Да, есть ситуации, когда вы захотите регулярно менять свои пароли. Но скорее всего это скорее исключение, чем правило. Говорить типичным пользователям компьютеров, что они должны регулярно менять свои пароли, является ошибкой.
Теория регулярных изменений пароля
Регулярные изменения пароля - теоретически хорошая идея, потому что они гарантируют, что кто-то не сможет получить ваш пароль и использовать его, чтобы отслеживать вас в течение длительного периода времени.
Например, если кто-то приобрел ваш пароль электронной почты, они могут регулярно регистрироваться в вашей учетной записи электронной почты и отслеживать ваши сообщения. Если кто-то приобрел ваш пароль в онлайн-банке, они могут отслеживать ваши транзакции или вернуться через несколько месяцев и попытаться перевести деньги на свои собственные счета. Если кто-то приобрел ваш пароль в Facebook, они могут войти в систему как вы и контролировать свои личные сообщения.
Теоретически, регулярное изменение ваших паролей - возможно, каждые несколько месяцев - поможет предотвратить это. Даже если кто-то действительно приобрел ваш пароль, у них будет всего несколько месяцев, чтобы использовать их доступ в гнусных целях.
Недостатки
Изменения пароля не следует рассматривать в вакууме. Если бы у людей было бесконечное время и прекрасная память, регулярные изменения пароля были бы прекрасной идеей. На самом деле изменение паролей накладывает нагрузку на людей.
Изменение пароля регулярно затрудняет запоминание хороших паролей. Вместо того, чтобы создавать надежный пароль и передавать его в память, вы должны пытаться запомнить новый пароль каждые несколько месяцев. Пользователи, которые вынуждены регулярно менять свой пароль с помощью компьютерной системы, могут в конечном итоге добавить число - поэтому они могут использовать пароль1, пароль2 и т. Д.
Достаточно сложно регулярно менять пароль для одной учетной записи и каждый раз помнить свой новый пароль. Но у всех нас много паролей - представьте, что вам приходится регулярно менять свой пароль и постоянно помнить уникальные надежные пароли для большого количества сервисов.
Уже практически невозможно выбрать сильные уникальные пароли для каждого веб-сайта и запомнить их - вот почему мы рекомендуем использовать менеджер паролей, такой как LastPass или KeePass. Если вы меняете свой пароль каждые несколько месяцев, скорее всего, вы будете использовать более слабые пароли и повторно использовать их на нескольких веб-сайтах. Гораздо важнее использовать сильные уникальные пароли во всем мире, чем регулярно менять пароль.
Почему изменение паролей не обязательно поможет
Регулярное изменение пароля не поможет, как вы думаете. Если злоумышленник получает доступ к вашим учетным записям, они, скорее всего, будут использовать их доступ, чтобы сразу же нанести урон. Если они получат доступ к вашей учетной записи онлайн-банкинга, они войдут в систему и попытаются перевести деньги, а не сидеть и ждать. Если они получат доступ к учетной записи онлайн-покупок, они войдут в систему и попытаются заказать продукты с сохраненной информацией о кредитной карте. Если они получат доступ к вашей электронной почте, они, скорее всего, будут использовать его для спама и фишинга, или попытаются сбросить пароли на других сайтах с ним. если они получат доступ к вашей учетной записи Facebook, они, вероятно, попытаются немедленно спамить или обмануть ваших друзей.
Обычные злоумышленники не будут удерживать ваши пароли в течение длительного периода времени и отслеживать вас. Это не выгодно - и нападающие сразу после прибыли. Вы заметите, что кто-то получает доступ к вашим аккаунтам.
Регулярное изменение пароля также важно, если вы используете один и тот же пароль повсюду, потому что, вероятно, ваш пароль постоянно просачивается, когда одна из служб, которые вы используете, скомпрометирована. Вместо того, чтобы регулярно менять этот единственный пароль, вы должны иметь дело с реальной проблемой здесь и использовать уникальные пароли повсюду.
Когда вы хотите изменить пароли
Изменение паролей может помочь, если у кого-то, кто не является обычным злоумышленником, есть доступ к вашей учетной записи. Например, предположим, что вы поделились учетными данными входа в Netflix с ex - вы захотите изменить свой пароль, чтобы они не могли использовать вашу учетную запись навсегда. Или, скажем, кто-то рядом с вами получил доступ к вашему паролю электронной почты или Facebook и использовал ваш пароль, чтобы шпионить за вами. Когда вы меняете свои пароли, вы в первую очередь предотвращаете такой общий доступ к учетной записи и отслеживание, а не предотвращаете доступ к кому-либо на другой стороне мира.
Регулярные изменения пароля также могут быть полезны для некоторых рабочих систем, но их следует использовать с мыслью. ИТ-администраторы не должны заставлять пользователей постоянно менять свои пароли, если нет веской причины - пользователи начнут использовать слабые пароли, записывая пароли или даже переключаться между двумя любимыми паролями.
Конечно, изменения пароля в ответ на конкретные события - это хорошая вещь. Это хорошая идея, чтобы изменить свои пароли на сайтах, которые были уязвимы для Heartbleed, но теперь исправили его. Изменение пароля после того, как сайт украл свою базу паролей, также является хорошей идеей.
Если вы повторно используете пароли для разных сайтов, изменение пароля на всех этих сайтах - хорошая идея, если один из этих сайтов подвергнут риску. Но это самое худшее, что вы можете сделать - реальное решение здесь использует уникальные пароли, а не постоянное изменение вашего общего пароля на новый для всех используемых вами сервисов.
Сосредоточьтесь на полезных советах
Проблема с рекомендацией людям регулярно менять пароль - это такой отвлекающий совет. Использование сильных уникальных паролей во всем мире уже почти невозможно, если вы не используете диспетчер паролей, чтобы запомнить их для вас. Двухфакторная аутентификация также полезна, поскольку она может препятствовать доступу ваших учетных записей, даже если кто-то украл ваши пароли. Вместо того, чтобы сообщать людям регулярно менять свои пароли, мы должны передавать полезные советы, такие как «использовать уникальные пароли повсюду» - то, что сейчас не делают большинство людей.
Это не единственный совет, с которым мы не согласны. Для большинства домашних пользователей запись некоторых паролей на самом деле не плохая идея - это определенно лучше, чем повторное использование одного и того же пароля во всем мире.
Мы не единственные, кто советует не менять регулярные, неизбирательные изменения пароля. Эксперт по безопасности Брюс Шнайер написал о том, почему изменение паролей регулярно не является хорошим советом, в то время как Microsoft Research также приходит к выводу, что смена паролей регулярно является пустой тратой времени. Да, есть ситуации, когда вы можете это сделать, но консультирование, например «изменение ваших паролей раз в три месяца», типичным пользователям компьютеров приносит больше вреда, чем пользы.
