Quanto è importante cambiare la password regolarmente? [duplicare]

2

Un sito WWW mi ha guidato a cambiare regolarmente la password. Dovrei credere a cosa dire, se la mia password attuale è una stringa casuale abbastanza lunga?

    
posta novice 10.08.2014 - 15:16
fonte

3 risposte

2

La modifica della password è più di una funzione precauzionale della sicurezza effettiva. Teoricamente, quasi tutte le password possono essere violate; quindi, anche se la tua password è 'aod1937: #; / jwi6; (@ 6sk', potrebbe essere incrinata.) Se qualcuno lo ha incrinato, ha accesso a ciò che sta proteggendo. Cambiando la tua password termina il loro accesso: quindi cambiandolo regolarmente limiti il tempo in cui gli attaccanti devono fare danni.

    
risposta data 10.08.2014 - 16:16
fonte
2

Le normali modifiche delle password sono nozionalmente una buona idea perché garantiscono che qualcuno non può acquisire la tua password e usarla per curiosare su di te per un lungo periodo di tempo. Tuttavia, cambiare regolarmente la password non sarà di grande aiuto .

Se un utente malintenzionato accede ai tuoi account, probabilmente useranno il loro accesso per causare danni immediatamente. Se riescono ad accedere al tuo conto bancario online, accedono e tentano di trasferire denaro invece di sedersi e aspettare. Se accedono a un account di shopping online, accedono e tentano di ordinare prodotti con i dati della carta di credito salvati. Se accedono alla tua email, probabilmente la useranno per spam e phishing o tenteranno di reimpostare le password su altri siti. se hanno accesso al tuo account Facebook, probabilmente tenteranno di inviare spam o frodare i tuoi amici immediatamente.

I tipici attaccanti non manterranno le tue password per un lungo periodo di tempo e ti spieranno. Non è redditizio, e gli aggressori sono subito dopo il profitto. Noterai se qualcuno accede ai tuoi account.

Le modifiche alle password in risposta a eventi specifici sono una buona cosa, ovviamente. È una buona idea cambiare le password su siti Web vulnerabili a Heartbleed, ma ora li ha rattoppati. Cambiare la password dopo che un sito Web ha rubato il suo database delle password è anche una buona idea.

link

    
risposta data 10.08.2014 - 16:45
fonte
1

Se un utente malintenzionato potrebbe ottenere l'accesso alle password crittografate, le occorrerebbe un po 'di tempo per rinforzarle (almeno in teoria). Costringendo gli utenti a cambiare regolarmente, le loro password avevano lo scopo di rendere futile quel compito. Se si stima che occorrano, diciamo, 40 giorni per aggiungere una password a 8 caratteri, fare in modo che gli utenti cambino ogni 30 giorni renderebbe inutilizzabile la password. O almeno questo è quello che la gente pensava alcuni anni fa.

Ora torniamo al mondo reale: non solo la password bruteforcing è praticamente inutile, poiché la maggior parte delle password non è casuale, ma basata su parole, quindi un attacco dizionario è molto più efficiente; software e hardware di cracking delle password che crescono in modo esponenziale (come il software basato su GPU), quindi la lunghezza e la complessità minime che dovreste richiedere agli utenti aumenterebbero di anno in anno, aumentando così l'utilizzo della "password persa" ogni anno; ma costringendo le persone a cambiare le loro password in così poco tempo fanno in modo che usino password basate sul tempo o basate su sequenze, come mypassword-aug2014 o mypassword-7th-change , quindi lo scopo dietro il cambiamento è completamente invertito, come chiunque potrebbe indovinare la prossima password in quei casi anche se è trascorso un anno.

Se possibile, utilizza l'autenticazione a due fattori.

    
risposta data 10.08.2014 - 17:56
fonte

Leggi altre domande sui tag