FTC מבטל חוכמה קונבנציונלית, אומר שינוי סיסמאות לעתים קרובות יכול להזיק - מחשוב - 2019

Anonim

חוכמה קונבנציונלית לוקח עוד מכה. במשך יותר מ -30 שנה, אחד הטיפים הנפוצים ביותר לאבטחת המחשב הוא לשנות את הסיסמאות שלך לעתים קרובות. הפוך אותם מורכבים, לא להשתמש באותם שוב ושוב, לא לכתוב אותם על פתקים דביקים מודבק על המסך, ולשנות אותם באופן קבוע. FTC רוצה לשכוח את פיסת העצה האחרונה, על פי ארס Technica.

אם כבר מדברים על PasswordsCon 2016 בשבוע שעבר, הפדרלית המסחר הראשי של ועדת הסחר לורי Cranor דיבר על ההפתעה שלה כשהיא עזבה אוניברסיטת קרנגי מלון לעבוד ב- FTC. Cranor גילה כי לא רק סוכנות לספר לעובדים כדי לעודד חברים ובני משפחה לשנות סיסמאות לעתים קרובות, היא עצמה עכשיו היו שש סיסמאות ממשלתיות חדשות כי היא הייתה נדרשת לשנות כל 60 ימים.

Cranor אמר FTC מידע קציני אבטחה כי שינוי סיסמאות לעתים קרובות יכול להוביל לביטחון חלש יותר, כי המשתמשים לבצע שינויים צפויים האקרים יכולים לזהות עם אלגוריתמים. כשנשאל על הוכחה של טענה בלתי צפויה זו, Cranor יש את זה.

בשנת 2010, חוקרים מאוניברסיטת צפון קרוליינה ב קפלה היל למד 10, 000 חשבונות האוניברסיטה נסגרו עבורם הם יכלו לעקוב אחר ההיסטוריה הסיסמה. בעלי החשבון נדרשו לשנות סיסמאות מדי שלושה חודשים. לרוב, המשתמשים ביצעו רק שינויים מינימליים בסיסמאות שלהם, באמצעות דפוסי לזיהוי. לדוגמה, משתמש יכול להשתמש בהדרגה באות אחת באותיות רישיות, כדי להתקדם אל האות הבאה עם כל שינוי, לדוגמה "Pumpkin77 !, " "pUmpkin77 !, " ו "puMpkin77!". דפוס נפוץ נוסף היה להגדיל ספרה בעת "שינוי", כגון "Pumpkin1 !, " "Pumpkin2 !, " ו "Pumpkin3 !." החוקרים פיתחו אלגוריתמים שיכולים לפצח חשבונות לפני נעילה 17 אחוז מהמקרים.

מחקרים נוספים מאוניברסיטת קרלטון של קנדה, המכון הלאומי לתקנים וטכנולוגיה, ו- CESG (קבוצת האבטחה של תקשורת אלקטרונית), הראו שכל שינוי מתמיד של סיסמאות ושינויים המוטלים על המשתמשים גרם לכך שהמשתמשים יצרו סיסמאות ניתנות לזיהוי. במילים אחרות, חוכמה קונבנציונלית backfired.

Cranor דיווחה כי כתוצאה ממחקרה, ה- FTC משנה בהדרגה את ההליכים הפנימיים הרחק משינויים בסיסמאות הנדרשות.

העצה לשנות סיסמאות הגיוני אם כל המשתמשים ליצור סיסמאות ארוכות ומורכבות עם, למשל, תווים מיוחדים יותר מאשר אותיות או ספרות. רוב האנשים, לעומת זאת, לקחת את המסלול קל יותר להשתמש קל לזכור סיסמאות ולשנות אותם כאשר נדרש דפוסי לזיהוי.