Pitäisikö sinun vaihtaa salasanojasi säännöllisesti?
”Salasanojen vaihtaminen säännöllisesti” on yleinen salasanavinkki, mutta se ei välttämättä ole hyvä neuvonta. Sinun ei pitäisi häiritä useimpien salasanojen vaihtamista säännöllisesti - se rohkaisee sinua käyttämään heikompia salasanoja ja tuhlaamaan aikaa.
Kyllä, on joitakin tilanteita, joissa haluat vaihtaa salasanasi säännöllisesti. Mutta nämä ovat todennäköisesti poikkeus kuin sääntö. Tyypillisten tietokoneen käyttäjien kertominen salasanojen muuttamisesta on virhe.
Salasanan säännöllisten muutosten teoria
Säännölliset salasanamuutokset ovat teoreettisesti hyviä ajatuksia, koska ne varmistavat, että joku ei voi hankkia salasanaa ja käyttää sitä pitkään aikaan.
Jos esimerkiksi joku hankki sähköpostisi salasanasi, he voisivat kirjautua säännöllisesti sähköpostitiliisi ja seurata viestintääsi. Jos joku osti verkkopankkisi salasanasi, he voisivat hyppäämään liiketoimiinne tai palata muutaman kuukauden kuluttua ja yrittää siirtää rahaa omiin tileihinsä. Jos joku hankki Facebook-salasanasi, he voisivat kirjautua sisään ja seurata yksityistä viestintääsi.
Teoreettisesti salasanojesi muuttaminen säännöllisesti - ehkä muutaman kuukauden välein - auttaa estämään tämän tapahtumasta. Vaikka joku hankkii salasanasi, heillä olisi vain muutama kuukausi käyttääksesi pääsynsä haitallisiin tarkoituksiin.
Downsides
Salasanan muutoksia ei pidä tarkastella tyhjiössä. Jos ihmisillä olisi ääretön aika ja täydellinen muisti, tavalliset salasanamuutokset olisivat hieno idea. Käytännössä salasanojen muuttaminen aiheuttaa taakkaa ihmisille.
Salasanan muuttaminen säännöllisesti vaikeuttaa hyvien salasanojen muistamista. Sen sijaan, että luot vahvan salasanan ja sitoutuisit muistiin, sinun on yritettävä muistaa uusi salasana muutaman kuukauden välein. Käyttäjät, joiden on pakko vaihtaa säännöllisesti salasanansa tietokonejärjestelmän avulla, saattavat liittää numeron, joten he voivat käyttää salasanaa1, salasanaa2 ja niin edelleen.
On tarpeeksi vaikeaa vaihtaa salasanasi säännöllisesti yhdelle tilille ja muistaa uusi salasana joka kerta. Meillä kaikilla on kuitenkin monia salasanoja - kuvitella, että sinun täytyy vaihtaa salasanasi säännöllisesti ja muistaa ainutlaatuisia, vahvoja salasanoja useille palveluille.
On jo periaatteessa mahdotonta valita vahvoja, ainutlaatuisia salasanoja jokaiselle sivustolle ja muistaa ne - siksi suosittelemme käyttämään salasanahallinta kuten LastPass tai KeePass. Jos vaihdat salasanan muutaman kuukauden välein, päädyt todennäköisesti käyttämään heikompia salasanoja ja käyttämään niitä uudelleen useilla verkkosivuilla. On paljon tärkeämpää käyttää vahvoja, yksilöllisiä salasanoja kaikkialla kuin vaihtaa salasanasi säännöllisesti.
Miksi salasanojen muuttaminen ei välttämättä auta
Salasanan säännöllinen muuttaminen ei auta niin paljon kuin luulet. Jos hyökkääjä pääsee käyttämään tilisi, he käyttävät todennäköisesti pääsyä vahingoittamaan välittömästi. Jos he pääsevät verkkopankkitilillesi, he kirjautuvat sisään ja yrittävät siirtää rahaa ulos istumasta ja odottamasta. Jos he saavat pääsyn verkkokaupoissa, he kirjautuvat sisään ja yrittävät tilata tuotteita tallennettujen luottokorttitietojesi avulla. Jos he pääsevät käyttämään sähköpostia, he todennäköisesti käyttävät sitä roskapostia ja tietojenkalastelua varten tai yrittävät palauttaa salasanat muilla sivustoilla. jos he pääsevät käyttämään Facebook-tiliäsi, he todennäköisesti yrittävät roskapostia tai kaventaa ystäviäsi välittömästi.
Tyypilliset hyökkääjät eivät pidä salasanojasi pitkään ja tarttua sinuun. Se ei ole kannattavaa - ja hyökkääjät ovat juuri tuloksen jälkeen. Huomaat, että joku saa pääsyn tilillesi.
Salasanan vaihtaminen säännöllisesti on myös välttämätöntä, jos käytät samaa salasanaa kaikkialla, koska on todennäköistä, että salasanasi vuotaa jatkuvasti, kun jokin käytetyistä palveluista on vaarassa. Sen sijaan, että muuttaisit kyseistä salasanaa säännöllisesti, sinun on käsiteltävä todellista ongelmaa täällä ja käytettävä ainutlaatuisia salasanoja kaikkialla.
Kun haluat muuttaa salasanoja
Salasanojen muuttaminen voi auttaa, jos joku, joka ei ole perinteinen hyökkääjä, voi käyttää tiliäsi. Oletetaan esimerkiksi, että jaat Netflix-kirjautumistunnuksesi ex-lomakkeella, jonka haluat vaihtaa salasanasi, jotta he eivät voi käyttää tiliäsi ikuisesti. Tai sanotaan, että joku, joka on lähellä sinua, sai pääsyn sähköpostisi tai Facebook-salasanasi ja käytti salasanaa vakoilemaan sinua. Kun muutat salasanojasi, estät ensisijaisesti tämäntyyppisen tilin jakamisen ja snoopingin, eikä estä jonkun toisen puolen maailmaa pääsemästä.
Säännölliset salasanamuutokset voivat myös olla arvokkaita joillekin työjärjestelmille, mutta niitä tulisi käyttää ajatuksen kanssa. IT-järjestelmänvalvojien ei pitäisi pakottaa käyttäjiä muuttamaan salasanojaan jatkuvasti, ellei ole hyvä syy - käyttäjät alkavat käyttää vain heikkoja salasanoja, kirjoittaa salasanoja tai jopa siirtyä edestakaisin kahden suosikkisalasanan välillä.
Salasanan muutokset vastauksena tiettyihin tapahtumiin ovat tietenkin hyvä asia. On hyvä ajatus vaihtaa salasanasi verkkosivuilla, jotka olivat alttiita Heartbleedille, mutta jotka ovat nyt korjattaneet sen. Salasanan muuttaminen sen jälkeen, kun sivustolla on salasanojen tietokanta, on myös hyvä idea.
Jos käytät uudelleen eri verkkosivustojen salasanoja, salasanan muuttaminen kaikilla näillä sivustoilla on hyvä idea, jos jokin näistä sivustoista on vaarassa. Mutta tämä on pahin asia, jota voit tehdä - todellinen ratkaisu tässä on yksilöllisten salasanojen käyttäminen, eikä jaettu salasana muutu jatkuvasti uusiksi kaikissa käytössä olevissa palveluissa.
Keskity hyödylliseen neuvontaan
Ongelmana neuvotella ihmisiä vaihtamaan salasanansa säännöllisesti on se, että se on niin häiritsevää neuvontaa. Vahvojen, ainutlaatuisten salasanojen käyttäminen kaikkialla on jo lähes mahdotonta tehdä, jos et käytä salasanahallinta muistamaan niitä. Kahden tekijän todentaminen on myös hyödyllistä, koska se voi estää tilisi pääsyn, vaikka joku varastaa salasanasi. Sen sijaan, että kehottaisit ihmisiä vaihtamaan säännöllisesti salasanojaan, meidän pitäisi siirtää hyödyllisiä neuvoja, kuten "käyttää ainutlaatuisia salasanoja kaikkialla" - mitä useimmat ihmiset eivät tällä hetkellä tee.
Tämä ei ole ainoa asia, josta olemme eri mieltä. Useimmille kotikäyttäjille joidenkin salasanojen kirjoittaminen ei todellakaan ole huono idea - se on varmasti parempi kuin saman salasanan uudelleenkäyttö kaikkialla.
Emme ole ainoat, jotka neuvovat tavallisia, valittamattomia salasanamuutoksia vastaan. Turvallisuusasiantuntija Bruce Schneier on kirjoittanut, miksi salasanojen vaihtaminen säännöllisesti ei ole hyvä neuvonta, kun taas Microsoft Research on myös todennut, että salasanojen vaihtaminen on ajanhukkaa. Kyllä, on joitakin tilanteita, joissa saatat haluta tehdä tämän - mutta neuvojen siirtäminen kuten "salasanojen vaihtaminen kolmen kuukauden välein" tyypillisille tietokoneen käyttäjille tekee enemmän haittaa kuin hyötyä.
Kuvan luotto: rochelle hartman Flickrissä, Lulu Hoeller Flickrissä, Joanna Poe Flickrissä, snoopsmaus Flickrissä, medithIT Flickrissä