Le password (non compromesse) hanno bisogno di essere cambiate, se utilizzo un gestore di password?

Sai che sono intransigenti? Se sei assolutamente sicuro, allora non c'è alcun reale bisogno di cambiare. Ovviamente se sono compromessi, allora vai avanti e cambia. Se non lo sai, diventa più interessante.

Questo è lo scopo principale della modifica delle password, nel caso in cui siano compromesse e di cui non si è ancora a conoscenza. Pertanto, l'intera politica di modifica della password di 90 giorni è solitamente un compromesso basato sul rischio tra quanto è probabile che la password sia compromessa e quanto sia fastidioso cambiare e ricordare (o nel caso di un gestore di password, aggiornare e iniziare a utilizzare).

Ovviamente simile alla domanda In che modo la modifica della password ogni 90 giorni aumenta la sicurezza?

Per la mia risposta a questa domanda vai qui .

Per rispondere alla tua domanda, i motivi per cambiare la tua password regolarmente includono:

• Se l'entropia della tua password ti permette di essere decifrata dall'ultima volta che l'hai modificata, l'autore dell'attacco potrebbe aver ottenuto un hash della tua password all'insaputa di te. Per una guida approssimativa ai tempi di cracking, vedi qui . Per la media, dividi il risultato per due. per esempio. una password con 65 bit di entropia richiederebbe in media 1,7 anni di crack. Naturalmente ricorda che un utente malintenzionato con abbastanza tempo e risorse per farlo potrebbe essere raro a meno che non sia specificamente interessato al tuo account di cui è molto prezioso per loro, o che le password sono state archiviate senza valore.
• Se la password potrebbe essere stata trapelata accidentalmente da te in qualsiasi momento (ad esempio digitandola nel tuo computer con il cursore focalizzato su un'altra finestra).
• Qualcuno potrebbe monitorare i tasti premuti e disporre di informazioni sufficienti per determinare statisticamente la password (ad esempio tramite una videocamera, i suoni prodotti dalla tastiera o in qualche modo determinando l'usura della tastiera). Naturalmente, questi non si applicano alle password che sono autofillate e mai digitato.
• Se un utente malintenzionato potrebbe aver visualizzato il tuo schermo se la tua password è stata brevemente visualizzata, consentendo loro di ridurre l'entropia effettiva in quanto conoscerebbero i personaggi ricordati nelle loro posizioni.
• Il sito Web ha recentemente aumentato le loro iterazioni crittografiche o l'algoritmo della password e richiede una modifica della password per aggiornarlo nel loro database.

La ragione principale per cambiare periodicamente le password è che tutte le password vengono alla fine rivelate, tramite attacco di forza bruta, furto, incidente o divulgazione intenzionale. Una volta rivelato, tutti gli usi passati e futuri della password sono compromessi.

Supponiamo che tu abbia una password che impiegherà 1000 anni per craccare. I cattivi distribuiscono 1000 computer per un anno e violano la tua password. Ora hanno accesso a tutto ciò che hai crittografato o crittografato. Se cambi la tua password una volta all'anno, hanno accesso solo a 1 anno di valore.