FTC missbraucht die herkömmlichen Weisheiten, sagt, dass das Ändern von Passwörtern oft Schaden anrichten kann - Rechnen - 2019

Anonim

Konventionelle Weisheit nimmt einen weiteren Schlag. Seit über 30 Jahren besteht einer der häufigsten Computersicherheitstipps darin, Ihre Kennwörter häufig zu ändern. Machen Sie sie komplex, verwenden Sie nicht immer wieder dieselben, schreiben Sie sie nicht auf Haftnotizen, die auf Ihren Monitor geklebt werden, und ändern Sie sie regelmäßig. Die FTC möchte, dass Sie diesen letzten Ratschlag vergessen, so Ars Technica.

Auf der PasswordsCon 2016 in der vergangenen Woche sprach der Cheftechniker der Federal Trade Commission, Lorrie Cranor, über ihre eigene Überraschung, als sie die Carnegie Mellon University verließ, um an der FTC zu arbeiten. Cranor entdeckte, dass die Agentur ihren Mitarbeitern nicht nur mitteilte, dass sie ihre Freunde und Familie ermutigen sollten, ihre Passwörter häufig zu ändern. Sie selbst hatte jetzt sechs neue Passwörter, die sie alle 60 Tage ändern musste.

Cranor sagte FTC-Informations- und Sicherheitsbeauftragten, dass das Ändern von Kennwörtern oft zu einer schwächeren Sicherheit führen kann, da Benutzer vorhersehbare Änderungen vornehmen, die Hacker mit Algorithmen erkennen können. Als er nach dem Beweis für diese unerwartete Behauptung gefragt wurde, bekam er es.

Im Jahr 2010 studierten Forscher von der Universität von North Carolina in Chapel Hill 10 000 abgelaufene Universitätskonten, für die sie Passwortgeschichte aufspüren konnten. Die Kontoinhaber mussten ihre Passwörter alle drei Monate ändern. In den meisten Fällen haben die Benutzer nur minimale Änderungen an ihren Passwörtern vorgenommen, indem sie erkennbare Muster verwendet haben. Zum Beispiel könnte ein Benutzer einen Buchstaben in einem Passwort progressiv groß schreiben und mit jeder Änderung zum nächsten Buchstaben wechseln, zum Beispiel "Pumpkin77!", "PUmpkin77!" Und "puMpkin77!". Ein anderes gebräuchliches Muster war das Erhöhen einer Ziffer beim Wechsel, wie "Pumpkin1!", "Pumpkin2!" und "Pumpkin3!". Die Forscher entwickelten Algorithmen, die in 17 Prozent der Fälle vor Sperrung Konten knacken konnten.

Weitere Studien der Carleton University in Kanada, des National Institute of Standards and Technology und der britischen CESG (Communications-Electronics Security Group) zeigten, dass häufige und vorgeschriebene Passwörter die Benutzer in dem Maße entfremden, dass die Benutzer nachweisbare Passwörter erstellen. Mit anderen Worten, die konventionelle Weisheit ging nach hinten los.

Nach Recherchen von Cranor ändert die FTC nach und nach die internen Verfahren, die von den erforderlichen Passwortänderungen wegführen.

Der Hinweis, Passwörter zu ändern, ist sinnvoll, wenn alle Benutzer lange, komplexe Passwörter mit z. B. mehr Sonderzeichen als Buchstaben oder Ziffern erstellen. Die meisten Menschen nehmen jedoch den einfacheren Weg und verwenden einfach zu merkende Passwörter und ändern sie, wenn sie in erkennbaren Mustern benötigt werden.