Есть старая практика — раз в квартал заставлять сотрудников менять пароль. Многие до сих пор это делают: ИТ-служба настраивает политику в AD, пользователь получает напоминание, снова что-то придумывает (или прибавляет единичку к прошлому варианту) — и жизнь идёт дальше. Как будто это укрепляет безопастность.
Но вот в чём вопрос: а если пароль уже утёк, имеет ли смысл его менять каждые три месяца? Или даже каждый месяц? Что-то подсказывает — нет. Ведь если злоумышленник получил доступ, он может сразу поставить себе бекдор, создать вторую учётку или просто дождаться следующего пароля, особенно если наблюдает за системой изнутри.
С другой стороны, сама по себе частая смена пароля без подтверждённой утечки может быть вредной. Люди начинают использовать шаблоны, записывать комбинации в блокнотах, или, того хуже, пересылать их себе в мессендеры. Парадокс — формально мы «усиливаем защиту», а по факту упрощаем жизнь тому, кто хочет ё обойти.
Интересно, что в этом уравнении не хватает одной переменной — второго фактора. Потому что без 2FA, кажется, вообще всё это вращение паролей становится игрой в догонялки. Ты сменил пароль, а он уже в фишинговой базе или логах с кейлоггера. Удалённый доступ, особенно через веб, — это та самая точка, где одной секретной строчки уже не хватает.
Но получается ли, что частая смена пароля — это больше про ритуал, чем про реальную защиту? Может, когда-то это имело смысл. Когда атак было меньше, фишинг — редкость, а термин «учётка в Telegram слила доступ» казался фантастикой. Сейчас же угроза носит совсем другой характер: незаметная, автоматизированная, массовая.
Так что вопрос не в том, «надо ли менять пароли». А в том, не пора ли пересмотреть саму логику. Ведь если защита, стоит начать с вопроса — что будет, если этот пароль кто-то уже знает прямо сейчас?
Добавить комментарий