Moet u uw wachtwoorden regelmatig wijzigen?
"Verander uw wachtwoorden regelmatig" is een veelvoorkomend stukje wachtwoordadvies, maar het is niet per se een goed advies. U zou niet de moeite moeten nemen om de meeste wachtwoorden regelmatig te veranderen - het moedigt u aan om zwakkere wachtwoorden te gebruiken en verspilt uw tijd.
Ja, er zijn enkele situaties waarin u uw wachtwoorden regelmatig wilt wijzigen. Maar die zullen waarschijnlijk eerder de uitzondering dan de regel zijn. Het is een vergissing om typische computergebruikers te vertellen dat ze hun wachtwoorden regelmatig moeten wijzigen.
De theorie van regelmatige wachtwoordwijzigingen
Gewone wachtwoordwijzigingen zijn in theorie een goed idee, omdat ze ervoor zorgen dat iemand uw wachtwoord niet kan achterhalen en het kan gebruiken om u gedurende langere tijd te bespieden..
Als iemand bijvoorbeeld uw e-mailwachtwoord heeft verkregen, kunnen deze zich regelmatig aanmelden bij uw e-mailaccount en uw communicatie volgen. Als iemand uw wachtwoord voor internetbankieren heeft verkregen, kunnen ze uw transacties bekijken of binnen enkele maanden terugkomen en proberen geld over te schrijven naar hun eigen rekeningen. Als iemand je Facebook-wachtwoord heeft verkregen, kunnen ze zich als jij aanmelden en je privécommunicatie bewaken.
Theoretisch zal het regelmatig veranderen van je wachtwoorden - misschien om de paar maanden - helpen voorkomen dat dit gebeurt. Zelfs als iemand je wachtwoord zou hebben verkregen, hadden ze maar een paar maanden de tijd om hun toegang voor schandelijke doeleinden te gebruiken.
De nadelen
Wijzigingen in wachtwoorden mogen niet in een vacuüm worden beschouwd. Als menselijke wezens een oneindige tijd en een perfect geheugen hadden, zouden normale wachtwoordwijzigingen een goed idee zijn. In werkelijkheid belasten veranderende wachtwoorden mensen.
Als u uw wachtwoord regelmatig wijzigt, is het moeilijker om goede wachtwoorden te onthouden. In plaats van een sterk wachtwoord te maken en het vast te leggen in het geheugen, moet u proberen om de paar maanden een nieuw wachtwoord te onthouden. Gebruikers die gedwongen worden om hun wachtwoord regelmatig te wijzigen door een computersysteem kunnen uiteindelijk een nummer toevoegen - dus kunnen ze wachtwoord1, wachtwoord2, enzovoort gebruiken.
Het is moeilijk genoeg om uw wachtwoord regelmatig te wijzigen voor één account en elke keer uw nieuwe wachtwoord te onthouden. Maar we hebben allemaal veel wachtwoorden - stel je voor dat je je wachtwoord regelmatig moet wijzigen en constant unieke, sterke wachtwoorden voor een groot aantal services moet onthouden.
Het is in principe onmogelijk om sterke, unieke wachtwoorden te kiezen voor elke website en deze te onthouden - daarom raden we aan om een wachtwoordbeheerder zoals LastPass of KeePass te gebruiken. Als u uw wachtwoord om de paar maanden wijzigt, zult u waarschijnlijk zwakkere wachtwoorden gebruiken en deze op meerdere websites opnieuw gebruiken. Het is veel belangrijker om overal sterke, unieke wachtwoorden te gebruiken dan om uw wachtwoord regelmatig te wijzigen.
Waarom het wijzigen van wachtwoorden niet noodzakelijkerwijs helpt
Regelmatig je wachtwoord veranderen zal niet zoveel helpen als je zou denken. Als een aanvaller toegang tot uw accounts verkrijgt, zullen ze hoogstwaarschijnlijk onmiddellijk toegang tot deze accounts gebruiken om schade te veroorzaken. Als ze toegang krijgen tot uw online bankrekening, loggen ze in en proberen ze geld over te maken in plaats van te wachten. Als ze toegang krijgen tot een online winkelaccount, loggen ze in en proberen ze producten te bestellen met uw opgeslagen creditcardgegevens. Als ze toegang krijgen tot uw e-mail, zullen ze deze waarschijnlijk gebruiken voor spam en phishing, of proberen om wachtwoorden op andere sites te heractiveren. als ze toegang krijgen tot je Facebook-account, proberen ze waarschijnlijk je vrienden onmiddellijk te spammen of te bedriegen.
Typische aanvallers houden uw wachtwoorden niet lang vast en snuffelen niet. Dat is niet winstgevend - en aanvallers zijn net op winstbejag. U zult merken dat iemand toegang krijgt tot uw accounts.
Het regelmatig wijzigen van uw wachtwoord is ook essentieel als u overal hetzelfde wachtwoord gebruikt, omdat het waarschijnlijk is dat uw wachtwoord voortdurend wordt gelekt wanneer een van de services die u gebruikt, is gecompromitteerd. In plaats van dat ene wachtwoord regelmatig te veranderen, zou u hier het echte probleem moeten aanpakken en overal unieke wachtwoorden gebruiken.
Wanneer u wel wachtwoorden wilt wijzigen
Het wijzigen van wachtwoorden kan helpen als iemand die geen traditionele aanvaller is toegang heeft tot uw account. Laten we bijvoorbeeld zeggen dat u uw Netflix-inloggegevens heeft gedeeld met een ex - u wilt uw wachtwoord wijzigen zodat ze uw account niet voor altijd kunnen gebruiken. Of laten we zeggen dat iemand in uw buurt toegang heeft gekregen tot uw e-mailadres of Facebook-wachtwoord en uw wachtwoord heeft gebruikt om u te bespioneren. Wanneer u uw wachtwoorden wijzigt, voorkomt u in de eerste plaats dit soort account delen en rondsnuffelen, en voorkomt u niet dat iemand aan de andere kant van de wereld toegang krijgt..
Gewone wachtwoordwijzigingen kunnen ook waardevol zijn voor sommige werksystemen, maar ze moeten met het idee worden gebruikt. IT-beheerders moeten gebruikers niet dwingen hun wachtwoord voortdurend te wijzigen, tenzij er een goede reden is - gebruikers gaan gewoon zwakke wachtwoorden gebruiken, wachtwoorden opschrijven of zelfs heen en weer schakelen tussen twee favoriete wachtwoorden.
Wachtwoordwijzigingen als reactie op specifieke gebeurtenissen zijn natuurlijk een goede zaak. Het is een goed idee om uw wachtwoorden te wijzigen op websites die kwetsbaar waren voor Heartbleed, maar deze nu hebben gepatcht. Het wijzigen van uw wachtwoord nadat een website heeft zijn gestolen wachtwoorddatabase is ook een goed idee.
Als u wachtwoorden voor verschillende websites opnieuw gebruikt, is het wijzigen van uw wachtwoord op al die sites een goed idee als een van die sites is gehackt. Maar dit is het ergste wat u kunt doen - de echte oplossing hier is het gebruik van unieke wachtwoorden, niet voortdurend veranderen van uw gedeelde wachtwoord naar een nieuw wachtwoord voor alle diensten die u gebruikt.
Focus op nuttig advies
Het probleem met het adviseren van mensen om hun wachtwoord regelmatig te wijzigen, is dat het zo'n afleidend advies is. Het gebruik van sterke, unieke wachtwoorden overal is al bijna onmogelijk advies te doen als u geen wachtwoordbeheerder gebruikt om ze voor u te onthouden. Twee-factor-authenticatie is ook nuttig omdat het kan voorkomen dat uw accounts worden bezocht, zelfs als iemand uw wachtwoorden steelt. In plaats van mensen te vertellen regelmatig hun wachtwoorden te wijzigen, moeten we nuttig advies doorgeven, zoals 'overal unieke wachtwoorden gebruiken' - iets wat de meeste mensen momenteel niet doen.
Dit is niet het enige advies waar we het niet mee eens zijn. Voor de meeste thuisgebruikers is het schrijven van sommige wachtwoorden geen slecht idee - het is zeker beter dan overal hetzelfde wachtwoord opnieuw te gebruiken.
Wij zijn niet de enigen die adviseren tegen regelmatige, willekeurige wachtwoordaanpassingen. Beveiligingsexpert Bruce Schneier heeft geschreven waarom het regelmatig wijzigen van wachtwoorden geen goed advies is, terwijl Microsoft Research ook heeft geconcludeerd dat het regelmatig verwisselen van wachtwoorden tijdverspilling is. Ja, er zijn enkele situaties waarin u dit misschien wilt doen - maar het doorgeven van advies zoals "verander uw wachtwoorden elke drie maanden" naar gewone computergebruikers doet meer kwaad dan goed.
Image Credit: rochelle hartman op Flickr, Lulu Hoeller op Flickr, Joanna Poe op Flickr, snoopsmaus op Flickr, meditel op Flickr