Как часто вы меняете свой пароль?
? Мы держим пари, что некоторые из ваших полномочий старше 10 лет.
На самом деле, большинство из нас меняют свои пароли только тогда, когда нас заставляет ситуация. Как правило, это либо когда вы не можете вспомнить это, либо приложение или ваша компания заставляет вас создавать новое каждые несколько месяцев.
Итак, какой подход правильный? Вы должны оставить свой пароль нетронутым в течение многих лет, или вы должны менять его так часто, как времена года? Вот плюсы и минусы слишком частой смены пароля.
Это делает вашу учетную запись (крошечный бит) более безопасной
Общепринятое мнение, что смена пароля часто делает вашу учетную запись более безопасной
,
Аргумент предполагает, что если вы невольная жертва утечки
регулярное изменение пароля может быстро свести на нет детали, которые есть у потенциального хакера в файле.
Аналогичным образом, если кто-то получит доступ к вашему паролю без вашего ведома, это предотвратит слежку за вами в течение длительного периода времени. Вот почему ИТ-менеджеры по всей стране так увлечены принудительным сбросом данных каждые две недели.
Является ли аргумент действительным? Да, но это не так ясно, как вы могли ожидать. Даже при условии, что ваши новые пароли столь же надежны, как и предыдущие (подробнее об этом в ближайшее время), эта практика имеет минимальное преимущество.
В статье Карлтонского университета исследователи объяснили, что злоумышленники, имеющие доступ к хешированному файлу паролей, могут выполнять атаки в автономном режиме. Поэтому они могут тестировать большое количество паролей за короткое время. Слабые и средние пароли находятся под угрозой.
Далее в статье математически доказано, что даже частые сильные изменения паролей лишь незначительно препятствуют атакам. Преимущество почти наверняка не стоит тех неудобств, которые оно приносит пользователям.
Вместо этого в документе рекомендуется, чтобы системные администраторы использовали медленные хэш-функции, такие как bcrypt. Пользователи не пострадают, и злоумышленникам будет сложнее быстро угадать большое количество паролей.
Ваш новый пароль может быть небезопасным
Я уверен, что вам не нужно, чтобы мы рассказывали вам, как создать надежный пароль, но информацию всегда стоит повторить:
- Ваш пароль должен использовать сочетание букв и цифр.
- Следует использовать несколько заглавных и строчных букв.
- В идеале он должен содержать специальные символы.
- Это должно быть более 12 символов.
Эти четыре пункта легче сказать, чем сделать. Создание паролей, которые отвечают всем требованиям — и затем их запоминание — требует много умственной энергии.
Итак, что происходит, когда люди слишком часто меняют свои учетные данные? Короче, они ленятся.
У меня закончились идеи паролей, поэтому мне пришлось сменить место работы.
— Грудастая Расти (@RaylaRimpson) 30 января 2018 года
Опять же, это научно доказанное явление. В 2010 году исследователи из Университета Северной Каролины выпустили документ под названием «Безопасность современного срока действия пароля: алгоритмическая основа и эмпирический анализ». В нем они изучали историю паролей из несуществующих учетных записей в университете.
В ходе исследования было просмотрено более 10 000 старых учетных записей и 51 141 пароль. Исследователи провели автономную хэш-атаку и в итоге взломали 60 процентов учетных данных. Из 60 процентов, 7,752 паролей не были окончательными паролями, используемыми в учетной записи.
Затем они использовали этот набор данных, чтобы проверить, могут ли они экстраполировать другие пароли, подключенные к учетной записи. Результаты были потрясающими. В 17 процентах случаев следующий пароль, используемый в учетной записи, может быть угадан менее чем за пять секунд.
Но почему? Исследование показало, что при частой смене пароля люди обычно вносят незначительные изменения. Например, Sausage123 может стать $ ausage123, hellocheese! станет hellocheese !!, и так далее.
Когда вы должны изменить свой пароль?
В начале я пошутил, что у вас, вероятно, есть пароли, которые приближаются к их десятому дню рождения. Но это шутка?
Доказательства, на которые мы смотрели до сих пор, свидетельствуют о том, что давние пароли могут быть полезны. Что правда? Вам просто нужно немного здравого смысла.
Конечно, если вы подозреваете, что кто-то получает доступ к вашей учетной записи
без вашего разрешения вы должны сменить пароль. Если вы думаете, что кто-то наблюдал, когда вы вводили свои учетные данные онлайн-банкинга, вам следует сменить пароль. Если вам пришлось «одолжить» свой пароль кому-то, вы должны изменить его.
И если вы думаете, что случайно стали жертвой фишинг-мошенничества
, вы должны изменить свой пароль.
Во всех случаях вам нужно убедиться, что ваш новый пароль не похож на старый. Не используйте одно и то же ключевое слово. Не ставьте одинаковые специальные символы в одинаковые позиции. И не пытайтесь что-то наподобие написания старого пароля задом наперед.
И помните, вы должны также изменить свой пароль для всех других учетных записей с использованием аналогичных учетных данных. Например, если ваш пароль в Facebook — flowerpot1, а ваш пароль в Twitter — 1flowerpot, вы должны изменить их оба.
Если вы не уверены, просто следуйте четырем основным принципам, которые мы обсуждали ранее в этой статье, при создании нового пароля.
Как насчет принудительного сброса пароля?
Но как насчет принудительного сброса пароля? Это хорошая идея для приложения или вашего работодателя, чтобы навязать вам новый пароль? Возможно нет.
В 2009 году Национальный институт стандартов и технологий заявил, что регулярные изменения паролей «полезны для уменьшения влияния некоторых компромиссов паролей», но «неэффективны для других». И, конечно, пользователи часто разочаровывались в результате принудительных изменений. Компании должны достичь компромисса между безопасностью и удобством использования.
Суть
Аргументы могут показаться сложными, но их легко обобщить.
- Частые смены пароля, инициируемые пользователем, могут сделать его более защищенным, если новый пароль очень надежный.
- Принудительная частая смена пароля часто имеет отрицательный эффект, поскольку пользователи выбирают менее безопасные учетные данные.
Теперь мы хотим услышать ваши мысли о дебатах. Уверены ли вы в своей способности регулярно выбирать безопасный пароль? Или вы счастливы, используя десятилетний пароль для всех своих учетных записей?
Помните, что если вы часто создаете сложные новые пароли, вы используете приложение менеджера паролей, такое как LastPass. Вам не нужно самому вспоминать пароли.
