Театр одной безопасности

Уважаемый безопасник, а теперь прочитайте ещё раз свою историю, и ответьте честно: в каком из перечисленных случаев помогла бы обязательная периодическая смена пароля?

Переслать логин с паролем мошенникам идиот может независимо от того, как часто он этот пароль менял.

Если пароли «утекли» в результате взлома (надеюсь, они были хотя бы «солёные»?) — важна внеочередная смена пароля. Если пароль подбирают — важна его «сила», она же энтропия, и несловарность. Совершенно не важно как давно этот пароль не менялся до этого события.

Наконец, трояну пофигу на всю силу паролей и регулярность их смены — он либо «уведёт» пароль пока вы его набираете, либо получит доступ вовсе в обход парольной защиты.

Как видно, периодическая смена паролей не защищает пользователя ни от чего. Зато мешает ещё как: если пару стойких паролей вроде указанного вами G8^%j5n17-l1 обычный человек ещё способен выучить, то учить пару десятков таких паролей каждые три месяца невозможно. Именно по этой причине люди и начинают использовать простые пароли.

Впрочем, в конце вашей истории вы всё же проболтались, зачем на самом деле это нужно: чтобы «доказать, что ты со своей стороны как специалиста сделал всё, что было в твоих силах ради безопасности их данных».

То есть вам важно не защитить пользователя, а спихнуть с себя ответственность. Это называется не «безопасность», а театр безопасности. Иными словами, это и есть та самая ИБД, на которую жаловались исходно. И вы, именно вы, нас всех задолбали.