Si no hay razón para sospechar que se conoce la contraseña o que otra persona la puede adivinar razonablemente, entonces no hay razón para cambiarla.
La contraseña es o podría ser conocida por otra persona:
- ha sido robada, adivinada o forzada por la fuerza bruta
- nota cambios extraños en sus cuentas o líneas sospechosas en sus registros, etc. por lo que alguien podría estar usando su contraseña
- su máquina ha sido infectada, por lo que cualquier contraseña que haya ingresado últimamente podría haber sido robada
- se entregó a otras personas a propósito (por ejemplo, para obtener ayuda, etc.)
La contraseña se puede adivinar razonablemente (contraseña débil o debilitada):
- un atacante ha robado un hash de su contraseña, o ha robado un archivo cifrado con su contraseña (pueden atacar con fuerza bruta con hardware y software dedicado)
- usa una contraseña débil, o incluso usa la contraseña predeterminada proporcionada por el servicio o dispositivo
- se ve obligado a usar una contraseña débil (como un PIN numérico) que podría forzarse de forma bruta en un tiempo razonablemente corto, por lo que debe cambiarla con regularidad para que el atacante tenga dificultades para obtener acceso continuo
- utiliza la misma contraseña para dos o más propósitos diferentes, y eso hace que sea más probable que sea robado o adivinado
Por ejemplo, para un disco duro encriptado, esto significa que debe cambiar la contraseña si sospecha que su compañero de trabajo curioso que siempre está mirando su teclado lo ha visto o finalmente ha podido averiguarlo. O, por ejemplo, debería cambiarlo si alguien robó de alguna manera una copia de su HDD (también podría ser una copia de respaldo), porque entonces el atacante puede intentar forzar la fuerza bruta con mayor facilidad (con software o hardware específico). Si finalmente encuentran la contraseña, podrán leer todos sus datos en la copia HDD robada, pero al menos no podrán volver y usar esa misma contraseña para volver a leer fácilmente toda su HDD (porque ha cambiado la contraseña) . Otro ejemplo: debe cambiar la contraseña de su HDD si está usando la misma contraseña que su WIFI, y le está dando su contraseña WIFI a todos sus amigos para que puedan acceder a Internet en su hogar. Por supuesto, esas contraseñas deberían ser diferentes.