Er hyppige passordendringer faktisk bra for sikkerheten din?

Annonse

Hvor ofte Bytt passord Hvordan endre passord på alle stasjonære eller mobile enheterPassordet ditt er det eneste som står mellom en fremmed og dine mest private data. Når var sist gang du oppdaterte enhetspassordet ditt? Vi viser deg hvordan du kan endre det akkurat nå. Les mer ? Vi vedder på at noen av dine opplysninger er mer enn ti år gamle.

Faktisk endrer de fleste av oss bare passordene når en situasjon tvinger oss til. Det er vanligvis når du ikke kan huske det, eller en app eller selskapet tvinger deg til å opprette en ny med noen måneder.

Så hvilken tilnærming er riktig? Skal du la passordet ditt være urørt i flere år, eller bør du endre det så ofte som årstidene? Her er fordeler og ulemper med å endre passordet ditt for ofte.

Det gjør kontoen din (en liten bit) sikrere

Den generelt mottatte visdommen er at du ofte endrer passord gjør kontoen din sikrere Er Yahoo Mail-kontoen din trygg? 10 måter å være sikre påHvis du er en Yahoo-bruker, bør du sørge for at kontoen din er trygg. Her er 10 elementer du må sjekke for å sikre at kontosikkerheten er i orden. Les mer .

Argumentet antyder at hvis du er det uvitende offer for en lekkasje Sjekk nå og se om passordene dine noen gang har blitt lekketDette praktfulle verktøyet lar deg sjekke hvilket som helst passord for å se om det noen gang har vært en del av en datalekkasje. Les mer , hvis du endrer passordet ditt regelmessig, kan du raskt negere detaljene som en blitt hacker har på filen.

Tilsvarende, hvis noen får tilgang til passordet ditt uten din viten, forhindrer det at personen snupper på deg i en lengre periode. Det er grunnen til at IT-ledere rundt om i landet er så besatt av fuserende tvangsnullstillinger på deg hvert par uker.

Er argumentet gyldig? Ja, men det er ikke så tydelig som du kan forvente. Selv om du antar at de nye passordene dine er like sterke som de forrige (mer om det om kort tid), har praksisen minimal nytte.

I en Carleton University papirforklarte forskerne at angripere som har tilgang til en hashet passordfil, kan utføre angrep mens de er frakoblet. De kan derfor teste store antall passord på kort tid. Passord med svake og middels styrke er utsatt.

Oppgaven fortsetter med å matematisk bevise at selv hyppige sterke passordendringer bare hemmet angrepene et ubetydelig beløp. Fordelen er nesten ikke verdt ulempen det gir brukerne.

I stedet anbefaler papiret at systemadministratorer skal bruke sakte hasjfunksjoner som bcrypt. Brukere ville ikke være vanskelig, og prosessen gjør det vanskeligere for angripere å gjette et stort antall passord raskt.

Det nye passordet ditt er sannsynligvis usikkert

Jeg er sikker på at du ikke trenger at vi skal fortelle deg det hvordan lage et sterkt passord, men informasjonen er alltid verdt å gjenta:

• Passordet ditt skal bruke en blanding av bokstaver og tall.
• Det bør bruke noen store og små bokstaver.
• Helst bør det inneholde spesialtegn.
• Den skal være mer enn 12 tegn lang.

De fire poengene er lettere sagt enn gjort. Å lage passord som oppfyller alle kravene - og så husker dem - tar mye mental energi.

Så, hva skjer når folk endrer legitimasjon for ofte? Kort sagt blir de late.

Jeg hadde tom for passordideer, så jeg måtte bytte jobb.

- Busty Rusty (@RaylaRimpson) 30. januar 2018

Igjen, det er et vitenskapelig bevist fenomen. I 2010 ga forskere ved University of North Carolina ut en artikkel med tittelen “Sikkerheten ved utløpet av moderne passord: Et algoritmisk rammeverk og empirisk analyse.” I den studerte de passordhistorier fra nedlagte kontoer ved universitetet.

Studien så på mer enn 10.000 gamle kontoer og 51.141 passord. Forskerne utførte et offline hasjangrep og til slutt sprakk 60 prosent av legitimasjonen. Fra de 60 prosentene var ikke 7552 passord det endelige passordet som ble brukt på kontoen.

De brukte da datasettet for å se om de kunne ekstrapolere andre passord koblet til kontoen. Resultatene var fantastiske. I 17 prosent av tilfellene kunne det neste passordet som ble brukt på kontoen gjettes på under fem sekunder.

Men hvorfor? Studien konkluderte med at folk hadde en tendens til å gjøre veldig små endringer når de ofte endret passord. For eksempel, Sausage123 kan bli $ ausage123, hellocheese! ville bli hellocheese !!, og så videre.

Når bør du endre passord?

I starten spøkte jeg med at du sannsynligvis har noen passord som nærmer seg tiårsdagen deres. Men er det en vits?

Bevisene vi har sett på så langt ser ut til å antyde at langvarige passord faktisk kan være bra. Hva er sannheten? Du trenger bare litt sunn fornuft.

Selvfølgelig, hvis du mistenker det noen får tilgang til kontoen din Hvordan sjekke om noen andre får tilgang til Facebook-kontoen dinDet er både uhyggelig og bekymringsfullt hvis noen har tilgang til Facebook-kontoen din uten din viten. Slik vet du om du har blitt brudd. Les mer uten din autorisasjon, bør du endre passordet ditt. Hvis du tror at noen så på da du skrev inn nettbaserte legitimasjon, bør du endre passordet. Hvis du måtte "låne" passordet til noen, bør du endre det.

Og hvis du tror du tilfeldigvis har blitt den offer for en phishing-svindel Ikke vær offer for disse vanlige phishing-angrep Les mer , bør du endre passordet ditt.

I alle tilfeller må du forsikre deg om at det nye passordet ditt ikke ligner det gamle. Ikke bruk det samme kjerneordet. Ikke legg de samme spesialtegnene i de samme stillingene. Og ikke prøv noe som å skrive det gamle passordet ditt bakover.

Og husk at du også bør endre passordet ditt på tvers av andre kontoer med samme legitimasjon. Hvis for eksempel Facebook-passordet ditt er flowerpot1 og Twitter-passordet ditt er 1flowerpot, bør du endre dem begge.

Hvis du ikke er sikker, kan du bare følge de fire grunnleggende retningslinjene vi diskuterte tidligere i artikkelen når du lager et nytt passord.

Hva med tilbakestillinger av tvangspassord?

Men hva med tilbakestillinger av tvangspassord? Er det en god ide for en app eller arbeidsgiveren din å tvinge et nytt passord til deg? Sannsynligvis ikke.

I 2009 Nasjonalt institutt for standarder og teknologi sa at vanlige passordendringer var "gunstige for å redusere virkningen av noen passordkompromisser," men var “ineffektive for andre.” Og selvfølgelig ble brukere ofte frustrert av tvangene endring. Bedrifter må nå et kompromiss mellom sikkerhet og brukervennlighet.

Bunnlinjen

Argumentene kan høres komplekse ut, men de er enkle å oppsummere.

• Brukerinitierte hyppige passordendringer kan gjøre brukere marginalt sikrere, forutsatt at det nye passordet er svært robust.
• Påtvungede hyppige passordendringer har ofte en negativ effekt, med brukere som velger mindre sikker legitimasjon.

Nå vil vi høre tankene dine om debatten. Er du trygg på din evne til å velge et sikkert passord med jevne mellomrom? Eller er du fornøyd med å bruke et tiår gammelt passord på alle kontoene dine?

Husk at hvis du ofte lager kompliserte nye passord, bruker du en passordbehandler-app som LastPass. Du trenger ikke å huske passordene selv.