¿Necesito cambiar las contraseñas (sin compromiso) si uso un administrador de contraseñas?

¿Sabes que no están comprometidos? Si está absolutamente seguro, entonces no hay necesidad real de cambiar. Obviamente, si están comprometidos, entonces adelante y cambia. Si no lo sabes, entonces se vuelve más interesante.

Ese es el propósito principal de cambiar sus contraseñas, en caso de que estén comprometidas y de que aún no lo sepa. Por lo tanto, la política de cambio de contraseña de 90 días en general es un compromiso basado en el riesgo entre la probabilidad de que su contraseña esté comprometida y lo molesto que es cambiar y volver a recordar (o en el caso de un administrador de contraseñas, actualizar y comenzar a usar).

Por supuesto, similar a la pregunta ¿Cómo cambiar la seguridad cada 90 días aumenta la seguridad?

Para mi respuesta a esa pregunta vaya aquí .

Para responder a su pregunta, las razones para cambiar su contraseña regularmente incluyen:

• Si la entropía de su contraseña permite que se craque desde la última vez que la cambió, ya que el atacante podría haber obtenido un hash de su contraseña sin que usted lo supiera. Para obtener una guía aproximada de los tiempos de craqueo, vea aquí . Para el promedio, divida el resultado por dos. p.ej. una contraseña con 65 bits de entropía tardaría 1,7 años en descifrar en promedio. Por supuesto, recuerde que un atacante con suficiente tiempo y recursos para hacer esto puede ser raro a menos que esté específicamente interesado en su cuenta, lo que es muy valioso para ellos o que las contraseñas se almacenaron sin sal.
• Si en algún momento la contraseña pudo haber sido filtrada accidentalmente (por ejemplo, escribiéndola en su computadora con el cursor enfocado en otra ventana).
• Alguien puede estar monitoreando sus pulsaciones de teclas y tener suficiente información para determinar estadísticamente su contraseña (por ejemplo, a través de una cámara, los sonidos que hace su teclado, o determinando de alguna manera el uso y desgaste de su teclado). Por supuesto, estas no se aplican a las contraseñas que se completan automáticamente y que nunca se escriben.
• Si un atacante podría haber visto tu pantalla si tu contraseña se mostró brevemente, permitiéndoles reducir la entropía efectiva, ya que conocerían a los personajes recordados en sus posiciones.
• El sitio web ha aumentado recientemente sus iteraciones de bcrypt o algoritmo de contraseña y requiere un cambio de contraseña para actualizarlo en su base de datos.

La razón principal para cambiar las contraseñas periódicamente es que todas las contraseñas son finalmente reveladas, ya sea por ataque de fuerza bruta, robo, accidente o divulgación deliberada. Una vez revelada, se comprometen todos los usos pasados y futuros de la contraseña.

Supongamos que tiene una contraseña que tardará 1000 años en descifrar. Los malos implementan 1000 computadoras por un año y descifran su contraseña. Ahora tienen acceso a todo lo que alguna vez haya cifrado o cifrará. Si cambia su contraseña una vez al año, solo tendrán acceso a un valor de 1 año.