Norwegian alphabet (æ): learn how to pronounce the letter Æ
在那些经常使用互联网进行大部分工作的人之间的口头禅有点像这样:“每隔几个月/几周更改一次密码以保证帐户的安全。”看起来简单而有意义:使用新的旋转密码,它应该更难以获取信息,从而获取对您私人信息的访问权限。但联邦贸易委员会的首席技术专家,卡内基梅隆大学的教授Lorrie Cranor不同意这一理论。
在上周在拉斯维加斯举行的BSides安全会议上,Cranor详细阐述了她的观点,该观点在看到FTC本身提出的建议后产生。 “我去了社交媒体人并问他们,”Cranor解释说。 “他们说,'好吧,这一定是好建议,因为在美国联邦贸易委员会,我们每隔60天更改一次密码'。”错误的方向足以让Cranor心中响起警钟。
据Lorrie Cranor @BSidesLV研究,41%的新更改密码是基于以前密码的转换而脱机破解的
- Claus Cramon Houmann(@ClausHoumann)2016年8月2日
Cranor是一位专业的密码研究员,他说密码更改的危险通常在于,在为帐户提供复杂的组合保护时,更改密码通常会留下漏洞。引用北卡罗来纳大学教堂山分校的一项研究,该研究探索了超过10,000个过期帐户的模式:“UNC研究人员表示,如果人们每90天必须更改一次密码,他们就会使用一种模式,他们会做我们称之为的模式转型,“克拉诺说。 “他们使用旧的密码,他们以一种小的方式改变密码,然后他们想出了一个新的密码。”
更重要的是,研究人员能够创建一种预测密码模式的方法 - 当脚本可以设计为完成时,这种行为并非不寻常。最终,该算法在少于五次尝试中破解了17%的帐户。
Cranor的思维方式正在慢慢发挥作用,最近在FTC。 “我很高兴地报告说,对于我的六个政府密码中的两个,我不必再改变它们了,”她开玩笑说。