Główna » jak » Czy regularnie zmieniasz swoje hasła?

    Czy regularnie zmieniasz swoje hasła?

    "Regularne zmienianie haseł" jest częstym zaleceniem dotyczącym haseł, ale niekoniecznie jest to dobra rada. Nie powinieneś regularnie zmieniać większości haseł - zachęca to do używania słabszych haseł i marnowania czasu.

    Tak, są sytuacje, w których chcesz regularnie zmieniać hasła. Ale to prawdopodobnie będzie raczej wyjątkiem niż regułą. Mówienie typowym użytkownikom komputerów, którzy muszą regularnie zmieniać hasła, jest błędem.

    Teoria zwykłych zmian hasła

    Regularne zmiany haseł są teoretycznie dobrym pomysłem, ponieważ zapewniają, że ktoś nie może uzyskać Twojego hasła i używać go do podsłuchiwania przez dłuższy czas.

    Na przykład, jeśli ktoś uzyskał twoje hasło e-mail, może regularnie logować się na swoje konto e-mail i monitorować komunikację. Jeśli ktoś uzyskał twoje hasło do bankowości internetowej, może podsłuchać twoje transakcje lub wrócić za kilka miesięcy i spróbować przelać pieniądze na swoje własne konta. Jeśli ktoś uzyskał twoje hasło do Facebooka, może zalogować się jako Ty i monitorować prywatne połączenia.

    Teoretycznie regularne zmienianie haseł - być może co kilka miesięcy - pomoże temu zapobiec. Nawet jeśli ktoś zdobyłby twoje hasło, mieliby tylko kilka miesięcy na wykorzystanie ich w nikczemnych celach.

    The Downsides

    Zmiany hasła nie powinny być rozpatrywane w próżni. Gdyby istoty ludzkie miały nieskończony czas i doskonałą pamięć, regularne zmiany hasła byłyby dobrym pomysłem. W rzeczywistości zmiana hasła stanowi obciążenie dla ludzi.

    Regularna zmiana hasła utrudnia zapamiętanie dobrych haseł. Zamiast tworzyć silne hasło i zatwierdzać je w pamięci, należy co kilka miesięcy próbować zapamiętać nowe hasło. Użytkownicy, którzy są zmuszeni do regularnej zmiany hasła przez system komputerowy, mogą zakończyć dodawanie numeru - mogą więc używać hasła 1, hasła 2 itd..

    Wystarczająco trudne jest regularne zmienianie hasła dla pojedynczego konta i każdorazowe zapamiętanie nowego hasła. Ale wszyscy mamy wiele haseł - wyobraź sobie konieczność regularnego zmieniania hasła i ciągłego zapamiętywania unikalnych, silnych haseł dla dużej liczby usług.

    Zasadniczo niemożliwe jest wybranie silnych, unikatowych haseł dla każdej witryny i zapamiętanie ich - dlatego zalecamy korzystanie z menedżera haseł, takiego jak LastPass lub KeePass. Jeśli zmienisz hasło co kilka miesięcy, najprawdopodobniej skończy się używanie słabszych haseł i wielokrotne używanie ich w wielu witrynach. O wiele ważniejsze jest używanie silnych, unikatowych haseł wszędzie, niż regularne zmienianie hasła.

    Dlaczego zmiana haseł nie pomoże w sposób konieczny

    Regularna zmiana hasła nie pomoże tak bardzo, jak mogłoby się wydawać. Jeśli atakujący uzyska dostęp do Twoich kont, najprawdopodobniej wykorzysta ich dostęp, aby od razu spowodować szkody. Jeśli uzyska dostęp do konta bankowego online, zalogują się i spróbują przelać pieniądze, zamiast siedzieć i czekać. Jeśli uzyskają dostęp do konta online, będą się logować i próbować zamówić produkty z zapisanymi danymi karty kredytowej. Jeśli uzyskają dostęp do Twojego adresu e-mail, prawdopodobnie użyją go do spamu i phishingu, lub spróbują zresetować hasła w innych witrynach z nim. jeśli uzyskają dostęp do twojego konta na Facebooku, prawdopodobnie spróbują od razu spamować lub oszukiwać swoich znajomych.

    Typowi napastnicy nie będą trzymać twoich haseł przez dłuższy czas i będą cię śledzić. To nie jest opłacalne - a napastnicy są tuż po zyskach. Zauważysz, że ktoś uzyska dostęp do Twoich kont.

    Regularna regularna zmiana hasła jest również niezbędna, jeśli używasz tego samego hasła wszędzie, ponieważ prawdopodobnie Twoje hasło jest ciągle wyciekane, gdy zostanie naruszona jedna z używanych przez ciebie usług. Zamiast zmieniać to jedno hasło regularnie, powinieneś poradzić sobie z prawdziwym problemem tutaj i używać unikalnych haseł wszędzie.

    Kiedy chcesz zmienić hasło

    Zmiana hasła może pomóc, jeśli ktoś, kto nie jest tradycyjnym napastnikiem, ma dostęp do Twojego konta. Na przykład, powiedzmy, że udostępniłeś swoje dane logowania do Netflix za pomocą ex - będziesz chciał zmienić hasło, aby nie mogły korzystać z Twojego konta na zawsze. Lub, powiedzmy, ktoś bliski uzyskał dostęp do Twojego adresu e-mail lub hasła na Facebooku i użył Twojego hasła do szpiegowania Ciebie. Gdy zmieniasz hasła, przede wszystkim uniemożliwiasz tego typu udostępnianie i szpiegowanie kont, nie uniemożliwiając dostępu innej osobie z drugiego krańca świata.

    Regularne zmiany haseł mogą być również cenne dla niektórych systemów pracy, ale powinny być używane z myślą. Administratorzy IT nie powinni wymuszać na użytkownikach ciągłej zmiany haseł, chyba że istnieje ku temu dobry powód - użytkownicy będą po prostu używać słabych haseł, zapisywać hasła, a nawet przełączać się między dwoma ulubionymi hasłami.

    Zmiany haseł w odpowiedzi na określone zdarzenia są oczywiście dobrą rzeczą. Dobrym pomysłem jest zmiana haseł na stronach, które były podatne na Heartbleed, ale teraz je załatano. Dobrym pomysłem jest także zmiana hasła po skradzionej bazie danych haseł.

    Jeśli używasz haseł do różnych witryn, zmiana hasła na tych stronach jest dobrym pomysłem, jeśli jedna z tych stron zostanie naruszona. Ale to najgorsza rzecz, jaką możesz zrobić - prawdziwym rozwiązaniem jest użycie unikatowych haseł, nie zmieniających stale udostępnianego hasła na nowe we wszystkich usługach, z których korzystasz.

    Skoncentruj się na przydatnych poradach

    Problem z doradzaniem ludziom, aby regularnie zmieniać hasło, jest tak rozpraszający. Używanie silnych, unikatowych haseł wszędzie jest już prawie niemożliwe do zrobienia, jeśli nie używasz menedżera haseł, aby je zapamiętać. Użyteczne jest również uwierzytelnianie dwuskładnikowe, ponieważ może to uniemożliwić dostęp do twoich kont, nawet jeśli ktoś ukradnie twoje hasła. Zamiast nakłaniać ludzi do regularnej zmiany haseł, powinniśmy przekazywać użyteczne porady, takie jak "używaj unikalnych haseł wszędzie" - coś, czego większość ludzi obecnie nie robi.

    Nie jest to jedyna porada, z którą się nie zgadzamy. Dla większości użytkowników domowych zapisanie niektórych haseł nie jest wcale złym pomysłem - zdecydowanie lepiej jest używać wszędzie tego samego hasła.


    Nie jesteśmy jedynymi doradcami przeciwko regularnym, masowym zmianom haseł. Bruce Schneier, ekspert ds. Bezpieczeństwa, napisał o tym, dlaczego regularne zmienianie haseł nie jest dobrą radą, podczas gdy Microsoft Research stwierdził także, że regularne zmienianie haseł to strata czasu. Tak, są sytuacje, w których możesz chcieć to zrobić - ale przekazywanie porad jak "zmieniaj hasła co trzy miesiące" typowym użytkownikom komputerów przynosi więcej szkód niż dobrych.

    Image Credit: rochelle hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, medithIT na Flickr