«Меняйте пароли каждые 90 дней» — этот совет кочует из одной инструкции в другую. Но современные исследования показывают, что это не только бесполезно, но и вредно. Разберёмся, когда на самом деле нужно менять пароль.
Почему устарел совет «меняйте каждые 90 дней»
В 2017 году NIST (Национальный институт стандартов США) пересмотрел рекомендации по паролям. Вот почему:
Люди выбирают предсказуемые замены
Когда сотрудников заставляют менять пароль каждые 3 месяца, они:
- Добавляют цифру в конец:
Password1→Password2→Password3 - Меняют месяц:
Summer2024→Autumn2024 - Увеличивают число:
qwerty01→qwerty02
Хакеры знают эти шаблоны и используют их при взломе.
Частая смена снижает качество паролей
Исследование Университета Северной Каролины показало: пользователи, вынужденные часто менять пароли, выбирают более простые комбинации. Легче запомнить что-то простое, если завтра придётся придумывать новое.
Записывание паролей
Когда пароли меняются постоянно, люди начинают их записывать — на стикерах, в заметках, в незащищённых файлах. Это куда опаснее, чем статичный, но сложный пароль.
Microsoft проанализировала миллиарды аутентификаций и пришла к выводу: принудительная смена паролей не повышает безопасность, а снижает её.
Рекомендации NIST 2024
Актуальные рекомендации Национального института стандартов:
- Не требовать периодической смены паролей без причины
- Менять пароль только при подозрении на компрометацию
- Фокусироваться на длине, а не на сложности
- Разрешать длинные пароли (до 64 символов)
- Использовать 2FA как основную защиту
Когда нужно менять пароль
1. Утечка данных
Если сервис сообщил об утечке или ваш email появился на Have I Been Pwned, меняйте пароль немедленно.
2. Подозрительная активность
Признаки взлома:
- Уведомления о входе с неизвестных устройств
- Изменённые настройки, которые вы не меняли
- Письма в отправленных, которые вы не писали
- Сброс 2FA без вашего ведома
3. Доступ был у другого человека
После расставания с партнёром, увольнения, смены соседей — меняйте пароли от всего, к чему они могли иметь доступ.
4. Использовали на чужом устройстве
Если входили в аккаунт с публичного компьютера, интернет-кафе, компьютера друга — смените пароль.
5. Пароль слишком простой
Если ваш текущий пароль:
- Короче 12 символов
- Содержит словарное слово
- Используется на нескольких сайтах
- Содержит личную информацию
Смените его на сгенерированный.
Что важнее, чем частая смена
1. Уникальность
Один пароль — один сайт. Если пароль утечёт с одного сервиса, остальные останутся защищены.
2. Длина
Минимум 12 символов, лучше 16+. Длинный пароль из случайных слов надёжнее короткого со спецсимволами.
3. Случайность
Используйте генератор паролей вместо придумывания. Люди предсказуемы, компьютеры — нет.
4. Двухфакторная аутентификация
2FA защищает даже при утечке пароля. Включите везде, где возможно, особенно:
- Электронная почта
- Банки и финансы
- Социальные сети
- Рабочие аккаунты
5. Менеджер паролей
Невозможно запомнить 100 уникальных сложных паролей. Менеджер паролей решает эту проблему.
Стратегия безопасности паролей
Для обычного пользователя
- Установите менеджер паролей (Bitwarden, 1Password)
- Сгенерируйте уникальный пароль для каждого важного сервиса
- Включите 2FA на почте, банках, соцсетях
- Проверяйте утечки на Have I Been Pwned раз в полгода
- Меняйте только скомпрометированные пароли
Для параноиков
- Меняйте пароли критичных сервисов раз в год
- Используйте аппаратные ключи (YubiKey) для 2FA
- Храните резервные коды в сейфе
- Разделяйте аккаунты по уровням критичности
Итог
Не меняйте пароли по расписанию — это устаревшая практика, снижающая безопасность.
Меняйте когда нужно:
- При утечке
- При подозрении на взлом
- Если пароль слабый или неуникальный
Сфокусируйтесь на главном:
- Уникальные пароли для каждого сайта
- Длина 12+ символов
- Двухфакторная аутентификация
- Менеджер паролей
Эти меры защитят вас лучше, чем ежемесячная смена Password1 на Password2.