În ultimii ani, s-a vorbit mult despre potențialul tot mai mare al autentificării fără parolă și al cheilor de securitate. Datorită omniprezenței funcției de recunoaștere faciale bazată pe smartphone, posibilitatea de a vă conecta la aplicațiile preferate sau la alte servicii doar printr-o simplă privire (sau folosind o altă metodă de autentificare biometrică, de exemplu) este acum o realitate și o modalitate simplă și sigură de acces pentru mulți utilizatori. Dar încă nu este regula, mai ales în lumea desktop-urilor, iar mulți dintre utilizatori încă se bazează pe vechile parole.

Aici se află provocarea, deoarece parolele rămân o țintă majoră pentru escroci și alți actori de amenințări. Așadar, cât de des ar trebui să schimbăm aceste date de conectare pentru a le menține în siguranță? Răspunsul la această întrebare poate fi mai dificil decât credeți.

De ce schimbarea parolei poate să nu aibă sens

Până nu cu mult timp în urmă, se recomanda o rotație regulată a parolelor pentru a reduce riscul de furt sau de compromitere de către infractorii cibernetici. Perioada vehiculată de schimbarea a parolei era între 30 și 90 de zile.

Cu toate acestea, vremurile se schimbă, iar cercetările sugerează că schimbarea frecventă a parolelor, mai ales urmând un program stabilit, nu îmbunătățește neapărat securitatea conturilor. Cu alte cuvinte, nu există un răspuns universal la întrebarea când ar trebui să vă schimbați parolele. De asemenea, mulți dintre noi au prea multe conturi online pentru a le putea ține evidența în mod confortabil, ca să nu mai vorbim de a găsi parole (puternice și unice) pentru fiecare dintre ele la fiecare câteva luni. De asemenea, acum trăim într-o lume în care găsim aplicații de tip manager de parole și metode de autentificare cu doi factori (2FA).

Prima opțiune vă ajută să stocați și să vă amintiți parolele lungi, puternice și unice pentru fiecare cont. Cea de-a doua adaugă un strat suplimentar de securitate procesului de autentificare cu parolă. Unele aplicații de tip manageri de parole au acum încorporată funcția de monitorizare dark web pentru a semnala automat când datele de conectare ar putea fi compromise și distribuite pe site-urile dark web.

În orice caz, există câteva motive convingătoare pentru care experții în securitate și autoritățile respectate la nivel mondial, cum ar fi Institutul Național de Standarde și Tehnologie din SUA (NIST) și Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC), nu recomandă ca utilizatorii să fie obligați să își schimbe parolele la fiecare câteva luni, cu excepția cazului în care sunt îndeplinite anumite criterii.

Raționamentul este destul de simplu. Conform NIST: „Utilizatorii au tendința de a alege și memora parole mai slabe atunci când știu că vor trebui să le schimbe în viitorul apropiat. Iar atunci când aceste schimbări au loc, ei aleg adesea parole care sunt similare cu vechile parole memorate prin aplicarea unui set de transformări comune, cum ar fi schimbarea unui număr din parolă”. Această practică oferă un fals sentiment de securitate, deoarece, dacă o parolă anterioară a fost compromisă și nu o înlocuiți cu una puternică și unică, atacatorii o vor putea sparge din nou cu ușurință.

De asemenea, parolele noi, mai ales dacă sunt create la fiecare câteva luni, sunt mai susceptibile de a fi notate undeva scrise și/sau uitate, potrivit NCSC. Mai mult de atât, „această ipoteză reprezintă unul dintre acele scenarii de securitate contra-intuitive; cu cât utilizatorii sunt forțați să schimbe parolele mai des, cu atât mai mare este vulnerabilitatea generală la atacuri. Ceea ce părea a fi un sfat perfect rațional, stabilit de mult timp, se pare că nu rezistă la o analiză riguroasă a întregului sistem", susține NCSC. De asemenea, NCSC recomandă acum organizațiilor „să nu stabilească expirarea regulată a parolelor. Credem că acest lucru reduce vulnerabilitățile asociate cu parolele care expiră în mod regulat, în timp ce nu contribuie prea mult la creșterea riscului de exploatare a parolelor pe termen lung.”

Când să vă schimbați parola

Cu toate acestea, există mai multe scenarii care necesită schimbarea parolei, în special pentru conturile cele mai importante, precum:

• Parola dvs. a fost implicată într-o breșă de securitate a datelor suferită de către o terță parte. Probabil că veți fi informat despre acest lucru chiar de către furnizor, sau poate că v-ați înscris pentru primirea unor astfel de alerte pe website-uri precum Have I Been Pwned, sau ați putea fi notificat de către furnizorul aplicației de tip manager de parole care efectuează verificări automate pe dark web.
• Parola dvs. este slabă și ușor de ghicit sau de spart (de exemplu, este posibil să fi apărut pe o listă a celor mai comune parole). Hackerii pot folosi instrumente pentru a încerca parole comune în mai multe conturi în speranța că una dintre ele funcționează, și, de cele mai multe ori, reușesc.
• Ați refolosit parola în mai multe conturi. Dacă unul dintre aceste conturi este spart, actorii de amenințare ar putea utiliza un software automat de „credential stuffing” pentru a vă compromite conturile din alte site-uri sau aplicații.
• Tocmai ați aflat, de exemplu, datorită noului software de securitate, că dispozitivul dvs. a fost compromis de un program malware.
• V-ați partajat parola cu o altă persoană.
• Tocmai ați eliminat persoane din cadrul unui cont comun (de exemplu, foști colegi de apartament).
• V-ați conectat pe un computer public (de exemplu, într-o bibliotecă) sau pe dispozitivul altei persoane.

Sfaturi privind cele mai bune practici 

Luați în considerare următoarele pentru a minimiza șansele de compromitere a conturilor dvs.:

• Utilizați întotdeauna parole puternice, lungi și unice.
• Stocați-le într-un manager de parole, care, pentru acces, necesită o singură parolă și care vă poate reaminti automat toate parolele dvs. pentru orice site sau aplicație.
• Tratați cu importanță alertele privind parolele sparte și luați măsuri imediate după ce le primiți.
• Activați 2FA ori de câte ori este disponibil pentru a oferi un nivel suplimentar de securitate contului dvs.
• Luați în considerare activarea cheilor de securitate atunci când vi se oferă posibilitatea, pentru un acces securizat la conturile dvs. cu ajutorul smartphone-ului.
• Luați în considerare audituri periodice ale parolelor: revizuiți parolele pentru toate conturile dvs. și asigurați-vă că acestea nu sunt duplicate sau ușor de ghicit. Schimbați cele care sunt slabe sau repetate sau cele care pot conține informații personale, cum ar fi zilele de naștere sau numele animalelor de companie ale familiei.
• Nu vă salvați parolele în browser, chiar dacă pare o idee bună. Browserele sunt o țintă populară pentru actorii de amenințare, care ar putea folosi programe malware pentru a fura informații și pentru a vă afla parolele. De asemenea, v-ar expune parolele salvate oricărei persoane care vă folosește dispozitivul.

Dacă nu folosiți parolele aleatorii și puternice sugerate de managerul dvs. de parole (sau de generatorul de parole ESET), consultați această listă de sfaturi compilată de către Agenția de securitate cibernetică și a infrastructurii (CISA) din SUA. CISA sugerează utilizarea celei mai lungi parole permise sau a unor passphrase-uri (8-64 de caractere), acolo unde este posibil, și includerea de litere majuscule și minuscule, numere și caractere speciale.

Țelul pe termen lung este ca, în timp, passkeys - cu sprijinul Google, Apple, Microsoft și al altor actori importanți din ecosistemul tehnologic - să reprezinte sfârșitul erei parolelor. Dar, până atunci, asigurați-vă că vă mențineți conturile cât se poate de sigure cu instrumentele deja existente.