordet regelbundet, bör du hantera det verkliga problemet här och använda unika lösenord överallt.

När du vill ändra lösenord

Ändra lösenord kan hjälpa till om någon som inte är en traditionell angripare har tillgång till ditt konto. Låt oss till exempel säga att du delade dina Netflix-inloggningsuppgifter med ex - du vill ändra ditt lösenord så att de inte kan använda ditt konto för alltid. Eller låt oss säga att någon nära dig har fått tillgång till ditt email- eller Facebook-lösenord och använt ditt lösenord för att spionera på dig. När du ändrar lösenordet förhindrar du i första hand denna typ av delning och snooping, vilket inte hindrar någon på andra sidan världen från att få tillgång.

Vanliga lösenordsändringar kan också vara värdefulla för vissa arbetssystem, men de bör användas med tanke. IT-administratörer bör inte tvinga användare att ändra sina lösenord ständigt såvida det inte finns en bra anledning - användarna kommer bara att börja använda svaga lösenord, skriva ner lösenord eller till och med växla fram och tillbaka mellan två favoritlösenord.

Lösenordsändringar som svar på specifika händelser är naturligtvis en bra sak. Det är en bra idé att ändra dina lösenord på webbplatser som var sårbara för Heartbleed, men har nu patchat det.Ändra ditt lösenord efter en webbplats har sin lösenordsdatabas stulen är också en bra idé.

Om du återanvända lösenord för olika webbplatser är det en bra idé om du ändrar ditt lösenord på alla dessa webbplatser om någon av dessa webbplatser är äventyrad. Men det här är det värsta du kan göra - den verkliga lösningen här använder unika lösenord, och du ändrar inte hela tiden ditt delade lösenord till en ny på alla tjänster du använder.

Fokus på användbar rådgivning

Problemet med att ge människor möjlighet att byta lösenord regelbundet är att det är så distraherande råd. Att använda starka, unika lösenord överallt är redan nästan omöjligt råd att göra om du inte använder en lösenordshanterare för att komma ihåg dem för dig. Tvåfaktorsautentisering är också till hjälp eftersom det kan hindra att dina konton blir åtkomliga även om någon stjäl dina lösenord. Snarare än att berätta för folk att regelbundet ändra sina lösenord, borde vi gå igenom användbara råd som "använd unika lösenord överallt" - något som de flesta inte gör för närvarande.

Detta är inte det enda råd vi inte håller med. För de flesta hemanvändare är det inte en dålig idé att skriva ner några lösenord, det är definitivt bättre än att återanvända samma lösenord överallt.

Vi är inte de enda som råder mot regelbundna, oskäliga lösenordsändringar. Säkerhetsexpert Bruce Schneier har skrivit om varför byta lösenord regelbundet inte är bra råd, medan Microsoft Research också har dragit slutsatsen att byta lösenord regelbundet är slöseri med tid. Ja, det finns vissa situationer där du kanske vill göra det - men rådgivning som "ändra lösenord var tredje månad" till typiska datoranvändare gör mer skada än bra.

Bildkredit: Rochelle Hartman på Flickr, Lulu Hoeller på Flickr, Joanna Poe på Flickr, Snoopsmaus på Flickr, meditit på Flickr