Det här är varför att ändra ditt lösenord ofta kan vara en dålig idé

$config[ads_kvadrat] not found
Anonim

En mantra bland dem som regelbundet använder internet för det mesta av allt går lite något så här: "Byt lösenordet några månader / veckor för att hålla dina konton säkra." Det verkar enkelt och meningsfullt: med nya roterande lösenord bör vara svårare för information tjuvar få tillgång till din privata information. Men Federal Trade Commissions Chief Technologist, Carnegie Mellon University professor Lorrie Cranor, håller inte med denna teori.

Vid förra veckans BSides säkerhetskonferens i Las Vegas utarbetade Cranor på sin punkt, som uppstod efter att ha fått råd från FTC själv. "Jag gick till sociala medierna och bad dem," förklarade Cranor. "De sa," Jo, det måste vara bra råd, för på FTC ändrar vi våra lösenord var 60: e dag. "" Felaktigheten var mer än tillräckligt för att ställa alarmklockorna i Cranors sinne.

41% av nyligen ändrade lösenord sprickade offline baserat på omvandlingar av tidigare lösenord säger forskning via Lorrie Cranor @BSidesLV

- Claus Cramon Houmann (@ClausHoumann) 2 augusti 2016

En lösenordsforskare av yrke, Cranor sa att risken att byta lösenord så ofta beror på att byte av lösenord ofta lämnar sårbarhet när det gäller att komma fram till komplexa kombinationer för ditt konto. Att citera en studie från University of North Carolina i Chapel Hill som undersökte över 10 000 utgick konton för mönster: "UNC-forskarna sa att om människor måste ändra sina lösenord var 90: e dag, brukar de använda ett mönster och de gör vad vi kallar en transformation ", säger Cranor. "De tar sina gamla lösenord, de ändrar det på ett litet sätt, och de kommer med ett nytt lösenord."

Dessutom kunde forskarna skapa ett sätt att förutsäga lösenordsmönster - en åtgärd som inte är vanligt när ett manus kan utformas för att göra just det. I slutändan knäckte algoritmen 17 procent av kontona i färre än fem försök.

Cranors sätt att tänka gör långsamt en skillnad, senast vid FTC. "Jag är glad att rapportera det för två av mina sex regeringslösenord, jag behöver inte byta dem längre", skämtade hon.

$config[ads_kvadrat] not found