Kyllä, on joitain tilanteita, joissa haluat vaihtaa salasanasi säännöllisesti. Mutta ne ovat todennäköisesti poikkeus pikemminkin kuin sääntö. Tietojen tyypillisten tietokoneiden käyttäjien, jotka tarvitsevat säännöllisesti vaihtaa salasanojaan, on virhe.
Säännöllisten salasanamuuttujien teoria
Säännölliset salasanan muutokset ovat teoriassa hyvä ajatus, koska ne varmistavat, että joku ei voi hankkia salasanasi ja käyttää sitä snoopta sinua pitkään aikaan.
Jos joku esimerkiksi hankki sähköpostiosoitteen, hän voi kirjautua säännöllisesti sähköpostiosoitteeseesi ja seurata viestintääsi. Jos joku hankki verkkopankin salasanasi, he voivat snoopata liiketoimintasi tai palata useisiin kuukausiin ja yrittää siirtää rahaa omiin tileihinsä. Jos joku osti Facebook-salasanasi, hän voi kirjautua sisään sinä ja seurata yksityistä viestintääsi.
Teoriassa salasanasi vaihtaminen säännöllisesti - ehkä muutaman kuukauden välein - auttaa estämään tämän tapahtumisen. Vaikka joku olisi hankkinut salasanasi, heillä olisi vain muutamia kuukausia käyttääkseen käyttöoikeutensa haittaaviin tarkoituksiin.
The Downsides
Salasanan muutoksia ei tule harkita tyhjiössä. Jos ihmisillä oli ääretön aika ja täydellinen muisti, säännölliset salasanan muutokset olisivat hieno ajatus. Todellisuudessa salasanojen vaihtaminen asettaa ihmisille taakan.
Salasanan vaihtaminen säännöllisesti vaikeuttaa muistaa hyviä salasanoja. Sen sijaan, että luodit vahvan salasanan ja sitoudut sen muistiin, sinun on yritettävä muistaa uusi salasana muutaman kuukauden välein. Käyttäjät, jotka joutuvat vaihtamaan salasanansa säännöllisesti tietokonejärjestelmällä, saattavat päätyä lisäämään numeron - joten he voivat käyttää salasanaa1, salasana2 ja niin edelleen.
On tarpeeksi vaikeaa vaihtaa salasanaa säännöllisesti yhdelle tilille ja muistaa uusi salasana kerralla. Mutta meillä kaikilla on monia salasanoja - kuvitella, että salasanasi on vaihdettava säännöllisesti ja muistettava jatkuvasti ainutlaatuisia, vahvoja salasanoja monille palveluille.
Joissakin verkkosivustoissa on jo mahdotonta valita vahvoja, ainutlaatuisia salasanoja ja muistaa ne - siksi suosittelemme käyttämään salasanan hallintaa, kuten LastPassia tai KeePassia. Jos vaihdat salasanasi muutaman kuukauden välein, todennäköisesti pääset käyttämään heikompia salasanoja ja käytät niitä uudestaan useisiin sivustoihin. On paljon tärkeämpää käyttää vahvoja, ainutlaatuisia salasanoja kaikkialla kuin vaihtaa salasanasi säännöllisesti.
Miksi Salasanojen vaihtaminen ei välttämättä auta
Salasanan säännöllinen muuttaminen ei auta yhtä paljon kuin luulisi. Jos hyökkääjä pääsee tileihisi, he todennäköisesti käyttävät oikeuttaan vahingoittaa heti. Jos he saavat verkkopankkitilisi, he kirjautuvat sisään ja yrittävät siirtää rahaa ulos eikä istua ja odottaa. Jos he voivat käyttää verkkokauppatiliä, he kirjautuvat sisään ja yrittävät tilata tuotteita tallennetuilla luottokorttitiedoillasi. Jos he saavat sähköpostisi, he todennäköisesti käyttävät sitä roskapostille ja tietojenkalastelulle tai yrittävät nollata salasanat muilla sivustoilla sen kanssa. jos he pääsevät Facebook-tiliisi, he todennäköisesti yrittävät roskapostia tai vääryyttä ystäviisi välittömästi.
Tyypilliset hyökkääjät eivät pidä salasanoja pitkään aikaan ja tappavat sinuun. Se ei ole kannattavaa - ja hyökkääjät ovat juuri voiton jälkeen. Huomaat, jos joku pääsee tileihisi.
Salasanan vaihtaminen säännöllisesti on myös välttämätöntä, jos käytät samaa salasanaa kaikkialla, koska salasanasi on todennäköisesti vuotanut, kun jokin käyttämäsi palvelu on vaarantunut. Sen sijaan, että muutat kyseistä salasanaa säännöllisesti, sinun on käsiteltävä tosiasiallista ongelmaa ja käytettävä ainutlaatuisia salasanoja kaikkialla.
Kun haluat vaihtaa salasanoja
Salasanojen vaihtaminen voi auttaa, jos joku, joka ei ole perinteinen hyökkääjä, voi käyttää tiliäsi. Oletetaan esimerkiksi, että jakasit Netflix-kirjautumistunnuksesi entisellä - haluat vaihtaa salasanasi, jotta he eivät voi käyttää tilisi ikuisesti. Tai sanokaamme, että lähelläsi oleva käyttäjä sai pääsyn sähköpostiisi tai Facebook-salasanaan ja käytti salasanasi vakoilemaan sinut. Kun vaihdat salasanoja, estät ensisijaisesti tämän tyyppisen tilisi jakamisen ja tappamisen estäen, että joku muu maailma ei pääse käsiksi.
Säännölliset salasanan muutokset voivat myös olla hyödyllisiä joillekin työjärjestelmille, mutta niitä tulisi käyttää ajatuksen kanssa. IT-järjestelmänvalvojat eivät saa pakottaa käyttäjiä vaihtamaan salasanojaan jatkuvasti, ellei ole hyvä syy - käyttäjät alkavat käyttää heikkoja salasanoja, kirjoittaa salasanoja tai jopa vaihtaa edestakaisin kahden suosikkien salasanojen välillä.
Salasanan muutokset vastauksena tiettyihin tapahtumiin ovat tietenkin hyvä asia. On hyvä vaihtaa salasanasi sivustoihin, jotka ovat alttiita Heartbleedille, mutta ovat nyt korjattaneet sen. Salasanan vaihtaminen sen jälkeen, kun verkkosivusto on varastettu salasanatietokantaan, on myös hyvä idea.
Jos käytät salasanoja eri sivustoille, vaihtamalla salasanaa kaikilla näillä sivustoilla on hyvä idea, jos jokin näistä sivustoista on vaarassa. Mutta tämä on pahin asia, jota voit tehdä - todellinen ratkaisu tässä käytetään ainutlaatuisia salasanoja, eikä jatkuvasti vaihda jaettua salasanaa uudella kaikilla käyttämilläsi palveluilla.
Keskity hyödyllisiin neuvoja
Ongelma, jossa neuvotaan ihmisiä vaihtamaan salasana säännöllisesti on, että se on niin häiritsevää neuvoa. Vahva, ainutlaatuisten salasanojen käyttäminen kaikkialla on jo lähes mahdotonta tehdä neuvoja, jos et käytä salasanojen hallintaa muistaa ne sinulle. Kaksitekstinen todentaminen on myös hyödyllistä, koska se voi estää tilisi pääsyn, vaikka joku varastaa salasanasi. Sen sijaan, että kerrot ihmisille säännöllisesti vaihtamasta salasanoja, meidän pitäisi välittää hyödyllisiä neuvoja, kuten "käytä ainutlaatuisia salasanoja kaikkialla" - jotain useimmilla ihmisillä ei tällä hetkellä ole.
Tämä ei ole ainoa neuvo, jota emme ole eri mieltä. Useimmille kotikäyttäjille kirjoittaminen joissakin salasanoissa ei todellakaan ole huono idea - se on ehdottomasti parempi kuin käyttää samaa salasanaa kaikkialla.
Emme ole ainoita, jotka suosittelevat säännöllisiä, mielivaltaisia salasanan muutoksia. Turvallisuusasiantuntija Bruce Schneier on kirjoittanut siitä, miksi salasanojen vaihtaminen säännöllisesti ei ole hyvä neuvonta, kun taas Microsoft Research on myös päätellyt, että salasanojen vaihtaminen säännöllisesti on ajanhukkaa. Kyllä, on joitain tilanteita, joissa voit tehdä tämän - mutta neuvoa, kuten "vaihda salasanasi kolmen kuukauden välein" tyypillisille tietokoneen käyttäjille, tekee enemmän haittaa kuin hyvä.
