Trebate li redovito mijenjati lozinke?
"Redovito mijenjajte svoje lozinke" uobičajen je savjet za lozinku, ali nije nužno dobar savjet. Ne biste se trebali zamarati redovito mijenjanjem većine lozinki - potiče vas da koristite slabije lozinke i trošite svoje vrijeme.
Da, postoje neke situacije u kojima želite redovito mijenjati zaporke. Ali to će vjerojatno biti iznimka, a ne pravilo. Pogrešno je reći tipičnim korisnicima računala da moraju redovito mijenjati svoje lozinke.
Teorija redovnih promjena u zaporkama
Redovne promjene lozinke teoretski su dobra ideja jer osiguravaju da netko ne može dobiti vašu zaporku i koristiti je za njuškanje tijekom dužeg vremenskog razdoblja..
Na primjer, ako je netko nabavio vašu zaporku e-pošte, mogli bi se redovito prijavljivati na vaš račun e-pošte i pratiti vaše komunikacije. Ako je netko stekao vašu lozinku za internetsko bankarstvo, mogli bi njuškati o vašim transakcijama ili se vratiti za nekoliko mjeseci i pokušati prebaciti novac na vlastite račune. Ako je netko stekao vašu lozinku za Facebook, mogli bi se prijaviti kao vi i pratiti vaše privatne komunikacije.
Teoretski, redovno mijenjanje zaporki - možda svakih nekoliko mjeseci - pomoći će da se to spriječi. Čak i ako bi netko dobio vašu zaporku, imali bi samo nekoliko mjeseci da iskoriste svoj pristup za zlobne svrhe.
The Downsides
Promjene zaporke ne bi se trebale razmatrati u vakuumu. Da su ljudska bića imala beskonačno vrijeme i savršenu memoriju, redovne promjene lozinki bile bi dobra ideja. U stvarnosti, mijenjanje lozinki nameće teret ljudima.
Redovito mijenjanje zaporke otežava pamćenje dobrih lozinki. Umjesto stvaranja jake zaporke i pohranjivanja u memoriju, morate pokušati zapamtiti novu lozinku svakih nekoliko mjeseci. Korisnici koji su prisiljeni redovito mijenjati svoju lozinku računalnim sustavom mogu završiti dodavanjem broja - tako da mogu koristiti lozinku1, lozinku2 i tako dalje.
Teško je redovito mijenjati zaporku za jedan račun i svaki put pamtiti novu zaporku. Ali svi mi imamo mnogo lozinki - zamislite da morate redovito mijenjati svoju lozinku i stalno pamtiti jedinstvene, jake lozinke za veliki broj usluga.
Već je u osnovi nemoguće odabrati jake, jedinstvene lozinke za svaku web stranicu i zapamtiti ih - zato preporučujemo korištenje upravitelja zaporki kao što su LastPass ili KeePass. Ako promijenite zaporku svakih nekoliko mjeseci, vjerojatno ćete upotrijebiti slabije zaporke i ponovno ih koristiti na više web-lokacija. Mnogo je važnije posvuda koristiti jake, jedinstvene lozinke nego redovito mijenjati zaporku.
Zašto promjena lozinke neće nužno pomoći
Redovito mijenjanje zaporke neće vam pomoći koliko mislite. Ako napadač dobije pristup vašim računima, najvjerojatnije će svoj pristup odmah iskoristiti za nanošenje štete. Ako dobiju pristup vašem bankovnom računu na mreži, prijavit će se i pokušati prebaciti novac umjesto da sjede i čekaju. Ako dobiju pristup računu za online kupnju, prijavit će se i pokušati naručiti proizvode s pohranjenim podacima o kreditnoj kartici. Ako dobiju pristup vašoj poruci e-pošte, vjerojatno će je upotrebljavati za neželjenu poštu i krađu identiteta ili pokušati poništiti zaporke na drugim web-lokacijama s njom. ako dobiju pristup vašem Facebook računu, vjerojatno će odmah pokušati spam ili prevariti vaše prijatelje.
Tipični napadači neće zadržati vaše lozinke dulje vrijeme i njuškati na vas. To nije isplativo - a napadači su samo nakon profita. Primijetit ćete ako netko dobije pristup vašim računima.
Redovita izmjena zaporke također je bitna ako koristite istu lozinku posvuda, jer je vjerojatno da je vaša lozinka stalno procurila kada je jedna od usluga koju koristite kompromitirana. Umjesto redovitog mijenjanja te jednostavne lozinke, ovdje se trebate nositi s pravim problemom i posvuda koristiti jedinstvene lozinke.
Kada želite promijeniti lozinke
Promjena zaporki može pomoći ako netko tko nije tradicionalni napadač ima pristup vašem računu. Na primjer, recimo da ste podijelili svoje vjerodajnice za prijavu na Netflix s bivšim korisnikom da biste htjeli promijeniti zaporku kako ne bi mogli zauvijek koristiti vaš račun. Ili, recimo da je netko blizak vama dobio pristup vašoj e-pošti ili Facebookovoj lozinki i upotrijebio vašu zaporku kako bi vas špijunirao. Kada promijenite zaporke, prvenstveno sprječavate ovu vrstu dijeljenja računa i njuškanja, ne sprječavajući nekoga s druge strane svijeta da dobije pristup.
Redovne promjene lozinki također mogu biti korisne za neke radne sustave, ali ih treba koristiti s mišlju. IT administratori ne bi trebali prisiljavati korisnike da stalno mijenjaju svoje lozinke, osim ako postoji dobar razlog - korisnici će početi koristiti slabe lozinke, zapisivati lozinke ili čak prebacivati između dvije omiljene zaporke.
Promjene lozinke kao odgovor na određene događaje su, naravno, dobre stvari. Dobro je promijeniti zaporke na web-lokacijama koje su ranjive na Heartbleed, ali su ih sada zakrpile. Promjena lozinke nakon uklanjanja baze podataka za lozinke također je dobra ideja.
Ako ponovno upotrebljavate zaporke za različite web-lokacije, izmjena zaporke na svim tim web-lokacijama dobra je ideja ako je jedna od tih web-lokacija ugrožena. No, to je najgora stvar koju možete učiniti - pravo rješenje ovdje je upotreba jedinstvenih zaporki, a ne stalno mijenjanje zajedničke zaporke u novu za sve usluge koje upotrebljavate.
Usredotočite se na korisne savjete
Problem s savjetovanjem ljudi da redovito mijenjaju zaporku je da je to tako zbunjujući savjet. Korištenje jakih, jedinstvenih lozinki svugdje je gotovo gotovo nemoguć savjet ako ne koristite upravitelj lozinki da biste ih zapamtili za vas. Dvostruka provjera autentičnosti također je korisna jer može spriječiti pristup vašim računima čak i ako netko ukrade vaše lozinke. Umjesto da ljudima kažu da redovno mijenjaju svoje zaporke, trebali bismo proslijediti korisne savjete poput "upotrebljavajte jedinstvene zaporke posvuda" - što većina ljudi trenutno ne radi.
To nije jedini savjet s kojim se ne slažemo. Za većinu kućnih korisnika zapisivanje nekih lozinki zapravo i nije loša ideja - to je definitivno bolje nego ponovno korištenje iste lozinke posvuda.
Mi nismo jedini koji savjetuju protiv redovitih, neselektivnih promjena lozinki. Stručnjak za sigurnost Bruce Schneier je pisao o tome zašto redovito mijenjanje lozinki nije dobar savjet, dok je Microsoft Research zaključio da je mijenjanje lozinki redovito gubitak vremena. Da, postoje neke situacije u kojima to možda želite učiniti - ali prosljeđivanje savjeta poput "promijenite zaporke svaka tri mjeseca" tipičnim korisnicima računala čini više štete nego koristi.
Image Credit: rochelle hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, medithIT na Flickr