Да, има някои ситуации, в които ще искате редовно да променяте паролите си. Но това вероятно ще бъде изключение, а не правило. Казвайки типични компютърни потребители, които трябва редовно да променят паролите си, е грешка.
Теорията на редовните промени в паролите
Редовните промени в паролата са теоретично добра идея, защото те гарантират, че някой не може да получи паролата ви и да я използва, за да ви потърси за продължителен период от време.
Например, ако някой е придобил паролата ви за електронна поща, той може редовно да влиза в имейл акаунта ви и да следи комуникациите ви. Ако някой е придобил паролата ви за онлайн банкиране, той би могъл да следи за транзакциите ви или да се върне след няколко месеца и да се опита да прехвърли пари на собствените си сметки. Ако някой е придобил паролата ви във Facebook, той може да влезе в профила си и да следи личните ви съобщения.
Теоретично, промяната на паролите ви редовно - може би на всеки няколко месеца - ще ви помогне да предотвратите това. Дори ако някой получи паролата ви, ще имат само няколко месеца, за да използват достъпа си за престъпни цели.
Вътрешности
Промените в паролите не трябва да се разглеждат във вакуум. Ако хората са имали безкрайно време и добра памет, редовните промени в паролата биха били добра идея. В действителност променящите се пароли налагат тежест върху хората.
Промяната на паролата ви прави по-трудно да запомните добри пароли. Вместо да създавате силна парола и да я ангажирате с памет, трябва да се опитате да запомните нова парола на всеки няколко месеца. Потребителите, които са принудени редовно да променят паролата си от компютърна система, може да се окажат с добавяне на номер - затова може да използват парола1, парола2 и т.н.
Трудно е да промените редовно паролата си за един профил и да си спомните новата си парола всеки път. Но ние всички имаме много пароли - представете си, че трябва редовно да променяте паролата си и постоянно да си спомняте уникални, силни пароли за голям брой услуги.
Вече е невъзможно да изберете силни и уникални пароли за всеки уебсайт и да ги запомните - затова препоръчваме да използвате пароли като LastPass или KeePass. Ако промените паролата си на всеки няколко месеца, най-вероятно ще се окажете с по-слаби пароли и ще ги използвате отново в няколко уебсайта. Много по-важно е да използвате силни, уникални пароли навсякъде, отколкото редовно да променяте паролата си.
Защо промяната на паролите няма да е необходима помощ
Редовното смяна на паролата ви няма да ви помогне толкова, колкото може да мислите. Ако нападателят получи достъп до профилите ви, те най-вероятно ще използват достъпа си, за да причинят вреда веднага. Ако получат достъп до вашата онлайн банкова сметка, те ще влязат и ще се опитат да прехвърлят пари, а не да седят и да чакат. Ако получат достъп до акаунт за онлайн пазаруване, те ще влязат в профила си и ще се опитат да поръчат продукти с вашата запазена информация за кредитна карта. Ако получат достъп до имейла ви, вероятно ще го използват за спам и фишинг, или ще се опитат да възстановят паролите на други сайтове с него. ако получат достъп до профила ви в Facebook, вероятно ще се опитат да спасят или да измамят приятелите ви незабавно.
Типичните нападатели няма да задържат вашите пароли за продължителен период от време и ще ви гледат. Това не е печелившо - а нападателите са само след печалба. Ще забележите, че някой има достъп до профилите ви.
Промяната на паролата ви редовно също е от съществено значение, ако използвате една и съща парола навсякъде, защото вероятно е вашата парола непрекъснато да се пропуска, когато някоя от услугите, която използвате, е компрометирана. Вместо да променяте редовно тази парола, трябва да се справите с истинския проблем тук и да използвате уникални пароли навсякъде.
Когато искате да промените паролите
Промяната на паролите може да помогне, ако някой, който не е традиционен нападател, има достъп до профила ви. Да приемем например, че сте споделили данните си за вход Netflix с ex - ще искате да промените паролата си, за да не могат да използват профила ви завинаги. Или, да кажем, че някой близо до вас е имал достъп до имейла ви или Facebook паролата и е използвал паролата ви, за да ви шпионира. Когато променяте паролите си, предотвратявате предимно подобен вид споделяне на профили и прослушване, като не се възпрепятства достъпът на хора от другата страна на света.
Редовните промени в паролата също могат да бъдат ценни за някои работни системи, но те трябва да се използват с мисълта. ИТ администраторите не трябва да принуждават потребителите постоянно да променят паролите си, освен ако няма основателна причина - потребителите просто ще започнат да използват слаби пароли, да записват пароли или дори да превключват назад и напред между две любими пароли.
Промяната на паролите в отговор на конкретни събития е нещо добро, разбира се. Добра идея е да промените паролите си на уебсайтове, които са уязвими към Heartbleed, но сега сте я залепили. Промяната на паролата ви, след като уебсайтът е откраднал базата си от пароли, също е добра идея.
Ако използвате повторно пароли за различни уебсайтове, промяната на паролата ви на всички тези сайтове е добра идея, ако някой от тези сайтове бъде компрометиран. Но това е най-лошото нещо, което можете да направите - истинското решение тук е да използвате уникални пароли, като не постоянно променяте споделената си парола в нова за всички услуги, които използвате.
Фокусирайте се върху полезни съвети
Проблемът с съветването на хората редовно да променят паролата е, че това е толкова разсейващ съвет. Използването на силни, уникални пароли навсякъде е вече почти невъзможно, ако не използвате мениджър на пароли, за да ги запомните за вас. Двуфакторното удостоверяване също е полезно, тъй като може да предотврати достъпа до профилите ви, дори ако някой открадне паролите ви. Вместо да казвате на хората редовно да променят паролите си, трябва да даваме полезни съвети като "използвайте уникални пароли навсякъде" - нещо, което повечето хора в момента не правят.
Това не е единственият съвет, с който не сме съгласни. За повечето домашни потребители записването на някои пароли всъщност не е лоша идея - определено е по-добре, отколкото да се използва същата парола навсякъде.
Ние не сме единствените, които съветват редовните, безразборни промени в паролата. Експерт по сигурността Брус Шнайър е написал защо промяната на пароли редовно не е добър съвет, докато Microsoft Research също така заключи, че промяната на пароли редовно е загуба на време. Да, има някои ситуации, в които може да искате да направите това, но прехвърлянето на съвети като "променяйте паролите си на всеки три месеца" на типичните компютърни потребители прави повече вреда, отколкото полза.
