Театр одной безопасности
Уважаемый безопасник, а теперь прочитайте ещё раз свою историю, и ответьте честно: в каком из перечисленных случаев помогла бы обязательная периодическая смена пароля?
Переслать логин с паролем мошенникам идиот может независимо от того, как часто он этот пароль менял.
Если пароли «утекли» в результате взлома (надеюсь, они были хотя бы «солёные»?) — важна внеочередная смена пароля. Если пароль подбирают — важна его «сила», она же энтропия, и несловарность. Совершенно не важно как давно этот пароль не менялся до этого события.
Наконец, трояну пофигу на всю силу паролей и регулярность их смены — он либо «уведёт» пароль пока вы его набираете, либо получит доступ вовсе в обход парольной защиты.
Как видно, периодическая смена паролей не защищает пользователя ни от чего. Зато мешает ещё как: если пару стойких паролей вроде указанного вами G8^%j5n17-l1 обычный человек ещё способен выучить, то учить пару десятков таких паролей каждые три месяца невозможно. Именно по этой причине люди и начинают использовать простые пароли.
Впрочем, в конце вашей истории вы всё же проболтались, зачем на самом деле это нужно: чтобы «доказать, что ты со своей стороны как специалиста сделал всё, что было в твоих силах ради безопасности их данных».
То есть вам важно не защитить пользователя, а спихнуть с себя ответственность. Это называется не «безопасность», а театр безопасности. Иными словами, это и есть та самая ИБД, на которую жаловались исходно. И вы, именно вы, нас всех задолбали.
1 комментарий
Добавлю что стойкие пароли, которые не могут храниться в парольном менеджере, такие как пароль к парольному менеджеру, к основной почте и к входу в комп должны быть в виде "Correct-Horse-Battery-Staple-123". Стойко, легко запомнить, легко ввести. Хорошо бы таких одменов этому научить, раз уж они их генерят (хотя я писал почему генерение паролей за юзеров это плохая практика)