Nedostaci
Promjene lozinke ne treba razmatrati u vakuumu. Kad bi ljudska bića imala beskonačno vrijeme i savršeno pamćenje, redovna promjena lozinke bi bila dobra ideja. U stvarnosti, promjena lozinki predstavlja teret ljudima.
Redovno mijenjanje lozinke otežava pamćenje dobrih lozinki. Umjesto da kreirate jaku lozinku i unesete je u memoriju, morate pokušati zapamtiti novu lozinku svakih nekoliko mjeseci. Korisnici koji su primorani da redovno mijenjaju svoju lozinku od strane kompjuterskog sistema mogu završiti dodavanjem broja - tako da mogu koristiti lozinku1, lozinku2 i tako dalje.
Dovoljno je teško redovno mijenjati lozinku za jedan račun i svaki put zapamtiti novu lozinku. Ali svi imamo mnogo lozinki - zamislite da morate redovno mijenjati lozinku i stalno pamtiti jedinstvene, jake lozinke za veliki broj usluga.
Već je u osnovi nemoguće odabrati jake, jedinstvene lozinke za svaku web stranicu i zapamtiti ih - zato preporučujemo korištenje upravitelja lozinki poput LastPass ili KeePass. Ako promijenite lozinku svakih nekoliko mjeseci, vjerojatno ćete na kraju koristiti slabije lozinke i ponovno ih koristiti na više web stranica. Mnogo je važnije svuda koristiti jake, jedinstvene lozinke nego redovno mijenjati lozinku.
Zašto promjena lozinki neće nužno pomoći
Redovna promjena lozinke neće pomoći koliko mislite. Ako napadač dobije pristup vašim računima, najvjerovatnije će iskoristiti svoj pristup da odmah izazove štetu. Ako dobiju pristup vašem online bankovnom računu, prijavit će se i pokušati prebaciti novac umjesto da sjedi i čeka. Ako dobiju pristup računu za online kupovinu, prijavit će se i pokušati naručiti proizvode s podacima o vašoj kreditnoj kartici. Ako dobiju pristup vašoj e-pošti, vjerovatno će je koristiti za neželjenu poštu i krađu identiteta ili će pomoću nje pokušati resetirati lozinke na drugim web lokacijama. ako dobiju pristup vašem Facebook računu, vjerovatno će odmah pokušati poslati neželjenu poštu ili prevariti vaše prijatelje.
Tipični napadači neće zadržati vaše lozinke duži vremenski period i njuškati vas. To nije isplativo - a napadači samo traže profit. Primijetit ćete ako neko dobije pristup vašim računima.
Redovna promjena lozinke je također neophodna ako svuda koristite istu lozinku, jer je vjerovatno da vaša lozinka stalno curi kada je neka od usluga koje koristite ugrožena. Umjesto da redovno mijenjate tu jedinstvenu lozinku, trebali biste se pozabaviti stvarnim problemom ovdje i svuda koristiti jedinstvene lozinke.
Kada želite promijeniti lozinke
Promjena lozinki može pomoći ako neko ko nije tradicionalni napadač ima pristup vašem računu. Na primjer, recimo da ste podijelili svoje vjerodajnice za prijavu na Netflix s bivšim - htjet ćete promijeniti lozinku kako ne bi mogli zauvijek koristiti vaš račun. Ili, recimo da je neko vama blizak dobio pristup vašoj e-pošti ili lozinki za Facebook i koristio vašu lozinku da vas špijunira. Kada promijenite svoje lozinke, prvenstveno sprječavate ovu vrstu dijeljenja računa i njuškanja, a ne sprječavate nekoga s druge strane svijeta da dobije pristup.
Redovne promjene lozinke također mogu biti vrijedne za neke radne sisteme, ali ih treba pažljivo koristiti. IT administratori ne bi trebali prisiljavati korisnike da stalno mijenjaju svoje lozinke osim ako ne postoji dobar razlog - korisnici će jednostavno početi koristiti slabe lozinke, zapisivati lozinke ili čak mijenjati dvije omiljene lozinke naprijed-natrag.
Promjene lozinke kao odgovor na određene događaje su, naravno, dobra stvar. Dobra je ideja promijeniti svoje lozinke na web lokacijama koje su bile ranjive na Heartbleed, ali su ga sada zakrpile. Promjena lozinke nakon što je web stranica ukradena baza podataka lozinki također je dobra ideja.
Ako ponovo koristite lozinke za različite web stranice, promjena lozinke na svim tim stranicama je dobra ideja ako je jedna od tih stranica ugrožena. Ali ovo je najgora stvar koju možete učiniti - pravo rješenje ovdje je korištenje jedinstvenih lozinki, a ne stalno mijenjanje vaše zajedničke lozinke novom na svim uslugama koje koristite.
Fokusirajte se na korisne savjete
Problem sa savjetovanjem ljudi da redovno mijenjaju lozinku je taj što je to savjet koji ometa. Korištenje jakih, jedinstvenih lozinki posvuda je već gotovo nemoguć savjet ako ne koristite upravitelj lozinki da ih zapamti umjesto vas. Dvofaktorska autentifikacija je također korisna jer može spriječiti pristup vašim nalozima čak i ako vam neko ukrade lozinke. Umjesto da kažemo ljudima da redovno mijenjaju svoje lozinke, trebali bismo proslijediti korisne savjete poput „koristite jedinstvene lozinke svuda“– nešto što većina ljudi trenutno ne radi.
Ovo nije jedini savjet s kojim se ne slažemo. Za većinu kućnih korisnika, zapisivanje nekih lozinki zapravo nije loša ideja - definitivno je bolje nego da svugdje ponovo koristite istu lozinku.
Nismo jedini koji savjetujemo protiv redovnih, neselektivnih promjena lozinki. Stručnjak za sigurnost Bruce Schneier pisao je o tome zašto redovno mijenjanje lozinki nije dobar savjet, dok je Microsoft Research također zaključio da je redovno mijenjanje lozinki gubljenje vremena. Da, postoje neke situacije u kojima ćete možda htjeti to učiniti - ali prosljeđivanje savjeta poput "promijenite lozinke svaka tri mjeseca" tipičnim korisnicima računara donosi više štete nego koristi.
