La tua domanda contiene diversi falsi presupposti:

• Se sei un utente attento alla sicurezza, cambierai regolarmente le tue password su qualsiasi sito web che conta ​​p >

Secondo il mio gestore di password ho più di centinaia di account e la maggior parte di essi mi farebbe del male se venisse compromessa. Cambiarli tutti regolarmente (come ogni 90 giorni) è un'enorme quantità di lavoro. Quindi uso invece password complesse generate dal gestore di password. Ma alcuni servizi continuano a salvare le password in testo non crittografato.

• e quindi le perdite non ti interesserebbero in primo luogo.

Supponiamo che cambierei ogni password ogni 90 giorni. C'è ancora la possibilità che ci siano 89 giorni in cui il mio account viene compromesso e l'aggressore ha il tempo di fare qualsiasi cosa, incluso cambiare la mia password. Quando sai che il tuo account è nell'elenco, puoi agire immediatamente.

• Perché non seguire le giuste pratiche di sicurezza indipendentemente da eventuali perdite?

Vedi punto precedente.

• Allora perché le persone sono così interessate a usare haveibeenpwned?

Per sapere quali account sono interessati e per capire quale servizio è stato violato / da dove provengono gli account.

Con queste conoscenze:

• Posso cambiare la password immediatamente.
• So quale servizio è meno affidabile per dati sensibili, denaro, ... e potrei chiudere la mia attività presso questo servizio.
• Se questo servizio ha un sistema di messaggistica so di essere più attento ai messaggi di "amici" perché l'account potrebbe essere stato rubato.
• So quali dei miei dati potrebbero essere compromessi (dati presso il servizio compromesso).

La modifica delle password spesso non è più considerata una best practice.

Le persone sono interessate a HIBP perché centralizza le informazioni relative alle violazioni e lo rende facilmente accessibile. Non tutti sono utenti attenti alla sicurezza, ma le informazioni sono preziose per tutti gli utenti perché, indipendentemente dall'età della password, la password deve essere cambiata immediatamente dopo la conoscenza di una violazione.

La modifica regolare delle password tende effettivamente a ridurre la sicurezza, poiché le persone finiscono per utilizzare schemi ripetuti.

Le raccomandazioni sono di utilizzare password complesse, uniche per ogni servizio, e cambiarle solo quando si sospetta una compromissione.

HIBP fornisce la notifica di compromissione.

È utile quando il tuo indirizzo email è stato esposto ma non come parte di un set di credenziali. Ad esempio, avevo un indirizzo email incluso in una violazione ma non avevo un account con quel servizio / prodotto, la violazione era in realtà su uno strumento di marketing utilizzato da un servizio / prodotto che ho era in uso e il mio indirizzo email era stato aggiunto allo strumento per scopi di marketing.

Sapendo che il mio indirizzo email era stato esposto in quel modo, sapevo di dover tenere d'occhio l'aumento di spam e tentativi di phishing.

C'è un'opzione per monitorare interi domini. Questo è molto utile in quanto non tutti in azienda sono ugualmente consapevoli né si preoccupano tanto. Con tale notifica, come amministratore, puoi ad es. forzare ulteriori modifiche della password per gli utenti con nuove password trapelate.

Inoltre, aumentare la consapevolezza è importante di per sé.

Tutte le altre risposte parlano di quali sono le migliori pratiche. Ma consideriamo di fatto la domanda: "Perché le persone non usano le migliori pratiche (qualunque esse siano) e invece usano questo sito web".

Il problema più grande nella sicurezza è l'elemento umano. È la natura umana. Per migliorare la sicurezza devi tenerne conto.

Scrivi nella domanda: "Un utente attento alla sicurezza lo farebbe", ma poi chiedi "perché le persone sono così interessate a usare haveibeenpwned?". Bene, questo perché molte persone interessate al servizio NON sono attente alla sicurezza. Forse sono un po 'consapevoli, forse hanno appena sentito su Facebook di questo nuovo sito web.

Se dico a mia madre di "seguire le giuste pratiche di sicurezza "(e le ha spiegate) non farebbe nulla.
Se dico a mia madre di controllare quel sito web per l'unica password / email che usa ovunque e le dimostri che è compromessa, probabilmente cambierà almeno una volta su siti web importanti.

Alla fine è un compromesso per l'utente.
Se non ha mai avuto un account violato e ne ha sentito l'impatto, vedrà il rischio molto basso e il costo per seguire le migliori pratiche come molto alto.
Controllare haveibeenpwned d'altra parte è un costo molto basso. E il check-in e di per sé ti dà una migliore valutazione del rischio. Se sei compromesso, ora sai che il rischio per te è alto, quindi è più probabile che seguano pratiche migliori dopo aver visitato il sito web.

Quindi, è più facile e più conveniente, e quindi è più probabile che diventare virale. Questo è qualcosa che posso condividere e la sicurezza che le persone analfabete possono usare, sentirsi bene e condividere. È anche un gateway per buone pratiche di sicurezza.

Perché non seguire le giuste pratiche di sicurezza indipendentemente da eventuali fughe di notizie?

Perché cambiare regolarmente le password non è una corretta pratica di sicurezza . È un trucco e una soluzione alternativa.

La corretta pratica di sicurezza sarebbe quella di cambiare la password ogni volta che hai motivo di credere che sia stata compromessa. Ho avuto le password di root invariate per un decennio perché non c'è mai stato alcun motivo per sospettare che si sia verificato un compromesso, quindi sarebbe stato un nonsenso creare il costo di una modifica della password (per quanto piccola) senza motivo.

Il consiglio di cambiare regolarmente le password è ciò che utilizziamo quando tenere traccia della possibilità di compromissione diventa difficile o costoso e il cambio regolare è più semplice ed economico di quello. Fondamentalmente, il ragionamento è: "Se non ho la più pallida idea della probabilità che la mia password venga compromessa, prendo solo una media statistica e commetto un errore di cautela".

Quindi quando compaiono prove effettive, come havibeenpwned, è sempre preferibile utilizzare i dati effettivi rispetto a qualsiasi euristica stimata.

addendum:

Se cerchi un po ', puoi trovare molte pubblicazioni che sostengono contro la regolare modifica della password senza una buona ragione. Disclaimer: alcuni di loro sono miei. Questa sciocchezza potrebbe essere una pratica comune, ma che a) non la rende una buona pratica eb) ancora non significa che possa reggere il confronto con i dati effettivi .

Cambiare spesso le password può essere una buona pratica se utilizzi un gestore di password. In caso contrario, è una cattiva idea perché non riesci a ricordare le buone password così facilmente.

Una minoranza di persone utilizza un gestore di password. E anche se ne usi uno, sospetto che non cambi tutte le tue password così spesso. Ci sono servizi che uso una volta ogni due o tre anni. O di cui ho creato un account ma che potrei non riutilizzare mai più. Tornerei lì e cambierei la mia password ogni mese?

Ho più di 50 siti elencati nel mio gestore di password. Cambiare tutte quelle password ogni mese o giù di lì sarebbe solo molto faticoso.

Per proteggersi dalle frodi

C'è una considerazione alternativa che ho notato che le persone non hanno coperto, una delle quali è la frode di identità e il furto d'identità dell'azienda compromessa, qualcosa di cui la modifica di una password non ti proteggerà.

Ad esempio, è normale che i truffatori raccolgano informazioni trapelate e poi fingano di essere l'azienda le cui informazioni sono trapelate utilizzando le informazioni che hanno ho ottenuto di convincerti che "legittimamente" hanno accesso alle tue informazioni. L'ISP TalkTalk vede spesso truffatori che telefonano, fingendo di essere tecnici dell'assistenza TalkTalk, rigurgitando le informazioni rubate come "prova" della loro autenticità.

Allo stesso modo, essere a conoscenza di quali aziende sono stati rubati i propri dati consente di per essere a conoscenza di quali vettori i truffatori cercheranno di utilizzare contro di te. Ad esempio, i dettagli di Adobe sono stati rubati ed è del tutto possibile che un truffatore possa inviare messaggi di posta elettronica a persone i cui account erano su Adobe, un presunto "aggiornamento urgente" del loro software Adobe, che in realtà scarica e installa malware in modo dannoso. Essere consapevoli del fatto che le informazioni sono trapelate da Adobe ti consente di prendere ulteriori precauzioni al riguardo.

Un'alternativa è se le informazioni trapelate riguardano un'attività che preferiresti non rendere pubblica; puoi quindi adottare misure ragionevoli per eliminare tali informazioni (come eliminare l'account o modificare gli indirizzi email).

Quindi, in sintesi; controlleresti regolarmente per assicurarti di sapere cosa sanno di te le altre persone (ad es. truffatori, truffatori di identità, ricattatori, ecc.).

Vado contro la tendenza qui e non sono d'accordo con le altre risposte:
Dovresti cambiare regolarmente le tue password su un servizio di cui non ti fidi per gestire i tuoi dati in modo sicuro.
Puoi anche controllare regolarmente la tua password manager di tali siti e decidi se hai davvero bisogno di ognuno di essi. In caso contrario: invia un'e-mail al fornitore di servizi e chiedi la cancellazione del tuo account e di tutti i dati affiliati.

Le linee guida del NIST che gestiscono gli stati delle password:

I verificatori NON DEVONO richiedere che i segreti memorizzati ^{read: passwords} vengano modificati arbitrariamente (ad esempio, periodicamente) . Tuttavia, i verificatori DEVONO forzare una modifica se sono presenti prove di compromissione dell'autenticatore .

Raccolta n. 1 - che è il motivo per il recente buzz su haveibeenpwned.com e Troy Hunt - è un ottimo esempio per la pubblicazione di prove di compromesso.

Perché? Perché non si tratta di una nuova violazione .
Brian Krebs, rinomato esperto di sicurezza, ha pubblicato un rapporto secondo il quale tutti i dati in esso contenuti sono almeno due o tre Anni. Il suo rapporto contiene inoltre questa immagine di una chat credibile con un venditore. Uno screenshot di tutte le altre "Collezioni" (da una a cinque) e di altri due enormi database che vengono venduti con l'affermazione che sono pieni di credenziali di accesso funzionanti. Tutto sommato un terrabyte di dati grezzi da un venditore.

Allora cosa significa "pubblicazione non pubblica" età in questo contesto? Se si dispone di una password complessa ed è correttamente hash, nessun utente malintenzionato sarà in grado di decifrarla, indipendentemente da quanto tempo è stato eseguito il dump della password. Il problema è che molti siti non eseguono correttamente l'hash della password. Ed è qui che entra di nuovo in gioco il NIST. Hanno adattato le loro linee guida alla modifica delle password , perché non aveva senso rispetto alla parte della linea guida che gestiva l ' hashing delle password e la memorizzazione degli hash .

I verificatori DEVONO memorizzare i segreti memorizzati in una forma resistente agli attacchi offline. I segreti memorizzati DEVONO essere salati e sottoposti ad hashing utilizzando un'apposita funzione di derivazione della chiave unidirezionale.

Quindi cosa significa tutto questo?
Conclusione:

1. Premessa 1: se un servizio memorizza l'hash della mia password in modo sicuro, le date di scadenza arbitrarie di una password non hanno molto senso.
2. Premessa 2: gli hack si verificano sempre, solo una frazione viene notata e / o pubblicamente divulgato.
3. Ma se un servizio non esegue l'hashing corretto della password e MOLTI servizi non lo fanno, le date di scadenza delle password hanno senso.
4. Come faccio a sapere quale servizio memorizza le mie credenziali in modo sicuro? Alcuni certificati forniscono alcune informazioni al riguardo. Ma anche le aziende che sembrano molto professionali dall'esterno falliscono duramente. Le piccole aziende a volte si comportano molto bene. È molto difficile da dire.
5. Se gli hack si verificano continuamente, anche le violazioni delle password si verificano molto spesso. Come abbiamo visto, solo una parte dei database delle password compromesse è ricercabile su haveibeenpwned.
6. Quindi cambia regolarmente la tua password sui siti di cui non ti fidi. Ancora una volta con l'avvertenza che dovresti usare un gestore di password per evitare il riutilizzo della password e, se possibile, l'autenticazione a 2 fattori o l'autenticazione a più fattori.