Mnohé firmy mají ve zvyku po svých zaměstnancích pravidelně vyžadovat změnu hesel, což byla už mnohokrát kritizovaná praxe. Jejím cílem je zvýšit celkovou bezpečnost, ale už i Microsoft říká, že to může být spíše naopak.
Nucená změna hesel má zajistit, aby případně vyzrazené heslo nemohlo posloužit k přístupu nepovolané osoby dlouho či rovnou po neomezenou dobu. Proto sám Microsoft po mnoho let svým zákazníkům doporučoval, aby ti své zaměstnance nutili ke změně hesla ideálně každé dva měsíce.
Nyní se ale z úst Aarona Margosise z Microsoftu dozvídáme, že tato praktika je zastaralá, zbytečná a má mizivou hodnotu. Pochází z dob, kdy lidé občas sdíleli svá hesla s jinými, takže ta mohla eventuelně celkem snadno uniknout, ale to mohlo trvat řadu dní či týdnů. Nyní je doba masivních úniků informací a útoků na společnosti, kde se využívá také síla moderních GPU pro hrubé prolamování šifer, přičemž těm právě nahrávají požadavky zaměstnavatelů nebo prostě provozovatelů systémů k častým změnám hesel.
Jde jednak o to, že útočník může ochranu prolomit velice rychle a také toho velice rychle využít, že nějaká 60denní obměna hesel už nehraje roli. A pokud je někdo nucen si tak časo své heslo měnit, může mít pochopitelnou tendenci si to zjednodušovat, a sice třeba využitím snadno zapamatovatelných a jednoduchých hesel. O to jednodušší to pak může mít sám útočník vybavený výkonnými GPU, která hádají zahashované heslo, respektive probírají veškeré možnosti.
Margosis také udává, že pravidelnou obměnu hesel lze nahradit daleko účinnějšími opatřeními, či ji alespoň případně doplnit třeba tím, že se použije seznam zakázaných hesel či jiná omezení. Lepší je ale využít vícefaktorové ověření přístupu, detekci útoků zkoušících hrubou sílu a vůbec neobvyklých pokusů o přihlášení. Určitě ale není vhodné nutit lidi k praktice, která je vede k vymýšlení jednoduchých hesel. Microsoft tak už nic takového nebude doporučovat, ale zároveň říká, že se nic nemění na jeho směrnicích ohledně délky hesel, jejich složitosti a historii předchozích podob. Uvádí také, že ta nejrobustnější hesla jsou vždy ta náhodně generovaná, a čím delší, tím prostě lepší.
