Czy muszę zmieniać hasła co miesiąc?

Nie, nie musisz zmieniać haseł co miesiąc/kwartał/rok.

Opublikowano 22.12.2022 10:08

Powinieneś je natomiast zmienić jeśli masz podejrzenie, że mogły wyciec/ktoś je poznał/podpatrzył.

I nie jest to tylko moje zdanie. Takie rekomendacje znajdziecie na przykład na stronie CERT:

NIE POWINIEN wymuszać okresowej zmiany haseł

Za mało? Popatrzmy na rekomendację NCSC:

Don't enforce regular password expiry

Idziemy dalej - NIST 800-63B:

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

To samo potwierdza również Microsoft:

Password expiration policies do more harm than good, because these policies drive users to very
predictable passwords composed of sequential words and numbers which are closely related to each other (that is, the next password can be predicted based on the previous password). Password change offers no containment benefits cyber criminals almost always use credentials as soon as they compromise them.

Wymuszanie cyklicznej zmiany często powoduje, że użytkownicy tylko lekko modyfikują swoje hasła:

  • wiosna2022
  • lato2022
  • jesien2022
  • zima2022

#wyjasnienia