Ali morate redno spreminjati gesla?
»Redno spreminjanje gesel« je običajen nasvet za geslo, vendar ni nujno, da je dober nasvet. Ne smete redno spreminjati večino gesel - spodbuja vas, da uporabljate šibkejša gesla in zapravljate svoj čas.
Da, v nekaterih primerih boste želeli redno spreminjati gesla. Vendar bodo to verjetno bolj izjema kot pravilo. Običajni računalniški uporabniki, ki jih morajo redno spreminjati, je napaka.
Teorija rednih geselnih sprememb
Redne spremembe gesel so teoretično dobra ideja, ker zagotavljajo, da nekdo ne more pridobiti vašega gesla in ga uporabiti, da bi vas preganja v daljšem časovnem obdobju..
Na primer, če je nekdo pridobil vaše e-poštno geslo, se lahko redno prijavlja v vaš e-poštni račun in spremlja vaše komunikacije. Če je nekdo pridobil vaše geslo za spletno bančništvo, bi lahko poskakal vaše transakcije ali se vrnil čez nekaj mesecev in poskušal prenesti denar na svoje račune. Če je nekdo pridobil vaše geslo za Facebook, se lahko prijavite kot vi in spremlja vaše zasebne komunikacije.
Teoretično bo spreminjanje gesel redno - morda vsakih nekaj mesecev - pomagalo preprečiti to. Tudi če bi nekdo pridobil vaše geslo, bi imeli na voljo le nekaj mesecev, da uporabijo njihov dostop za zlobne namene.
Slabosti
Spreminjanje gesel se ne sme obravnavati v vakuumu. Če bi človek imel neskončen čas in popoln spomin, bi bile redne spremembe gesel dobra ideja. V resnici spreminjanje gesel nalaga breme ljudem.
Z rednim spreminjanjem gesla je težje zapomniti dobra gesla. Namesto ustvarjanja močnega gesla in objave v pomnilniku, si morate vsakih nekaj mesecev zapomniti novo geslo. Uporabniki, ki so prisiljeni redno spreminjati geslo z računalniškim sistemom, lahko na koncu dodajo številko - tako da lahko uporabijo geslo1, geslo2 in tako naprej.
Redno spreminjate geslo za en račun in si vsakič zapomnite svoje novo geslo. Vendar imamo vsi veliko gesel - zamislite si, da morate redno spreminjati geslo in se nenehno spominjati edinstvenih, močnih gesel za veliko število storitev.
V bistvu je nemogoče izbrati močna, edinstvena gesla za vsako spletno stran in si jih zapomniti - zato priporočamo uporabo skrbnika gesel, kot sta LastPass ali KeePass. Če geslo spremenite vsakih nekaj mesecev, boste verjetno uporabili šibkejša gesla in jih znova uporabili na več spletnih mestih. Veliko bolj pomembno je, da uporabljate močna, edinstvena gesla povsod, kot da redno spreminjate geslo.
Zakaj spreminjanje gesel ne bo nujno pomagalo
Redno spreminjanje gesla ne bo pomagalo, kot si morda mislite. Če napadalec pridobi dostop do vaših računov, bo njihov dostop najverjetneje takoj uporabil za povzročanje škode. Če bodo imeli dostop do vašega spletnega bančnega računa, se bodo prijavili in poskušali prenesti denar, namesto da bi sedeli in čakali. Če dobijo dostop do računa za spletno nakupovanje, se bodo prijavili in poskusili naročiti izdelke z shranjenimi podatki o kreditni kartici. Če dobijo dostop do vašega e-poštnega sporočila, ga bodo najverjetneje uporabljali za neželeno pošto in lažno predstavljanje ali poskusile ponastaviti gesla na drugih spletnih mestih. če dobijo dostop do vašega Facebook računa, bodo verjetno poskušali takoj spam ali prevarati prijatelje.
Običajni napadalci ne bodo zadržali vaših gesel za daljše časovno obdobje in vas bodo odrinili. To ni donosno - in napadalci so šele po dobičku. Opazili boste, če nekdo pridobi dostop do vaših računov.
Redno spreminjanje gesla je bistvenega pomena tudi, če uporabljate isto geslo povsod, ker je verjetno, da bo vaše geslo nenehno puščalo, če je ena od storitev, ki jih uporabljate, ogrožena. Namesto rednega spreminjanja tega enotnega gesla se je treba lotiti resničnega problema in povsod uporabiti edinstvena gesla.
Ko želite spremeniti gesla
Spreminjanje gesel lahko pomaga, če ima kdo, ki ni tradicionalni napadalec, dostop do vašega računa. Na primer, recimo, da ste svoje poverilnice za prijavo v Netflix dali v skupno rabo z nekdanjim, ki jih boste želeli spremeniti, tako da ne bodo več uporabljali vašega računa. Ali pa recimo, da je nekdo, ki je blizu vas, pridobil dostop do vašega e-poštnega ali Facebook gesla in uporabil vaše geslo, da bi vas vohunil. Ko spremenite gesla, preprečujete tovrstno skupno rabo računa in njuhanje, ne da bi preprečili, da bi nekdo na drugi strani sveta pridobil dostop..
Redne spremembe gesel so lahko koristne tudi za nekatere delovne sisteme, vendar jih je treba uporabljati z mislijo. Skrbniki IT ne bi smeli prisiliti uporabnikov k nenehnemu spreminjanju gesel, razen če obstaja dober razlog - uporabniki bodo začeli uporabljati šibka gesla, zapisovati gesla ali celo preklapljati med dvema najljubšima geslom..
Spremembe gesel kot odziv na določene dogodke so seveda dobre. Dobro je, da spremenite gesla na spletnih mestih, ki so občutljiva za Heartbleed, vendar so jo zdaj že popravili. Zamenjava gesla po ukinitvi baze podatkov o geslih je prav tako dobra ideja.
Če znova uporabljate gesla za različna spletna mesta, je zamenjava gesla na vseh teh spletnih mestih dobra ideja, če je ena od teh strani ogrožena. Toda to je najslabše, kar lahko storite - prava rešitev je uporaba edinstvenih gesel, ki ne spreminjajo stalnega gesla za skupno rabo do novega na vseh storitvah, ki jih uporabljate.
Osredotočite se na koristne nasvete
Težava s svetovanjem ljudem, da redno spreminjajo geslo, je, da je to tako moteč nasvet. Uporaba močnih, edinstvenih gesel je že skoraj nemogoče, če ne uporabljate upravitelja gesel, ki bi jih zapomnili. Pomembno je tudi dvokomponentno preverjanje pristnosti, saj lahko prepreči dostop do računov, tudi če nekdo ukrade vaša gesla. Namesto, da bi ljudem govorili, da redno spreminjajo svoja gesla, bi morali posredovati koristne nasvete, kot je »uporabiti edinstvena gesla povsod« - kar večina ljudi trenutno ne dela.
To ni edini nasvet, s katerim se ne strinjamo. Za večino domačih uporabnikov zapisovanje nekaterih gesel dejansko ni slaba ideja - to je vsekakor boljše od ponovne uporabe istega gesla povsod.
Mi nismo edini, ki svetujejo pred rednimi, neselektivnimi spremembami gesel. Varnostni strokovnjak Bruce Schneier je pisal, zakaj redno spreminjanje gesel ni dober nasvet, medtem ko je Microsoft Research zaključil, da je redno spreminjanje gesel izguba časa. Da, v nekaterih primerih boste morda želeli to storiti - toda posredovanje nasvetov, kot je »spreminjanje gesel vsake tri mesece« tipičnim uporabnikom računalnikov, povzroča več škode kot koristi.
Image Credit: rochelle hartman na Flickr, Lulu Hoeller na Flickr, Joanna Poe na Flickr, snoopsmaus na Flickr, medithIT na Flickr