Ovatko usein toistuvat salasanamuutokset todella turvallisia?

Mainos

Kuinka usein sinä Vaihda salasanasi Kuinka vaihtaa salasanasi missä tahansa pöytätietokoneessa tai mobiililaitteessaSalasanasi on ainoa asia, joka seisoo muukalaisen ja yksityisimpien tietojen välillä. Milloin viimeksi päivitit laitteen salasanaa? Näytämme, kuinka muuttaa sitä heti. Lue lisää ? Panostamme, että jotkut tiedot ovat yli kymmenen vuotta vanhoja.

Itse asiassa suurin osa meistä vaihtaa salasanamme vain silloin, kun tilanne pakottaa meidät. Tyypillisesti se on, kun et muista sitä tai sovellus tai yrityksesi pakottaa sinut luomaan uuden muutaman kuukauden välein.

Joten mikä lähestymistapa on oikea? Pitäisikö sinun jättää salasanasi koskemattomaksi vuosia, vai tulisiko vaihtaa se niin usein kuin vuodenaikoina? Tässä on hyvät ja huonot puolet, kun vaihdat salasanasi liian usein.

Se tekee tilistäsi (pienen osin) turvallisemman

Yleensä saatu viisaus on, että vaihdat salasanasi usein tekee tilistäsi turvallisemman Onko Yahoo-sähköpostitilisi turvassa? 10 tapaa pysyä turvassaJos olet Yahoo-käyttäjä, sinun tulee varmistaa tilisi turvallisuus. Tässä on 10 tarkistettavaa kohtaa varmistaaksesi, että tilisi turvallisuus on kunnossa.

Lue lisää .

Argumentti viittaa siihen, että jos olet tahaton vuodon uhri Tarkista nyt ja katso jos salasanasi ovat koskaan joutuneetTämän hienon työkalun avulla voit tarkistaa minkä tahansa salasanan nähdäksesi, onko se koskaan ollut osa tietovuotoa. Lue lisää , salasanasi säännöllinen vaihtaminen voi nopeasti tyhjentää mahdollisen hakkeritiedoston tiedot.

Samoin jos joku saa pääsyn salasanasi tietämättäsi, se estää henkilöä snoogaamassa sinua pitkään. Siksi IT-päälliköt ympäri maata ovat niin pakkomielle, että pakotat palautuksia lyödä sinua parin viikon välein.

Onko väite pätevä? Kyllä, mutta se ei ole niin selkeä kuin voisit olettaa. Vaikka oletettaisiin, että uudet salasanasi ovat yhtä vahvat kuin edelliset (enemmän siitä pian), käytännöstä on vain vähän hyötyä.

Jonkin sisällä Carleton University -julkaisu, tutkijat selittivät, että hyökkääjät, joilla on pääsy hajautettuun salasanatiedostoon, voivat suorittaa hyökkäyksiä offline-tilassa. Siksi he voivat testata suuren määrän salasanoja lyhyessä ajassa. Heikot ja keskisuuret salasanat ovat vaarassa.

Artikkelissa todistetaan matemaattisesti, että jopa usein vahvat salasanamuutokset ovat vain estäneet hyökkäyksiä merkityksettömästi. Hyöty ei todellakaan ole sen käyttäjille aiheuttamien haittojen arvoista.

Sen sijaan paperi suosittelee, että järjestelmänvalvojien tulisi käyttää hitaita hash-toimintoja, kuten bcrypt. Käyttäjät eivät olisi vaivaa, ja prosessi vaikeuttaa hyökkääjien arvaamaan suuren määrän salasanoja nopeasti.

Uusi salasanasi on todennäköisesti epävarma

Olen varma, että sinun ei tarvitse meidän kertoa sinulle kuinka luoda vahva salasana, mutta tiedot kannattaa aina toistaa:

• Salasanasi tulisi käyttää kirjaimia ja numeroita.
• Siinä tulisi käyttää isoja ja pieniä kirjaimia.
• Ihannetapauksessa sen tulisi sisältää erikoismerkkejä.
• Sen tulisi olla yli 12 merkkiä pitkä.

Nämä neljä kohtaa on helpompi sanoa kuin tehdä. Kaikkien vaatimusten täyttävien salasanojen luominen - ja sitten niiden muistaminen - vie paljon henkistä energiaa.

Joten mitä tapahtuu, kun ihmiset muuttavat käyttäjätietojaan liian usein? Lyhyesti sanottuna he ovat laiskoja.

Salasanaideat loppuivat, joten minun piti vaihtaa työpaikkaa.

- Busty Rusty (@RaylaRimpson) 30. tammikuuta 2018

Jälleen kerran, se on tieteellisesti todistettu ilmiö. Pohjois-Carolinan yliopiston tutkijat julkaisivat vuonna 2010 paperin, jonka otsikko on ”Nykyaikaisen salasanan vanhenemisen turvallisuus: Algoritmiset puitteet ja empiirinen analyysi.” Siinä he tutkivat salasanahistorioita vanhentuneista tileistä yliopistossa.

Tutkimuksessa tarkasteltiin yli 10 000 vanhaa tiliä ja 51 141 salasanaa. Tutkijat suorittivat offline-tiivistelmähyökkäyksen ja lopulta mursivat 60 prosenttia valtakirjoista. 60 prosentista 7752 salasanat eivät olleet tilissä lopullisia salasanoja.

Sitten he käyttivät tätä tietojoukkoa nähdäkseen, pystyisikö ekstrapoloimaan muut tiliin kytketyt salasanat. Tulokset olivat uskomattomia. 17 prosentilla tapauksista tilillä seuraava salasana voitiin arvata alle viidessä sekunnissa.

Mutta miksi? Tutkimuksessa todettiin, että ihmisillä oli taipumus tehdä erittäin pieniä muutoksia vaihdettaessa salasanaa usein. Esimerkiksi, Sausage123 saattaa tulla $ ausage123, hellocheese! olisi tullut hellocheese !!, ja niin edelleen.

Milloin sinun pitäisi vaihtaa salasanasi?

Alussa vitsasin, että sinulla on luultavasti joitain salasanoja, jotka lähestyvät heidän kymmenettä syntymäpäiväänsä. Mutta onko se vitsi?

Tähän mennessä tutustuneet todisteet näyttävät viittaavan siihen, että pitkäaikaiset salasanat saattavat olla todella hyvä asia. Mikä on totuus? Tarvitset vain vähän järkeä.

Tietenkin, jos epäilet joku käyttää tiliäsi Kuinka tarkistaa, käyttääkö joku muu Facebook-tiliäsiSe on sekä paha että huolestuttavaa, jos jollain on pääsy Facebook-tiliisi tietämättäsi. Näin saat tietää, onko sinua rikottu. Lue lisää Vaihda salasanasi ilman lupaa. Jos luulet, että joku katsoi, kun syötit verkkopankkitietojasi, vaihda salasanasi. Jos jouduit "lainaamaan" salasanasi jollekin, sinun pitäisi vaihtaa se.

Ja jos luulet sattuneesi vahingossa tietojenkalasteluhuijauksen uhri Älä ole näiden yleisten tietojenkalasteluhyökkäysten uhri Lue lisää , sinun on vaihdettava salasanasi.

Kaikissa tapauksissa sinun on varmistettava, että uusi salasanasi ei ole samanlainen kuin vanha. Älä käytä samaa ydinsanaa. Älä laita samoja erikoismerkkejä samoihin kohtiin. Ja älä yritä kirjoittaa vanhaa salasanaasi taaksepäin.

Muista myös, että sinun on vaihdettava salasanasi kaikilla muilla tileillä, joissa on samanlaiset käyttöoikeustiedot. Jos esimerkiksi Facebook-salasanasi on kukkaruukku1 ja Twitter-salasanasi on 1kukkapotti, sinun on vaihdettava ne molemmat.

Jos et ole varma, noudata vain neljää perussääntöä, joista keskustelimme aiemmin artikkelissa, kun teet uuden salasanan.

Entä pakotetut salasanat?

Entä pakotettu salasanan nollaus? Onko sovelluksen tai työnantajan hyvä idea pakottaa uusi salasana sinulle? Luultavasti ei.

Vuonna 2009, Kansallinen standardi- ja teknologiainstituutti sanoo, että säännölliset salasanamuutokset olivat "hyödyllisiä joidenkin salasanakompromissien vaikutuksen vähentämisessä", mutta olivat ”tehottomia muille.” Ja tietysti käyttäjät pakotettiin usein turhautumaan muuttaa. Yritysten on päästävä kompromissiin turvallisuuden ja käytettävyyden välillä.

Pohjaviiva

Argumentit saattavat kuulostaa monimutkaisilta, mutta niitä on helppo tiivistää.

• Käyttäjän aloittamat usein tapahtuvat salasanamuutokset voivat tehdä käyttäjistä hieman turvallisempia, jos uusi salasana on erittäin vankka.
• Pakotetulla salasanan vaihdolla on usein kielteisiä vaikutuksia, kun käyttäjät valitsevat vähemmän turvalliset käyttöoikeustiedot.

Nyt haluamme kuulla ajatuksesi keskusteluun. Oletko varma kyvystäsi valita turvallinen salasana säännöllisesti? Vai käytätkö mielellään vuosikymmenen vanhaa salasanaa kaikilla tililläsi?

Muista, että jos luot usein monimutkaisia ​​uusia salasanoja, käytät salasananhallintasovellusta, kuten LastPass. Sinun ei tarvitse palauttaa salasanoja itse.