Jah, on olukordi, kus soovite oma paroole regulaarselt muuta. Kuid need on ilmselt pigem erand kui reegel. Tavalistele arvutikasutajatele, kes peavad oma paroolid regulaarselt muutma, on viga.
Regulaarsete paroolide muudatuste teooria
Korrapärased paroolide muudatused on teoreetiliselt hea mõte, sest need tagavad, et keegi ei saa teie parooli omandada ja seda kasutada pikema perioodi vältel.
Näiteks kui keegi võis teie e-posti parooli kätte, võivad nad korrapäraselt oma e-posti kontosse sisse logida ja oma suhtlust jälgida. Kui keegi omandas teie internetipanganduse parooli, võivad nad oma tehingute kaudu snoopida või tulla mitu kuud tagasi ja üritavad raha oma kontodele üle kanda. Kui keegi sai teie Facebooki parooli, võisid nad sisse logida ja jälgida oma privaatset suhtlust.
Teoreetiliselt aitab paroolide muutmine regulaarselt - ehk iga paari kuu tagant - selle vältimiseks. Isegi kui keegi teie parooli omandaks, on neil ainult mõni kuu, kes kasutavad oma juurdepääsu halvaks otstarbeks.
Surnud
Paroolide muudatusi ei tohiks kaaluda vaakumis. Kui inimestel oleks olnud lõpmatu aega ja täiuslik mälu, oleks korrapärased paroolide muudatused ideaalsed. Tegelikult muudab paroolid inimeste koormust.
Parooli regulaarselt muutmine muudab paroolide parema meelde jätmise keerulisemaks. Selle asemel, et luua tugev parool ja panna see mällu, peate iga paari kuu järel proovima uut parooli meeles pidada. Kasutajad, kes on sunnitud arvutisüsteemi oma parooli regulaarselt muutma, võivad lõpuks lisada numbri, nii et nad võivad kasutada parooli1, parooli2 ja nii edasi.
Korraga saab oma parooli regulaarselt üheainsa konto jaoks lihtsalt muuta ja iga kord oma parooli meelde jätta. Kuid meil kõigil on palju paroole - kujutan ette, et peate oma parooli regulaarselt muutma ja mäletama pidevalt unikaalseid tugevaid paroole suure hulga teenuste jaoks.
Põhimõtteliselt on võimatu valida igale veebisaidile tugevaid unikaalseid paroole ja neid mäleta - seepärast soovitame kasutada paroolijuhti nagu LastPass või KeePass. Kui vahetate oma parooli iga paari kuu tagant, siis saate tõenäoliselt nõrgemate paroolide kasutamise ja korduskasutuse mitmel veebisaidil. On palju tähtsam kasutada tugevaid unikaalseid paroole kõikjal kui parooli regulaarselt muutmiseks.
Miks paroolide muutmine ei pruugi abiks olla?
Parooli regulaarselt muutmine ei aita nii palju kui võite arvata. Kui ründaja saab juurdepääsu oma kontodele, kasutavad nad kõige tõenäolisemalt oma juurdepääsu, et tekitada kahju kohe. Kui nad saavad juurdepääsu oma Interneti-pangakontole, logivad nad sisse ja üritavad raha üle kanda, mitte istuta ja ootama. Kui nad saavad juurdepääsu online-ostukontole, logivad nad sisse ja proovivad tellida oma salvestatud krediitkaarditeabega tooteid. Kui nad saavad oma e-kirja juurde pääseda, kasutavad nad tõenäoliselt rämpsposti ja andmepüügiga või püüavad paroolide lähtestamist teistel saitidel. kui nad saavad oma Facebooki kontole juurdepääsu, püüavad nad tõenäoliselt teie sõpru kohe rämpsposti või petta.
Tüüpilised ründajad ei hoia oma paroole pikema aja vältel ega snoop teile. See ei ole kasumlik - ründajad on kohe pärast kasumit. Märkate, kas keegi saab teie kontodele juurdepääsu.
Parooli regulaarselt muutmine on oluline ka siis, kui kasutate ühesugust parooli kõikjal, sest tõenäoliselt on teie parool pidevalt lekitud, kui üks teie kasutatavatest teenustest on ohus. Selle korrektse muutmise asemel peaksite tegema tõelise probleemi ja kasutama kõikjal unikaalseid paroole.
Kui soovite paroole muuta
Paroolide vahetamine võib aidata, kui keegi, kellel pole tavapärane ründaja, on teie kontole juurdepääs. Näiteks ütleme, et jagate oma Netflixi sisselogimismäärasid ex-ga - soovite oma parooli muuta, et nad ei saaks teie kontot igavesti kasutada. Või öelge, et keegi teie lähedusest sai juurdepääsu teie e-posti või Facebooki paroolile ja kasutas teie parooli, et teiega spioon. Kui muudate oma paroole, takistate ennekõike seda konto jagamist ja nuhkimist, mitte takistada kedagi teisel pool maailmas juurdepääsu saamist.
Regulaarsed paroolide muudatused võivad olla mõne töösüsteemi jaoks väärtuslikud, kuid neid tuleks mõelda ka. IT-administraatorid ei tohiks sundida kasutajaid pidevalt oma parooli muutma, kui pole põhjust - kasutajad hakkavad lihtsalt kasutama nõrku paroole, kirjutades paroole või isegi vahetades kahe lemmikparooli vahel edasi ja tagasi.
Muidugi on hea asi, et paroolid reageerivad konkreetsetele sündmustele. Hea mõte on oma paroolide muutmine veebisaitidel, mis olid Heartbleedile haavatavad, kuid on nüüd seda parandanud. Ka parooli vahetamine pärast veebisaidi paroolide andmebaasi vargamist on samuti hea mõte.
Kui kasutate erinevatele veebisaitidele paroole korduvalt, on parooli muutmine kõigil neil saitidel hea mõte, kui mõni neist saitidest on ohus. Kuid see on kõige hullem asi, mida saate teha - siin on tõeline lahendus ainulaadsete paroolide kasutamisele, mis ei muuda teie ühist parooli pidevalt kõigile teie kasutatavatele teenustele.
Keskenduge kasulikele soovitustele
Probleem, mis seisneb selles, et inimestel on soovitatav oma salasõna parajasti muuta, on see, et see on selline häiriv nõu. Igasugune tugevad, ainulaadsed paroolid on juba peaaegu võimatu nõustada, kui te ei kasuta paroolijuhti, et neid sinu jaoks meelde jätta. Kahetegurne autentimine on samuti abiks, kuna see võib takistada teie kontode ligipääsu ka siis, kui keegi varjab teie paroole. Selle asemel, et inimestele korrapäraselt oma paroolid vahetada, peaksime edastama kasulikke nõuandeid, nagu "kasutage ainulaadseid paroole kõikjal" - mida enamus inimesi praegu ei tee.
See ei ole ainus nõuanne, millega me ei nõustu. Enamiku kodukasutajate jaoks pole mõne parooli sisestamine tegelikult halb mõte - see on kindlasti parem kui sama salasõna taaskasutamine kõikjal.
Me ei ole ainsad, kes nõuavad korrapäraste ja valimatute paroolide muudatuste vastu. Turvalisuse ekspert Bruce Schneier on kirjutanud, miks regulaarselt paroolide muutmine ei ole hea nõuannet, samas kui Microsofti uurimused on samuti jõudnud järeldusele, et regulaarselt paroolide vahetamine on aja raiskamine. Jah, on mõningaid olukordi, kus võite seda teha - aga nõuanded nagu "iga kolme kuu jooksul teie paroolide muutmine" tavapärastele arvutikasutajatele teevad rohkem kahju kui hea.
