Un sito WWW mi ha guidato a cambiare regolarmente la password. Dovrei credere a cosa dire, se la mia password attuale è una stringa casuale abbastanza lunga?
La modifica della password è più di una funzione precauzionale della sicurezza effettiva. Teoricamente, quasi tutte le password possono essere violate; quindi, anche se la tua password è 'aod1937: #; / jwi6; (@ 6sk', potrebbe essere incrinata.) Se qualcuno lo ha incrinato, ha accesso a ciò che sta proteggendo. Cambiando la tua password termina il loro accesso: quindi cambiandolo regolarmente limiti il tempo in cui gli attaccanti devono fare danni.
Le normali modifiche delle password sono nozionalmente una buona idea perché garantiscono che qualcuno non può acquisire la tua password e usarla per curiosare su di te per un lungo periodo di tempo. Tuttavia, cambiare regolarmente la password non sarà di grande aiuto .
Se un utente malintenzionato accede ai tuoi account, probabilmente useranno il loro accesso per causare danni immediatamente. Se riescono ad accedere al tuo conto bancario online, accedono e tentano di trasferire denaro invece di sedersi e aspettare. Se accedono a un account di shopping online, accedono e tentano di ordinare prodotti con i dati della carta di credito salvati. Se accedono alla tua email, probabilmente la useranno per spam e phishing o tenteranno di reimpostare le password su altri siti. se hanno accesso al tuo account Facebook, probabilmente tenteranno di inviare spam o frodare i tuoi amici immediatamente.
I tipici attaccanti non manterranno le tue password per un lungo periodo di tempo e ti spieranno. Non è redditizio, e gli aggressori sono subito dopo il profitto. Noterai se qualcuno accede ai tuoi account.
Le modifiche alle password in risposta a eventi specifici sono una buona cosa, ovviamente. È una buona idea cambiare le password su siti Web vulnerabili a Heartbleed, ma ora li ha rattoppati. Cambiare la password dopo che un sito Web ha rubato il suo database delle password è anche una buona idea.
Se un utente malintenzionato potrebbe ottenere l'accesso alle password crittografate, le occorrerebbe un po 'di tempo per rinforzarle (almeno in teoria). Costringendo gli utenti a cambiare regolarmente, le loro password avevano lo scopo di rendere futile quel compito. Se si stima che occorrano, diciamo, 40 giorni per aggiungere una password a 8 caratteri, fare in modo che gli utenti cambino ogni 30 giorni renderebbe inutilizzabile la password. O almeno questo è quello che la gente pensava alcuni anni fa.
Ora torniamo al mondo reale: non solo la password bruteforcing è praticamente inutile, poiché la maggior parte delle password non è casuale, ma basata su parole, quindi un attacco dizionario è molto più efficiente; software e hardware di cracking delle password che crescono in modo esponenziale (come il software basato su GPU), quindi la lunghezza e la complessità minime che dovreste richiedere agli utenti aumenterebbero di anno in anno, aumentando così l'utilizzo della "password persa" ogni anno; ma costringendo le persone a cambiare le loro password in così poco tempo fanno in modo che usino password basate sul tempo o basate su sequenze, come mypassword-aug2014 o mypassword-7th-change , quindi lo scopo dietro il cambiamento è completamente invertito, come chiunque potrebbe indovinare la prossima password in quei casi anche se è trascorso un anno.
Se possibile, utilizza l'autenticazione a due fattori.
Leggi altre domande sui tag passwords