Относитесь к своим паролям, как к нижнему белью
Ни с кем ими не делитесь
Регулярно меняйте
Не храните на столе
Вот объясните мне неграмотному, на кой хер МЕНЯТЬ пароли? Не тогда когда БД слили, не тогда когда был взлом, а сука просто менять, на отъебись? Пароль не взломали, но ты его должен менять, вот нахуя? Ты его поменяешь, и твой новый пароль сломают. Понимаю если слили базу с с регой по мылу и пароль у тебя везде один и тот же. Но не тогда же когда все хорошо и замечательно???
раскрыть ветку (9)
раскрыть ветку (3)
а чтобы вспоминать постоянно сменяемые пароли их привязывают к телефону, а телефон - одна сплошная утечка, которая чисто физически может оказаться в доступе, как банковская карта.
Чтобы было меньше дыр, нужно больше дыр.
раскрыть ветку (1)
чисто физически может оказаться в доступе, как банковская карта.Нет, это хуйня. Телефон обычно не может оказаться в доступе. А вот телефонный номер - может. Например если какой-то гандон устроится работать в салон связи и перевыпустит твою симку.
Ну и что? Есть 2 варианта:
1) Утекли bcrypt(cost = 10+, salt, key). Вы восхитительны, беспокоится не о чем. (Если ваш пароль надежен. Но если нет, то утечка базы маловажная проблема). Если вы параноик можете таки сменить пароль когда узнали об утечке.
2) Утекли пароли в открытом виде/плохо зашифрованные пароли. Значит, ими воспользуются +- прямо сейчас. А не через несколько месяцев.
Ваш пароль может быть уже скомпрометирован, но вы об этом можете не знать. Периодическая смена паролей нужна чтобы уменьшить риски, связанные с вероятностью того, что ваш старый пароль уже утёк и кто-то уже имеет доступ к защищённой этим паролем информации.
Скажем, однажды, будучи в позднеподростковом возрасте, я получил доступ к аккаунту одного сильно мне нагадившего человека на одном отечественном блогохостинге. И практически в течение всего следующего года я имел возможность читать его подзамочные записи, предназначенные для узкого круга "своих". И когда там набралось достаточное количество записей, крайне негативно характеризующих этого человека среди прочих его знакомых, я снял с них замок и переслал ссылки всем, кого эти записи затрагивали.
Если бы объект моего наблюдения имел привычку раз в пару месяцев менять хотя бы один символ в своём пароле (которого я не знал, я знал только хэш этого пароля) - я бы обломался.
Вот именно. Это просто старый стереотип. По факту сейчас нет особой необходимости постоянно менять пароли.
раскрыть ветку (2)
Из статьи по приведенной вами ссылке я сделал вывод, что нужно регулярно менять хороший пароль на другой хороший пароль. Откуда вы сделали вывод, что это старый стереотип и сейчас нет необходимости менять пароли? С какого момента это стало не актуально? Что в тот момент поменялось?
раскрыть ветку (1)
Ну вот например мелкомягкие постоянно в своих рекмендациях говорят о том, что частая смена пароля - не есть хорошо. https://support.office.com/ru-ru/article/%D0%A0%D0%B5%D0%BA%...
Не требуйте регулярной смены паролей для учетных записей пользователей.
Если пароль не был скомпрометирован, то его регулярная смена раз в месяц - чистой воды паранойя, которая несёт один лишь вред. И об этом уже много лет говорят те же специалисты по ИБ мелкомягких. Гораздо разумнее один раз придумать 20 символьный сложный пароль и не менять его, чем каждый месяц придумывать новый. Нужно же сохранять какую-то разумность и во всём искать золотую середину. ИБ - это комплекс мер разного уровня. Нельзя просто на отъебись заставлять пользаков постоянно менять пароли и надеяться, что это решит все проблемы.
я сделал вывод, что нужно регулярно менять хороший пароль на другой хороший пароль
Да, это действительно замечательно звучит в теории. Но на практике реальные пользователи очень скоро забьют хуй на регулярное придумывание хороших паролей и будут использовать всякую шляпу. И было бы слишком глупо не учитывать этого при обеспечении ИБ.