We’re all still using passwords on many, perhaps most, of our accounts, because we’re all still using plenty of online services that don’t offer any other sort of login system.
Just today, for instance, I paid membership fees to a cycling-related group that asked for my postal address so it could send me my membership card, which I thought was a delightfully simple and old-school way of letting me retrieve my membership number in future while out on the road.
In the sort of cold and soggy weather you get for much of the year in England, digging out a mobile phone, waiting for a signal, taking off your gloves (they’re not much fun to put back on when you’re winter-waterlogged), and fiddling around with apps, websites, passwords, 2FA codes and more…
…well, it’s just not as easy as finding a waterproof, crash-proof, no-batteries-required, plastic card with your basic details on it.
But along with my payment confirmation, informing me that my membership card was on its way, was a reminder that if ever I wanted to renew my membership, or to request a replacement waterproof, crash-proof, no-batteries-required, plastic card (sadly, they aren’t loss-proof), I’d need to create an account on the group website, so why not choose a password right now?
Simply put, to avoid the need for a password in the first place, I’d need to create one in the second place.
And whenever passwords come up, a long-running question comes up too:
Should you change all your passwords all the time to make them fast-moving targets for cybercriminals, or lock in really complex ones to start with, and then leave well alone?
Indeed, that was the issue facing a long-term Naked Security reader this very morning, whose own IT team were on the horns of this very dilemma, possibly because of a cyberinsecurity near-miss that they’d just experienced first hand.
بہتر کونسا ہے؟
Complex passwords or passphrases that may not get changed often, or poorly-chosen passwords that are changed regularly?
Thoughts and cogitations
Our thoughts on the matter are as follows:
- Changing passwords regularly isn’t an alternative to choosing and using strong ones. If you want to change your password every month, that’s your choice, but it’s not an excuse for starting with your cat’s name and using minor variants of it every few weeks.
- لوگوں کو اپنے پاس ورڈز کو معمول کے مطابق تبدیل کرنے پر مجبور کرنے سے وہ بری عادتوں میں پڑ سکتے ہیں۔ Many users simply adopt a predictable mechanism, such as adding -01, -02, -03 and so on to satisfy the letter (but not the spirit) of your password replacement rules. Attackers can figure out that sort of behaviour.
- پاس ورڈ کی تبدیلیوں کو شیڈول کرنے سے ہنگامی ردعمل میں تاخیر ہو سکتی ہے۔ If you always change your password every few weeks, there’s less incentive to change it right away if you think you might have been phished. After all, you’ll be changing it “soon” anyway.
Regularly changing your password doesn’t magically make it a better password.
Only choosing a better password in the first place makes it a better password! (This is where پاس ورڈ مینیجر can help.)
In other words, we suggest that you first address the problem of helping your users to choose decent passwords, then encourage them to recognise cases where they should change their passwords right away, without needing a timetable to tell them to do so…
…and only then should you worry about whether you really need a “regular changes regardless” password policy as well.
The risks of rote behaviour
Demanding password changes every month when you simply don’t need to is just inviting people to save their new passwords insecurely, or to choose new passwords sloppily, or to rotate through a repeating sequence of N related passwords, or of only ever updating their passwords every 30 days, even in emergencies.
Having said that, locking out users who haven’t accessed specific company accounts for a certain time is a good idea. (This also guards modestly against forgotten accounts, because they eventually expire automatically.)
Locking users out for inactivity is more intrusive than simply forcing them to reset their passwords regularly, and therefore unpopular.
But if someone has a company account login that they aren’t using, why not push them to justify in person why they still need it after they haven’t used it for, say, six months or a year?
After all, if it’s a login for a product or service that charges a per-user fee… you may even be able to save the cost of their subscription.
And if they genuinely don’t need the account any more, you’re helping them to stay out of trouble by preventing rogues and cybercrooks from doing bad things in their name.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- ای وی ایم فنانس۔ وکندریقرت مالیات کے لیے متحد انٹرفیس۔ یہاں تک رسائی حاصل کریں۔
- کوانٹم میڈیا گروپ۔ آئی آر/پی آر ایمپلیفائیڈ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/06/09/thoughts-on-scheduled-password-changes-dont-call-them-rotations/
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 1
- 15٪
- 25
- 2FA
- 30
- a
- قابلیت
- ہمارے بارے میں
- مطلق
- رسائی
- اکاؤنٹ
- اکاؤنٹس
- انہوں نے مزید کہا
- پتہ
- اپنانے
- کے بعد
- کے خلاف
- تمام
- اکیلے
- ساتھ
- بھی
- متبادل
- ہمیشہ
- an
- اور
- کوئی بھی
- ایپس
- کیا
- ارد گرد
- AS
- مصنف
- آٹو
- خود کار طریقے سے
- سے اجتناب
- دور
- واپس
- پس منظر کی تصویر
- برا
- بنیادی
- BE
- کیونکہ
- رہا
- بہتر
- سرحد
- پایان
- لیکن
- by
- فون
- کر سکتے ہیں
- کارڈ
- مقدمات
- سینٹر
- کچھ
- تبدیل
- تبدیل کر دیا گیا
- تبدیلیاں
- تبدیل کرنے
- بوجھ
- انتخاب
- میں سے انتخاب کریں
- منتخب کریں
- کوڈ
- سردی
- رنگ
- کس طرح
- آتا ہے
- کمپنی کے
- پیچیدہ
- تصدیق کے
- قیمت
- سکتا ہے
- احاطہ
- تخلیق
- cybercriminals
- دن
- تاخیر
- تفصیلات
- دکھائیں
- do
- نہیں کرتا
- کر
- نہیں
- آسان
- ایمرجنسی
- کی حوصلہ افزائی
- انگلینڈ
- بھی
- آخر میں
- کبھی نہیں
- ہر کوئی
- تجربہ کار
- سامنا کرنا پڑا
- تیزی سے چلنے والا
- فیس
- چند
- اعداد و شمار
- تلاش
- پہلا
- پہلا ہاتھ
- مندرجہ ذیل ہے
- کے لئے
- سے
- مزہ
- مستقبل
- حاصل
- اچھا
- گروپ
- ہاتھ
- ہے
- اونچائی
- مدد
- مدد
- ہور
- HTTPS
- i
- خیال
- if
- in
- انتباہ
- مثال کے طور پر
- میں
- مدعو کرنا
- مسئلہ
- IT
- میں
- صرف
- چھوڑ دو
- چھوڑ دیا
- کم
- خط
- دے رہا ہے
- لاگ ان
- طویل مدتی
- بنا
- بناتا ہے
- بہت سے
- مارجن
- معاملہ
- زیادہ سے زیادہ چوڑائی
- مئی..
- میکانزم
- رکنیت
- شاید
- معمولی
- موبائل
- موبائل فون
- مہینہ
- ماہ
- زیادہ
- صبح
- سب سے زیادہ
- بہت
- my
- ننگی سیکیورٹی
- نام
- ضرورت ہے
- ضرورت ہے
- نئی
- عام
- اب
- تعداد
- of
- بند
- پیش کرتے ہیں
- اکثر
- on
- ایک
- والوں
- آن لائن
- صرف
- or
- دیگر
- ہمارے
- باہر
- خود
- ادا
- پاس ورڈ
- پاس ورڈز
- پال
- ادائیگی
- لوگ
- شاید
- انسان
- فون
- مقام
- پلاسٹک
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کافی مقدار
- پالیسی
- پوزیشن
- ممکنہ طور پر
- پوسٹل
- مراسلات
- پیش قیاسی
- کی روک تھام
- مسئلہ
- مصنوعات
- پش
- ڈال
- سوال
- ریڈر
- واقعی
- تسلیم کریں
- باقاعدگی سے
- متعلقہ
- رشتہ دار
- متبادل
- درخواست
- جوابات
- ٹھیک ہے
- خطرات
- سڑک
- معمول سے
- قوانین
- کہا
- محفوظ کریں
- کا کہنا ہے کہ
- شیڈول کے مطابق
- دوسری
- سیکورٹی
- بھیجنے
- تسلسل
- سروس
- سروسز
- ہونا چاہئے
- اشارہ
- سادہ
- صرف
- چھ
- چھ ماہ
- So
- ٹھوس
- کسی
- مخصوص
- روح
- شروع کریں
- شروع
- رہنا
- ابھی تک
- مضبوط
- سبسکرائب
- اس طرح
- مشورہ
- SVG
- کے نظام
- لینے
- اہداف
- ٹیم
- بتا
- سے
- کہ
- ۔
- ان
- ان
- تو
- لہذا
- وہ
- چیزیں
- لگتا ہے کہ
- اس
- سوچا
- کے ذریعے
- وقت
- ٹائم ٹیبل
- کرنے کے لئے
- آج
- بھی
- سب سے اوپر
- منتقلی
- شفاف
- مصیبت
- اپ ڈیٹ
- URL
- استعمال کیا جاتا ہے
- صارفین
- کا استعمال کرتے ہوئے
- بہت
- انتظار کر رہا ہے
- چاہتے ہیں
- چاہتے تھے
- تھا
- راستہ..
- we
- موسم
- ویب سائٹ
- ویب سائٹ
- مہینے
- اچھا ہے
- تھے
- جب
- جب بھی
- چاہے
- جس
- جبکہ
- ڈبلیو
- کس کی
- کیوں
- چوڑائی
- ساتھ
- بغیر
- الفاظ
- فکر
- سال
- تم
- اور
- زیفیرنیٹ