FTC розкриває загальноприйняту мудрість, говорить про те, що зміна паролів часто може завдати шкоди - Обчислення - 2019

Anonim

Звичайна мудрість займає ще один удар. Понад 30 років одним із найпоширеніших порад з безпеки комп'ютера було часто змінювати ваші паролі. Зробіть їх складними, не використовуйте ті самі знов і знов, не напишіть їх на липких нотатках, прикріплених до вашого монітора, і регулярно змінюйте їх. ФТС хоче, щоб ви забули останній порад, повідомляє Ars Technica.

Виступаючи на PasswordsCon 2016 минулого тижня, головний технолог Федеральної торгової комісії Лорі Кранор говорив про своє власне здивування, коли вона покинула університет Карнегі-Меллона для роботи в FTC. Кронор виявив, що агентство не тільки повідомило співробітників, що заохочує друзів і родичів часто змінювати паролі, але й самій зараз було шість нових урядових паролів, які їй потрібно було змінювати кожні 60 днів.

Кранор повідомив співробітникам відділу інформації та безпеки FTC, що зміна паролів часто може призвести до слабкої безпеки, оскільки користувачі роблять передбачувані зміни, які хакери можуть виявляти за допомогою алгоритмів. На прохання докази цього несподіваного твердження, Кранор отримав це.

У 2010 році дослідники з Університету Північної Кароліни в Chapel Hill вивчали 10 000 закінчених університетських рахунків, за якими вони могли простежити історію паролів. Власникам облікових записів потрібно було змінювати паролі кожні три місяці. Найчастіше користувачі вносять лише мінімальні зміни у свої паролі, використовуючи виявлені шаблони. Наприклад, користувач може поступово використовувати одну букву в паролі, переходячи до наступного літери з кожною зміною, наприклад, "Pumpkin77 !, " "pUmpkin77 !, " та "puMpkin77!". Ще однією поширеною схемою було збільшення цифри коли змінюються, наприклад, "Pumpkin1!", "Pumpkin2 !, " та "Pumpkin3!". Дослідники розробили алгоритми, які могли б зламати облікові записи перед блокуванням 17% часу.

Додаткові дослідження, проведені Канарським університетом Карлтона, Національним інститутом стандартів та технологій та CESG (Communications-Electronics Security Group) у Великобританії, показали, що часті і мандатовані зміни пароля стають незручними для користувачів, коли користувачі створюють детектируемые паролі. Інакше кажучи, традиційна мудрість відставала.

Кранор повідомив, що в результаті свого дослідження FTC поступово змінює внутрішні процедури, відмовившись від необхідних змін паролем.

Порада щодо зміни паролів має сенс, якщо всі користувачі створюють довгі, складні паролі, наприклад, з більш спеціальними символами, ніж літери або цифри. Більшість людей, однак, проходять легший шлях і використовують прості паролі для запам'ятовування та змінюють їх, коли це потрібно, для виявлених моделей.