Ако редовно променяте паролите си?
„Редовно променяйте паролите си“ е често срещано съвети за пароли, но това не е задължително добър съвет. Не трябва да си правите труда да сменяте повечето пароли редовно - това ви насърчава да използвате по-слаби пароли и да губите времето си.
Да, има ситуации, в които редовно да променяте паролите си. Но това вероятно ще бъде по-скоро изключение, отколкото правило. Уведомяването на типичните компютърни потребители, които редовно трябва да променят паролите, е грешка.
Теория на обикновените промени в паролите
Редовни промени в паролите са теоретично добра идея, защото те гарантират, че някой не може да придобие паролата ви и да я използва за продължителен период от време.
Например, ако някой е получил паролата ви за електронна поща, те могат да се регистрират редовно във вашия имейл акаунт и да наблюдават комуникациите ви. Ако някой е получил вашата парола за онлайн банкиране, те могат да подслушват вашите транзакции или да се върнат след няколко месеца и да се опитат да прехвърлят пари към собствените си сметки. Ако някой е получил вашата парола за Facebook, те могат да влязат като вас и да наблюдават вашите лични комуникации.
Теоретично, промяната на паролите ви редовно - може би на всеки няколко месеца - ще ви помогне да предотвратите това. Дори ако някой е усвоил вашата парола, те ще имат само няколко месеца, за да използват достъпа си за злонамерени цели.
Недостатъците
Промените в паролите не трябва да се разглеждат във вакуум. Ако човешките същества са имали безкрайно време и перфектна памет, редовните промени на паролите биха били добра идея. В действителност промяната на паролите налага тежест върху хората.
Смяната на паролата ви редовно затруднява запомнянето на добри пароли. Вместо да създавате силна парола и да я записвате в паметта, трябва да се опитате да запомните нова парола на всеки няколко месеца. Потребителите, които са принудени редовно да променят паролата си от компютърна система, могат да добавят номер - така че могат да използват парола1, парола2 и т.н..
Достатъчно трудно е да променяте редовно паролата си за един профил и да си спомняте новата си парола всеки път. Но всички ние имаме много пароли - представете си, че трябва да сменяте паролата си редовно и постоянно да си спомняте уникални, силни пароли за голям брой услуги.
Вече е практически невъзможно да изберете силни, уникални пароли за всеки уебсайт и да ги запомните - затова препоръчваме да използвате мениджър на пароли като LastPass или KeePass. Ако промените паролата си на всеки няколко месеца, най-вероятно ще използвате по-слаби пароли и ще ги използвате отново на няколко уебсайта. Много по-важно е навсякъде да се използват силни, уникални пароли, отколкото редовно да променяте паролата си.
Защо промяната на паролите не е задължителна помощ
Редовното променяне на паролата ви няма да помогне толкова, колкото си мислите. Ако хакерът получи достъп до профилите ви, те най-вероятно ще използват техния достъп, за да причинят вреда веднага. Ако получат достъп до вашата онлайн банкова сметка, те ще влязат и ще се опитат да прехвърлят пари вместо да седят и чакат. Ако получат достъп до профил за онлайн пазаруване, те ще влязат в системата и ще се опитат да поръчат продукти със запазената информация за кредитна карта. Ако получат достъп до имейла ви, вероятно ще го използват за спам и фишинг, или ще се опитат да възстановят паролите на други сайтове с него. ако получат достъп до профила ви във Facebook, те вероятно ще се опитат незабавно да спамват или измамят приятелите си.
Типичните нападатели няма да задържат паролите ви за продължителен период от време и ще ви подслушват. Това не е печелившо - и нападателите са само след печалба. Ще забележите, ако някой получи достъп до профилите ви.
Редовното променяне на паролата също е от съществено значение, ако използвате една и съща парола навсякъде, защото е вероятно паролата ви да бъде постоянно пропускана, когато някоя от услугите, които използвате, е компрометирана. Вместо да сменяте тази парола редовно, трябва да се справяте с истинския проблем тук и да използвате уникални пароли навсякъде.
Когато искате да промените паролите
Промяната на паролите може да помогне, ако някой, който не е традиционен нападател, има достъп до профила ви. Например, да кажем, че споделяте данните си за вход в Netflix с едно - искате да промените паролата си, за да не могат да използват профила ви завинаги. Или, да кажем, някой близък до вас е получил достъп до вашата електронна поща или парола за Facebook и е използвал паролата ви, за да ви шпионира. Когато променяте паролите си, основно предотвратявате този тип споделяне на акаунт и подслушване, като не пречи на някой от другата страна на света да получи достъп.
Редовни промени в паролите също могат да бъдат полезни за някои работни системи, но те трябва да се използват с мисъл. ИТ администраторите не трябва да принуждават потребителите постоянно да променят паролите си, освен ако няма основателна причина - потребителите просто ще започнат да използват слаби пароли, да записват пароли или дори да превключват между две предпочитани пароли..
Разбира се, промените в паролите в отговор на конкретни събития са нещо добро. Добра идея е да промените паролите си на уебсайтове, които са уязвими към Heartbleed, но вече са я променяли. Промяната на паролата след открадването на базата данни с пароли също е добра идея.
Ако използвате повторно пароли за различни уебсайтове, промяната на паролата на всички тези сайтове е добра идея, ако някой от тези сайтове е компрометиран. Но това е най-лошото нещо, което можете да направите - истинското решение тук е използването на уникални пароли, без да променяте постоянно споделената си парола с нова на всички услуги, които използвате.
Съсредоточете се върху полезни съвети
Проблемът със съветването на хората да променят паролата си редовно е, че това е толкова разсейващ съвет. Използването на силни, уникални пароли навсякъде вече е почти невъзможно да се направи, ако не използвате мениджър на пароли, за да ги запомните за вас. Двуфакторното удостоверяване също е полезно, тъй като може да предотврати достъпа до профилите ви, дори ако някой ви открадне паролите. Вместо да казваме на хората редовно да променят паролите си, трябва да предаваме полезни съвети като „да използваме уникални пароли навсякъде“ - нещо, което повечето хора в момента не правят.
Това не е единственият съвет, с който не сме съгласни. За повечето домашни потребители записването на някои пароли всъщност не е лоша идея - определено е по-добре от повторното използване на същата парола навсякъде.
Ние не сме единствените, които съветват срещу редовни, безразборни промени в паролите. Експертът по сигурността Брус Шнайер пише, че промяната на паролите не е добър съвет, докато Microsoft Research заключи, че промяната на паролите е загуба на време. Да, има някои ситуации, в които може да искате да направите това - но предаването на съвети като „Промяна на паролите на всеки три месеца“ до типични компютърни потребители прави повече вреда, отколкото полза.
Кредит за изображението: rochelle hartman на Flickr, Lulu Hoeller на Flickr, Joanna Poe на Flickr, snoopsmaus на Flickr, medithIT на Flickr