In molti luoghi, c'è una politica che costringe l'utente a cambiare la sua password una volta pochi mesi. La logica qui è che, anche se la password è trapelata in qualche modo, verrà abusata solo per un periodo di tempo relativamente breve. In modo che una nota con la password che hai gettato nel tuo cestino ora, non verrà e ti darà la caccia in cinque anni.
Ma ciò che manca a questa politica è IMHO, il fattore persone. Quello che molte persone fanno di solito quando sono costretti a cambiare la loro password, è scegliere una nuova password non troppo lontana da quella originale. Dal momento che è difficile memorizzare la nuova password ogni mese. Ad esempio
foo1bar
foo2bar
foo3bar
o così. Quindi, un attaccante con una minima quantità di senso, attiverebbe john-the-ripper o equivalente, e scoprirà la tua password in pochissimo tempo. Diamine, l'entropia della nuova password data la vecchia password è in genere così bassa, in modo da poter anche bypassare un sistema di password che avvisa l'amministratore se hai inserito la password sbagliata per tre volte di seguito. Probabilmente troverai il nuovo in 10 tentativi e, dato che l'utente effettua l'accesso una volta al giorno, un attacco sarà in grado di scoprirlo entro un mese.
Quindi ti sto chiedendo, una norma che impone agli utenti di cambiare la loro password di tanto in tanto fornisce più sicurezza del suo costo?