Hemsida » hur » Ska du ändra dina lösenord regelbundet?

    Ska du ändra dina lösenord regelbundet?

    "Ändra lösenord regelbundet" är en vanlig del av lösenordsråd, men det är inte nödvändigtvis bra råd. Du bör inte störa de flesta lösenord regelbundet - det uppmuntrar dig att använda svagare lösenord och slösa bort din tid.

    Ja, det finns vissa situationer där du vill byta lösenord regelbundet. Men de kommer förmodligen vara undantaget snarare än regeln. Att berätta typiska datoranvändare som de behöver regelbundet ändra sina lösenord är ett misstag.

    Theory of Regular Password Changes

    Regelbundna lösenordsändringar är teoretiskt en bra idé eftersom de ser till att någon inte kan få ditt lösenord och använda det för att snöa på dig under en längre tid.

    Om någon till exempel fick ditt e-postlösenord kunde de regelbundet logga in på ditt e-postkonto och övervaka din kommunikation. Om någon förvärvade ditt lösenord för nätbanken kunde de snöa på dina transaktioner eller komma tillbaka om flera månader och försöka överföra pengar till sina egna konton. Om någon fick ditt Facebook-lösenord kunde de logga in som du och övervaka din privata kommunikation.

    Teoretiskt kan du ändra lösenordet regelbundet - kanske några månader - för att förhindra att det händer. Även om någon förvärvade ditt lösenord, skulle de bara ha några månader att använda sin tillgång för fängslande ändamål.

    The Downsides

    Lösenordsändringar bör inte beaktas i vakuum. Om människor hade oändlig tid och perfekt minne, skulle vanliga lösenord ändringar vara en bra idé. I själva verket innebär förändrade lösenord en börda för människor.

    Att byta lösenord gör det vanligtvis svårare att komma ihåg bra lösenord. Snarare än att skapa ett starkt lösenord och begära det till minne, måste du försöka komma ihåg ett nytt lösenord varje några månader. Användare som tvingas regelbundet ändra sitt lösenord med ett datorsystem kan sluta lägga till ett nummer - så de kan använda lösenord1, lösenord2 och så vidare.

    Det är svårt att byta lösenord regelbundet för ett enda konto och kom ihåg ditt nya lösenord varje gång. Men vi har alla många lösenord - föreställ dig att du måste byta lösenord regelbundet och ständigt komma ihåg unika, starka lösenord för ett stort antal tjänster.

    Det är redan i princip omöjligt att välja starka, unika lösenord för varje webbplats och kom ihåg dem - det är därför vi rekommenderar att du använder en lösenordshanterare som LastPass eller KeePass. Om du ändrar ditt lösenord varje månad kommer du sannolikt att sluta använda svagare lösenord och återanvända dem på flera webbplatser. Det är mycket viktigare att använda starka, unika lösenord överallt än att byta lösenord regelbundet.

    Varför ändra lösenord kommer inte nödvändigtvis hjälpa till

    Regelbundet byte av ditt lösenord hjälper inte så mycket som du kanske tror. Om en angripare får tillgång till dina konton, kommer de med största sannolikhet att använda sin tillgång till att orsaka skada direkt. Om de får tillgång till ditt bankkonto, loggar de in och försöker överföra pengar istället för att sitta och vänta. Om de får tillgång till ett online shoppingkonto loggar de in och försöker beställa produkter med din sparade kreditkortsinformation. Om de får tillgång till ditt e-postmeddelande, brukar de använda det för spam och phishing eller försöka återställa lösenord på andra webbplatser med den. Om de får tillgång till ditt Facebook-konto, försöker de förmodligen att skräppost eller bedrägna dina vänner omedelbart.

    Typiska angripare kommer inte hålla fast vid dina lösenord under en längre tid och snoopa på dig. Det är inte lönsamt - och angripare är efter vinst. Du märker om någon får tillgång till dina konton.

    Att byta lösenord regelbundet är också viktigt om du använder samma lösenord överallt, eftersom det är troligt att ditt lösenord ständigt läcker ut när en av de tjänster du använder är äventyrad. Snarare än att ändra det enda lösenordet regelbundet, bör du hantera det verkliga problemet här och använda unika lösenord överallt.

    När du vill ändra lösenord

    Ändra lösenord kan hjälpa till om någon som inte är en traditionell angripare har tillgång till ditt konto. Låt oss till exempel säga att du delade dina Netflix-inloggningsuppgifter med ex - du vill ändra ditt lösenord så att de inte kan använda ditt konto för alltid. Eller låt oss säga att någon nära dig har fått tillgång till ditt email- eller Facebook-lösenord och använt ditt lösenord för att spionera på dig. När du ändrar dina lösenord, förhindrar du i första hand denna typ av delning och snooping, vilket inte hindrar någon på andra sidan världen från att få tillgång.

    Regelbundna lösenordsändringar kan också vara värdefulla för vissa arbetssystem, men de bör användas med tanke. IT-administratörer bör inte tvinga användare att ändra sina lösenord ständigt om det inte finns en bra anledning - användarna kommer bara att börja använda svaga lösenord, skriva ner lösenord eller till och med växla fram och tillbaka mellan två favoritlösenord.

    Lösenordsändringar som svar på specifika händelser är naturligtvis en bra sak. Det är en bra idé att ändra dina lösenord på webbplatser som var sårbara för Heartbleed, men har nu patchat det. Ändra ditt lösenord efter en webbplats har sin lösenordsdatabas stulen är också en bra idé.

    Om du återanvända lösenord för olika webbplatser kan du ändra ditt lösenord på alla dessa webbplatser om en av dessa webbplatser är äventyras. Men det här är det värsta du kan göra - den verkliga lösningen här använder unika lösenord, inte ständigt byter ditt delade lösenord till en ny på alla tjänster du använder.

    Fokusera på användbara råd

    Problemet med att ge människor möjlighet att byta lösenord regelbundet är att det är så distraherande råd. Att använda starka, unika lösenord överallt är redan nästan omöjligt råd att göra om du inte använder en lösenordshanterare för att komma ihåg dem för dig. Tvåfaktorsautentisering är också till hjälp eftersom det kan förhindra att dina konton blir åtkomliga även om någon stjäl dina lösenord. Snarare än att berätta för folk att regelbundet ändra sina lösenord, borde vi vidarebefordra användbara råd som "använd unika lösenord överallt" - något som de flesta inte gör för närvarande.

    Detta är inte det enda råd vi inte håller med. För de flesta hemanvändare är det inte en dålig idé att skriva ner några lösenord, det är definitivt bättre än att återanvända samma lösenord överallt.


    Vi är inte de enda som råder mot regelbundna, oskäliga lösenordsändringar. Säkerhetsexpert Bruce Schneier har skrivit om varför byte av lösenord regelbundet inte är bra råd, medan Microsoft Research också har dragit slutsatsen att byte av lösenord regelbundet är slöseri med tid. Ja, det finns vissa situationer där du kanske vill göra det här - men överlåter råd som "byt lösenord vart tredje månad" till typiska datoranvändare gör mer skada än bra.

    Bildkrediter: Rochelle Hartman på Flickr, Lulu Hoeller på Flickr, Joanna Poe på Flickr, Snoopsmaus på Flickr, meditit på Flickr