Có, có một số tình huống mà bạn sẽ muốn thường xuyên thay đổi mật khẩu của mình. Nhưng những người có lẽ sẽ là ngoại lệ chứ không phải là quy tắc. Nói cho người dùng máy tính điển hình mà họ cần thường xuyên thay đổi mật khẩu của họ là một sai lầm.
Lý thuyết về thay đổi mật khẩu thông thường
Thay đổi mật khẩu thông thường về mặt lý thuyết là một ý tưởng tốt vì chúng đảm bảo ai đó không thể lấy được mật khẩu của bạn và sử dụng mật khẩu đó để tìm bạn trong một khoảng thời gian dài.
Ví dụ: nếu ai đó có được mật khẩu email của bạn, họ có thể đăng nhập vào tài khoản email của bạn thường xuyên và theo dõi thông tin liên lạc của bạn. Nếu ai đó có được mật khẩu ngân hàng trực tuyến của bạn, họ có thể tìm hiểu về các giao dịch của bạn hoặc trở lại sau vài tháng và cố gắng chuyển tiền vào tài khoản của họ. Nếu ai đó có được mật khẩu Facebook của bạn, họ có thể đăng nhập như bạn và theo dõi thông tin liên lạc cá nhân của bạn.
Về mặt lý thuyết, việc thay đổi mật khẩu của bạn thường xuyên - có lẽ mỗi vài tháng - sẽ giúp ngăn chặn điều này xảy ra. Ngay cả khi ai đó đã có được mật khẩu của bạn, họ chỉ có một vài tháng để sử dụng quyền truy cập của họ cho các mục đích bất chính.
Nhược điểm
Thay đổi mật khẩu không nên được xem xét trong chân không. Nếu con người có thời gian vô hạn và bộ nhớ hoàn hảo, thay đổi mật khẩu thông thường sẽ là một ý tưởng tốt. Trong thực tế, thay đổi mật khẩu áp đặt một gánh nặng cho người dân.
Thay đổi mật khẩu của bạn thường xuyên làm cho nó khó khăn hơn để nhớ mật khẩu tốt. Thay vì tạo một mật khẩu mạnh và cam kết nó vào bộ nhớ, bạn phải cố nhớ mật khẩu mới sau mỗi vài tháng. Người dùng bị buộc phải thường xuyên thay đổi mật khẩu của họ bằng một hệ thống máy tính có thể kết thúc thêm một số - vì vậy họ có thể sử dụng mật khẩu1, mật khẩu 2, v.v.
Đủ khó để thay đổi mật khẩu của bạn thường xuyên cho một tài khoản và nhớ mật khẩu mới của bạn mỗi lần. Nhưng tất cả chúng ta đều có nhiều mật khẩu - hãy tưởng tượng phải thay đổi mật khẩu của bạn thường xuyên và liên tục nhớ những mật khẩu mạnh, độc đáo cho một số lượng lớn các dịch vụ.
Về cơ bản, không thể chọn mật khẩu mạnh, duy nhất cho mỗi trang web và ghi nhớ chúng - đó là lý do chúng tôi khuyên bạn nên sử dụng trình quản lý mật khẩu như LastPass hoặc KeePass. Nếu bạn thay đổi mật khẩu vài tháng một lần, có thể bạn sẽ sử dụng mật khẩu yếu hơn và sử dụng lại chúng trên nhiều trang web. Điều quan trọng hơn là sử dụng mật khẩu mạnh, độc đáo ở khắp mọi nơi thay vì thường xuyên thay đổi mật khẩu của bạn.
Tại sao thay đổi mật khẩu sẽ không nhất thiết phải trợ giúp
Thường xuyên thay đổi mật khẩu của bạn sẽ không giúp bạn nhiều như bạn nghĩ. Nếu kẻ tấn công có quyền truy cập vào tài khoản của bạn, họ có nhiều khả năng sẽ sử dụng quyền truy cập của họ để gây thiệt hại ngay lập tức. Nếu họ có quyền truy cập vào tài khoản ngân hàng trực tuyến của bạn, họ sẽ đăng nhập và cố chuyển tiền ra ngoài thay vì ngồi và chờ. Nếu họ có quyền truy cập vào tài khoản mua sắm trực tuyến, họ sẽ đăng nhập và cố gắng đặt hàng các sản phẩm có thông tin thẻ tín dụng đã lưu của bạn. Nếu họ có quyền truy cập vào email của bạn, họ có thể sẽ sử dụng email đó để spam và lừa đảo hoặc cố gắng đặt lại mật khẩu trên các trang web khác. nếu họ có quyền truy cập vào tài khoản Facebook của bạn, họ có thể sẽ cố gắng spam hoặc lừa gạt bạn bè của bạn ngay lập tức.
Những kẻ tấn công điển hình sẽ không giữ mật khẩu của bạn trong một khoảng thời gian dài và tìm bạn. Đó không phải là lợi nhuận - và những kẻ tấn công chỉ sau lợi nhuận. Bạn sẽ nhận thấy nếu ai đó có quyền truy cập vào tài khoản của bạn.
Việc thay đổi mật khẩu thường xuyên cũng rất cần thiết nếu bạn sử dụng cùng một mật khẩu ở mọi nơi, vì có thể mật khẩu của bạn liên tục bị rò rỉ khi một trong các dịch vụ bạn sử dụng bị xâm nhập. Thay vì thay đổi mật khẩu đơn đó thường xuyên, bạn nên giải quyết vấn đề thực sự ở đây và sử dụng mật khẩu duy nhất ở mọi nơi.
Khi nào bạn muốn thay đổi mật khẩu
Thay đổi mật khẩu có thể giúp đỡ nếu ai đó không phải là kẻ tấn công truyền thống có quyền truy cập vào tài khoản của bạn. Ví dụ: giả sử bạn đã chia sẻ bằng chứng xác thực đăng nhập Netflix của bạn với ví dụ cũ - bạn sẽ muốn thay đổi mật khẩu của mình để họ không thể sử dụng tài khoản của bạn mãi mãi. Hoặc, giả sử ai đó gần bạn đã có quyền truy cập vào email hoặc mật khẩu Facebook của bạn và sử dụng mật khẩu của bạn để theo dõi bạn. Khi bạn thay đổi mật khẩu, bạn chủ yếu ngăn chặn việc chia sẻ và chia sẻ tài khoản này, không ngăn người nào đó ở phía bên kia của thế giới truy cập.
Thay đổi mật khẩu thông thường cũng có thể có giá trị đối với một số hệ thống làm việc, nhưng chúng nên được sử dụng với suy nghĩ. Quản trị viên CNTT không nên buộc người dùng phải thay đổi mật khẩu liên tục trừ khi có lý do chính đáng - người dùng sẽ chỉ bắt đầu sử dụng mật khẩu yếu, viết mật khẩu hoặc thậm chí chuyển đổi qua lại giữa hai mật khẩu yêu thích.
Thay đổi mật khẩu để đáp ứng với các sự kiện cụ thể là một điều tốt, tất nhiên. Bạn nên thay đổi mật khẩu của mình trên các trang web dễ bị Heartbleed nhưng hiện đã vá nó. Thay đổi mật khẩu của bạn sau khi một trang web có cơ sở dữ liệu mật khẩu của nó bị đánh cắp cũng là một ý tưởng tốt.
Nếu bạn đang sử dụng lại mật khẩu cho các trang web khác nhau, việc thay đổi mật khẩu của bạn trên tất cả các trang web đó là một ý tưởng hay nếu một trong các trang web đó bị xâm phạm. Nhưng đây là điều tồi tệ nhất bạn có thể làm - giải pháp thực sự ở đây là sử dụng mật khẩu duy nhất, không liên tục thay đổi mật khẩu được chia sẻ thành mật khẩu mới trên tất cả các dịch vụ bạn sử dụng.
Tập trung vào lời khuyên hữu ích
Vấn đề với việc khuyên mọi người nên thay đổi mật khẩu thường xuyên là vì đó là lời khuyên làm sao lãng. Sử dụng mật khẩu mạnh, độc đáo ở mọi nơi đã gần như không thể thực hiện được lời khuyên nếu bạn không sử dụng trình quản lý mật khẩu để ghi nhớ mật khẩu cho bạn. Xác thực hai yếu tố cũng hữu ích vì nó có thể ngăn tài khoản của bạn bị truy cập ngay cả khi ai đó ăn cắp mật khẩu của bạn. Thay vì nói với mọi người thường xuyên thay đổi mật khẩu của họ, chúng ta nên chuyển sang những lời khuyên hữu ích như “sử dụng mật khẩu duy nhất ở mọi nơi” - điều mà hầu hết mọi người hiện không làm.
Đây không phải là lời khuyên duy nhất mà chúng tôi không đồng ý. Đối với hầu hết người dùng gia đình, việc viết một số mật khẩu thực sự không phải là một ý tưởng tồi - nó chắc chắn tốt hơn việc sử dụng lại cùng một mật khẩu ở mọi nơi.
Chúng tôi không phải là người duy nhất tư vấn chống lại những thay đổi mật khẩu thường xuyên, bừa bãi. Chuyên gia bảo mật Bruce Schneier đã viết về lý do tại sao thay đổi mật khẩu thường xuyên không phải là lời khuyên tốt, trong khi Microsoft Research cũng kết luận rằng việc thay đổi mật khẩu thường xuyên là một sự lãng phí thời gian. Có, có một số tình huống mà bạn có thể muốn làm điều này - nhưng đi qua lời khuyên như "thay đổi mật khẩu của bạn mỗi ba tháng" để người dùng máy tính điển hình đang làm hại nhiều hơn lợi.
