Da, postoje situacije u kojima ćete redovito mijenjati zaporke. No one će vjerojatno biti iznimka, a ne pravilo. Govoreći tipičnim korisnicima računala da im redovito mijenjaju svoje lozinke, pogreška je.
Teorija redovitih promjena lozinke
Redovite promjene lozinke teoretski su dobre ideje jer osiguravaju da netko ne može stjecati vašu lozinku i koristiti je za njuškanje na vas tijekom duljeg vremenskog razdoblja.
Na primjer, ako je netko stekao vašu zaporku e-pošte, mogli bi se redovito prijaviti na vaš račun e-pošte i pratiti vaše komunikacije. Ako je netko stekao vašu lozinku za mrežnu bankovnu uslugu, mogli bi se preusmjeriti na vaše transakcije ili vratiti za nekoliko mjeseci i pokušati prenijeti novac na svoje račune. Ako je netko stekao vašu Facebook lozinku, mogli bi se prijaviti dok pratite vaše privatne komunikacije.
Teoretski, redovito mijenjate lozinke - možda svakih nekoliko mjeseci - pomoći će vam da se to ne dogodi. Čak i ako je netko stekao vašu zaporku, imali bi samo nekoliko mjeseci da koriste svoj pristup u zlonamjerne svrhe.
The Downsides
Promjene zaporki ne trebaju se uzeti u obzir u vakuumu. Ako su ljudska bića imala beskonačno vrijeme i savršenu memoriju, redovite promjene lozinke bile bi fine ideje. U stvarnosti, mijenjanje lozinki nameće teret ljudima.
Promjena zaporke često otežava zapamtiti dobre lozinke. Umjesto da stvorite snažnu lozinku i izvršite ga u memoriju, svakih nekoliko mjeseci pokušajte zapamtiti novu lozinku. Korisnici koji su prisiljeni redovito mijenjati lozinku računalnim sustavom mogu završiti dodavanjem broja - tako da mogu koristiti lozinku1, lozinku2 i tako dalje.
Dovoljno je teško promijeniti lozinku za jedan račun i zapamtiti svoju novu lozinku svaki put. Ali svi imamo mnoge zaporke - zamislimo da moramo redovito mijenjati zaporku i neprestano pamtiti jedinstvene i jake zaporke za veliki broj usluga.
U osnovi je nemoguće odabrati snažne, jedinstvene zaporke za svaku web stranicu i zapamtiti ih - zato vam preporučujemo upotrebu upravitelja zaporki kao što su LastPass ili KeePass. Ako promijenite zaporku svakih nekoliko mjeseci, vjerojatno ćete imati slabije zaporke i ponovno ih upotrijebiti na više web mjesta. Mnogo je važnije upotrebljavati jake, jedinstvene zaporke svugdje, a ne redovito mijenjati zaporku.
Zašto promjena lozinki ne treba nužno pomoći
Redovito mijenjanje lozinke neće vam pomoći koliko možete misliti. Ako napadač dobije pristup vašim računima, najvjerojatnije će koristiti njihov pristup da odmah uzrokuje štetu. Ako dobiju pristup vašem mrežnom bankovnom računu, prijavit će se i pokušati prenijeti novac umjesto da sjednu i čekaju. Ako dobiju pristup računu za online kupnju, prijavit će se i pokušati naručiti proizvode sa svojim spremljenim podatcima o kreditnoj kartici. Ako dobiju pristup vašoj e-pošti, vjerojatno će je upotrijebiti za neželjenu poštu i krađu identiteta ili pokušaju resetirati zaporke na drugim web mjestima s njom. ako dobiju pristup vašem Facebook računu, vjerojatno će pokušati odmah spamirati ili zlostavljati svoje prijatelje.
Tipični napadači neće držati vaše lozinke dulje vrijeme i snoop na vas. To nije isplativo - a napadači su tek nakon profita. Primijetit ćete da li netko može pristupiti vašim računima.
Promjena redoslijeda lozinke također je neophodna ako upotrebljavate istu lozinku svugdje, jer je vaša zaporka stalno propuštena kada je jedna od usluga koje upotrebljavate ugrožena. Umjesto da redovito promijenite tu lozinku, trebali biste se ovdje nositi s pravim problemom i upotrebljavati jedinstvene zaporke posvuda.
Kada želite promijeniti lozinke
Promjena zaporki može pomoći ako netko tko nije tradicionalni napadač ima pristup vašem računu. Na primjer, recimo da ste dijelili svoje vjerodajnice za prijavu na Netflix s ex - želite promijeniti svoju zaporku kako ne bi mogli koristiti vaš račun zauvijek. Ili recimo da vam je netko blizak pristup vašoj e-pošti ili Facebook zaporki i da je upotrijebio vašu lozinku da vam špijunira. Kada promijenite zaporke prvenstveno sprječavate ovakav način dijeljenja računa i njuškanja, a ne sprječavate pristup nekoj osobi s druge strane svijeta.
Redovite promjene lozinke također mogu biti korisne za neke radne sustave, ali ih treba koristiti s razmišljanjem. IT administratori ne bi trebali prisiljavati korisnike da stalno mijenjaju svoje lozinke osim ako postoji dobar razlog - korisnici će samo početi koristiti slabe lozinke, zapisivati lozinke ili čak prebacivati naprijed-natrag između dvije omiljene lozinke.
Naravno, dobra su stvar promjena lozinke kao odgovor na određene događaje. Dobro je promijeniti vaše lozinke na web-lokacijama koje su bile ranjive na Heartbleed, ali su je sada zakrpile. Promjena lozinke nakon što web stranica ima ukradenu lozinku podataka također je dobra ideja.
Ako ponovno upotrebljavate lozinke za različite web stranice, promjena lozinke na svim tim web lokacijama je dobra ideja ako je jedna od tih web mjesta ugrožena. Ali ovo je najgore što možete učiniti - pravo rješenje ovdje je korištenje jedinstvenih lozinki, a ne stalno mijenjanje zajedničke lozinke na novu na sve usluge koje koristite.
Usredotočite se na korisne savjete
Problem s savjetovanjem ljudi da redovito mijenjaju svoju lozinku jest da je takav odvratni savjet. Korištenje snažnih, jedinstvenih zaporki posvuda je već gotovo nemoguće savjetovati ako ne upotrebljavate upravitelja zaporki da biste ih zapamtili za vas. Autentifikacija s dva faktora također je korisna jer može spriječiti pristup vašim računima čak i ako netko ukrade vaše lozinke. Umjesto da reći ljudima da redovito mijenjaju svoje lozinke, trebali bismo korisnicima pružiti korisne savjete kao što su "upotreba jedinstvenih zaporki posvuda" - nešto što većina ljudi trenutačno ne radi.
Ovo nije jedini savjet s kojim se ne slažemo. Za većinu kućnih korisnika, zapisivanje neke lozinke zapravo nije loša ideja - svakako je bolji od ponovnog korištenja iste lozinke svugdje.
Nismo jedini koji savjetuju protiv redovitih, neselektivnih promjena zaporke. Sigurnosni stručnjak Bruce Schneier napisao je zašto redovito mijenjanje lozinki nije dobar savjet, dok je Microsoft Research također zaključio da je promjena lozinki redovito gubitak vremena. Da, postoje neke situacije u kojima biste to trebali učiniti - no davanje savjeta poput "promjena lozinke svaka tri mjeseca" tipičnim korisnicima računala čini više zla nego dobra.