Ja, det er noen situasjoner hvor du vil regelmessig endre passordene dine. Men de vil trolig være unntaket i stedet for regelen. Å telle typiske datamaskinbrukere som de trenger for å endre passordene sine regelmessig, er en feil.
Theory of Regular Passord Endringer
Vanlige passordendringer er teoretisk en god ide fordi de sikrer at noen ikke kan skaffe seg passordet ditt og bruke det til å snuse på deg over en lengre periode.
For eksempel, hvis noen kjøpte e-postpassordet ditt, kunne de logge på e-postkontoen din regelmessig og overvåke kommunikasjonen din. Hvis noen kjøpte nettbankpassordet ditt, kunne de snuse på transaksjonene dine eller komme tilbake i flere måneder og forsøke å overføre penger til egne kontoer. Hvis noen kjøpte ditt Facebook-passord, kunne de logge inn som deg og overvåke din private kommunikasjon.
Teoretisk sett vil endring av passordene dine regelmessig - kanskje hvert par måneder - bidra til å forhindre at dette skjer. Selv om noen fikk passordet ditt, ville de bare ha noen få måneder til å bruke tilgangen deres til å gjøre det for å gjøre det.
Downsides
Passordendringer bør ikke vurderes i vakuum. Hvis mennesker hadde uendelig tid og perfekt minne, ville vanlige passordendringer være en fin idé. I virkeligheten påfører endring av passord en byrde på mennesker.
Å endre passordet ditt gjør det ofte vanskeligere å huske gode passord. I stedet for å opprette et sterkt passord og forplikte det til minne, må du prøve å huske et nytt passord hvert par måneder. Brukere som er tvunget til å endre sitt passord regelmessig av et datasystem, kan ende opp med å legge til et nummer - så de kan bruke passord1, passord2 og så videre.
Det er vanskelig nok å endre passordet ditt regelmessig for en enkelt konto, og husk det nye passordet hver gang. Men vi har alle mange passord - tenk å måtte endre passordet regelmessig og stadig huske unike, sterke passord for et stort antall tjenester.
Det er allerede i utgangspunktet umulig å velge sterke, unike passord for hvert nettsted og huske dem - derfor anbefaler vi at du bruker en passordbehandling som LastPass eller KeePass. Hvis du endrer passordet ditt noen få måneder, vil du sannsynligvis ende opp med å bruke svakere passord og bruke dem på nytt på flere nettsteder. Det er mye viktigere å bruke sterke, unike passord overalt enn å endre passordet ditt regelmessig.
Hvorfor endre passord vil ikke nødvendigvis hjelpe
Regelmessig å endre passordet ditt vil ikke hjelpe så mye du kanskje tror. Hvis en angriper får tilgang til kontoene dine, vil de mest sannsynlig bruke deres tilgang til å forårsake skade med en gang. Hvis de får tilgang til din bankkonto, logger de inn og forsøker å overføre penger fremfor å sitte og vente. Hvis de får tilgang til en online shoppingkonto, logger de inn og forsøker å bestille produkter med din lagrede kredittkortinformasjon. Hvis de får tilgang til e-posten din, vil de sannsynligvis bruke den til spam og phishing, eller forsøke å tilbakestille passord på andre nettsteder med den. Hvis de får tilgang til Facebook-kontoen din, vil de sannsynligvis forsøke å spamme eller bedra dine venner umiddelbart.
Typiske angripere vil ikke holde på passordene dine i lengre tid og snoop på deg. Det er ikke lønnsomt - og angriperne er like etter fortjeneste. Du vil legge merke til om noen får tilgang til kontoene dine.
Endring av passordet ditt regelmessig er også viktig hvis du bruker det samme passordet overalt, fordi det er sannsynlig at passordet ditt blir stadig lekket når en av tjenestene du bruker, er kompromittert. I stedet for å endre det enkelte passordet regelmessig, bør du håndtere det virkelige problemet her og bruke unike passord overalt.
Når du vil endre passord
Endring av passord kan hjelpe hvis noen som ikke er en tradisjonell angriper, har tilgang til kontoen din. For eksempel, la oss si at du delte Netflix-påloggingsopplysningene dine med en ex - du vil endre passordet ditt slik at de ikke kan bruke kontoen din for alltid. Eller la oss si at noen i nærheten av deg har fått tilgang til e-post eller Facebook-passordet ditt og brukt passordet ditt til å spionere på deg. Når du endrer passordene dine, forhindrer du først og fremst denne typen kontodeling og snooping, og hindrer ikke at noen på den andre siden av verden får tilgang.
Vanlige passordendringer kan også være verdifulle for noen arbeidssystemer, men de bør brukes med tanke. IT-administratorer bør ikke tvinge brukere til å endre passordene sine hele tiden, med mindre det er en god grunn - brukere vil bare begynne å bruke svake passord, skrive ned passord, eller til og med bytte frem og tilbake mellom to favorittpassord.
Passord endringer som svar på bestemte hendelser er en god ting, selvfølgelig. Det er en god ide å endre passordene dine på nettsteder som var sårbare for Heartbleed, men har nå patched det. Endre passordet ditt etter et nettsted har sin passorddatabase som er stjålet, er også en god ide.
Hvis du gjenbruker passord for forskjellige nettsteder, er det en god ide å endre passordet ditt på alle disse nettstedene hvis et av disse nettstedene er kompromittert. Men dette er det verste du kan gjøre - den virkelige løsningen her bruker unike passord, og du endrer ikke hele ditt felles passord til en ny på alle tjenestene du bruker.
Fokus på nyttig råd
Problemet med å gi folk til å endre passordet regelmessig, er at det er slik distraherende råd. Å bruke sterke, unike passord overalt er allerede nesten umulig råd å gjøre hvis du ikke bruker en passordbehandling for å huske dem for deg. Tofaktorautentisering er også nyttig, da det kan forhindre at kontoene dine nås, selv om noen stjeler passordene dine. I stedet for å fortelle folk å regelmessig endre passordene sine, bør vi overføre nyttige råd som "bruk unike passord overalt" - noe de fleste ikke for tiden gjør.
Dette er ikke det eneste råd vi er uenige med. For de fleste hjemmebrukere er det ikke en dårlig ide å skrive ned noen passord, det er definitivt bedre enn å gjenbruke det samme passordet overalt.
Vi er ikke de eneste som advarer mot vanlige, uavhengige passordendringer. Sikkerhetsekspert Bruce Schneier har skrevet om hvorfor endring av passord regelmessig ikke er godt råd, mens Microsoft Research også har konkludert med at endring av passord regelmessig er sløsing med tid. Ja, det er noen situasjoner hvor du kanskje vil gjøre dette - men passerer på råd som "endre passordene dine hver tredje måned" til typiske datamaskinbrukere gjør mer skade enn godt.
