Você deve mudar suas senhas regularmente?
"Altere suas senhas regularmente" é um conselho comum de senhas, mas não é necessariamente um bom conselho. Você não deve se preocupar em mudar a maioria das senhas regularmente - isso encoraja você a usar senhas mais fracas e desperdiça seu tempo.
Sim, existem algumas situações em que você deseja alterar regularmente suas senhas. Mas essas provavelmente serão a exceção e não a regra. Dizer aos usuários típicos de computadores que precisam mudar regularmente suas senhas é um erro.
A teoria das alterações da senha normal
Mudanças de senha regulares são, teoricamente, uma boa ideia, porque elas garantem que alguém não possa adquirir sua senha e usá-la para bisbilhotar você por um longo período de tempo..
Por exemplo, se alguém tiver adquirido sua senha de e-mail, poderá fazer login em sua conta de e-mail regularmente e monitorar suas comunicações. Se alguém adquiriu sua senha de banco on-line, ela poderia espionar suas transações ou voltar em vários meses e tentar transferir dinheiro para suas próprias contas. Se alguém adquiriu sua senha do Facebook, eles poderiam fazer login como você e monitorar suas comunicações privadas.
Teoricamente, mudar suas senhas regularmente - talvez a cada poucos meses - ajudará a evitar que isso aconteça. Mesmo que alguém tenha adquirido sua senha, ela teria apenas alguns meses para usar seu acesso para fins nefastos.
As desvantagens
Mudanças de senha não devem ser consideradas no vácuo. Se os seres humanos tivessem tempo infinito e memória perfeita, mudanças regulares de senha seriam uma boa ideia. Na realidade, a mudança de senhas impõe um fardo às pessoas.
Alterar sua senha regularmente torna mais difícil lembrar de boas senhas. Em vez de criar uma senha forte e enviá-la para a memória, você deve tentar lembrar uma nova senha a cada poucos meses. Os usuários que são forçados a alterar regularmente suas senhas por um sistema de computador podem acabar anexando um número - para que possam usar senha1, senha2 e assim por diante.
É difícil mudar sua senha regularmente para uma única conta e lembrar sua nova senha a cada vez. Mas todos nós temos muitas senhas - imagine ter que alterar sua senha regularmente e lembrar constantemente senhas únicas e fortes para um grande número de serviços..
Já é basicamente impossível escolher senhas fortes e únicas para cada site e lembrá-las - é por isso que recomendamos usar um gerenciador de senhas como o LastPass ou o KeePass. Se você alterar sua senha a cada poucos meses, provavelmente acabará usando senhas mais fracas e reutilizando-as em vários sites. É muito mais importante usar senhas fortes e exclusivas em todos os lugares do que alterar sua senha regularmente.
Por que alterar senhas não necessariamente ajuda
Mudar sua senha regularmente não ajudará tanto quanto você imagina. Se um invasor obtiver acesso a suas contas, elas provavelmente usarão o acesso delas para causar danos imediatamente. Se eles obtiverem acesso à sua conta bancária on-line, eles farão login e tentarão transferir dinheiro, em vez de aguardar e aguardar. Se eles tiverem acesso a uma conta de compras on-line, eles farão login e tentarão solicitar produtos com as informações salvas do seu cartão de crédito. Se eles acessarem seu e-mail, provavelmente o usarão para spam e phishing, ou tentarão redefinir senhas em outros sites com ele. se eles tiverem acesso à sua conta do Facebook, provavelmente tentarão enviar spam ou defraudar seus amigos imediatamente.
Atacantes típicos não seguram suas senhas por um longo período de tempo e espionam você. Isso não é lucrativo - e os atacantes estão logo após o lucro. Você perceberá se alguém conseguir acessar suas contas.
Alterar sua senha regularmente também é essencial se você usar a mesma senha em todos os lugares, porque é provável que sua senha seja constantemente vazada quando um dos serviços que você usa estiver comprometido. Em vez de alterar essa senha única regularmente, você deve lidar com o problema real aqui e usar senhas exclusivas em todos os lugares.
Quando você deseja alterar senhas
A alteração de senhas pode ajudar se alguém que não é um invasor tradicional tiver acesso à sua conta. Por exemplo, digamos que você compartilhou suas credenciais de login do Netflix com um ex - você vai querer alterar sua senha para que eles não possam usar sua conta para sempre. Ou digamos que alguém próximo a você tenha acesso ao seu e-mail ou senha do Facebook e tenha usado sua senha para espioná-lo. Quando você altera suas senhas, está basicamente impedindo esse tipo de compartilhamento e invasão de conta, impedindo que alguém do outro lado do mundo tenha acesso.
Mudanças de senha regulares também podem ser valiosas para alguns sistemas de trabalho, mas elas devem ser usadas com cuidado. Os administradores de TI não devem forçar os usuários a alterar suas senhas constantemente, a menos que haja uma boa razão: os usuários começarão a usar senhas fracas, anotando senhas ou até mesmo alternando entre duas senhas favoritas..
Mudanças de senha em resposta a eventos específicos são uma coisa boa, é claro. É uma boa ideia alterar suas senhas em sites vulneráveis ao Heartbleed, mas que agora foram corrigidos. Alterar sua senha depois que um site tiver seu banco de dados de senhas roubado também é uma boa ideia.
Se você estiver reutilizando senhas de sites diferentes, a alteração da senha em todos esses sites é uma boa ideia se um desses sites for comprometido. Mas esta é a pior coisa que você pode fazer - a verdadeira solução aqui é usar senhas únicas, não mudando constantemente sua senha compartilhada para uma nova em todos os serviços que você usa.
Concentre-se no conselho útil
O problema em aconselhar as pessoas a mudarem sua senha regularmente é que é um conselho tão distrativo. Usar senhas fortes e exclusivas em todos os lugares já é quase impossível conselho se você não estiver usando um gerenciador de senhas para lembrá-las para você. A autenticação de dois fatores também é útil, pois pode impedir que suas contas sejam acessadas, mesmo se alguém roubar suas senhas. Em vez de dizer às pessoas para mudarem regularmente suas senhas, deveríamos estar passando conselhos úteis como "use senhas únicas em todos os lugares" - algo que a maioria das pessoas não faz atualmente.
Este não é o único conselho que discordamos. Para a maioria dos usuários domésticos, escrever algumas senhas não é uma má idéia - é definitivamente melhor do que reutilizar a mesma senha em todos os lugares..
Não somos os únicos a aconselhar contra alterações regulares e indiscriminadas de senhas. O especialista em segurança Bruce Schneier escreveu sobre por que trocar senhas regularmente não é um bom conselho, enquanto a Microsoft Research também concluiu que trocar senhas regularmente é uma perda de tempo. Sim, existem algumas situações em que você pode querer fazer isso - mas transmitir conselhos como “alterar suas senhas a cada três meses” para usuários típicos de computadores está causando mais danos do que benefícios..
Crédito de imagem: rochelle hartman no Flickr, Lulu Hoeller no Flickr, Joanna Poe no Flickr, snoopsmaus no Flickr, medithIT no Flickr