säkerhet

Är vanliga lösenord ändringar faktiskt bra för din säkerhet?

Är vanliga lösenord ändringar faktiskt bra för din säkerhet? / säkerhet

Hur ofta ändrar du ditt lösenord Hur du ändrar ditt lösenord på vilken stationär eller mobil enhet som helst Så här byter du ditt lösenord på vilken stationär eller mobil enhet som helst Ditt lösenord är det enda som står mellan en främling och din mest privata data. När var sista gången du uppdaterade ditt lösenord för enheten? Vi visar dig hur du ändrar det just nu. Läs mer ? Vi satsar på några av dina uppgifter är mer än ett decennium gammalt.

Faktum är att de flesta av oss bara ändrar våra lösenord när en situation tvingar oss till. Vanligtvis är det antingen när du inte kommer ihåg det, eller en app eller ditt företag tvingar dig att skapa en ny en några månader.

Så, vilket tillvägagångssätt är rätt? Skulle du lämna ditt lösenord orört i åratal, eller ska du ändra det så ofta som årstiderna? Här är för-och nackdelarna med att ändra ditt lösenord för ofta.

Det gör ditt konto (en liten bit) mer säker

Den allmänt mottagna visdomen är att du ändrar ditt lösenord ofta gör ditt konto säkrare. Är ditt Yahoo Mail-konto säkert? 10 sätt att hålla dig trygg Är ditt Yahoo Mail-konto säkert? 10 sätt att vara säker Om du är en Yahoo-användare, bör du se till att ditt konto är säkert. Här är 10 saker att kontrollera om din kontosäkerhet är i ordning. Läs mer .

Argumentet föreslår att om du är det oförutsedda offeret för läcka Kontrollera nu och se om dina lösenord har någonsin läckt Kontrollera nu och se om dina lösenord har någonsin lösts Det här smutsiga verktyget låter dig kontrollera något lösenord för att se om det någonsin varit del av en dataläckage. Läs mer, om du ändrar lösenordet regelbundet kan du snabbt neka de uppgifter som en hackare har på filen.

På samma sätt, om någon får tillgång till ditt lösenord utan din kunskap, förhindrar den att personen snubblar på dig under en längre tid. Det är därför IT-chefer runt om i landet är så besatta av att man får tvångsinställningar på dig varje par veckor.

Är argumentet giltigt? Ja, men det är inte så tydligt som du kan förvänta dig. Även om du antar att dina nya lösenord är lika starka som de tidigare (mer om det korta), har praktiken minimal fördel.

I ett Carleton University-papper förklarade forskarna att angripare som har tillgång till en hashed-lösenordsfil kan utföra attacker medan de är offline. De kan därför testa ett stort antal lösenord på kort tid. Svaga och medelstora lösenord är i fara.

Papperet fortsätter att matematiskt bevisa att även täta starka lösenord ändringar bara hindrade attackerna en försumbar mängd. Fördelen är nästan säkert inte värt det besvär som det medför för användarna.

I stället rekommenderar pappret att systemadministratörer ska använda långsamma hashfunktioner som bcrypt. Användare skulle inte vara obekväma, och processen gör det svårare för angriparna att gissa ett stort antal lösenord snabbt.

Ditt nya lösenord är sannolikt att vara osäkert

Jag är säker på att du inte behöver oss att berätta hur du skapar ett starkt lösenord, men informationen är alltid värt att upprepa:

  • Ditt lösenord ska använda en blandning av bokstäver och siffror.
  • Det ska använda vissa stora bokstäver och några små bokstäver.
  • Helst bör den innehålla specialtecken.
  • Det ska vara mer än 12 tecken långt.

De fyra punkterna är lättare sagt än gjort. Att skapa lösenord som uppfyller alla krav - och sedan komma ihåg dem - tar mycket mental energi.

Så, vad händer när människor ändrar sina referenser för ofta? Kort sagt blir de lat.

Jag sprang ut av lösenordsidéer, så jag var tvungen att byta jobb.

- Busty Rusty (@ RayayRimpson) 30 januari 2018

Återigen är det ett vetenskapligt beprövat fenomen. Under 2010 släppte forskare vid University of North Carolina ett pappersbetitlat namn “Säkerheten för modern lösenordsutgång: En algoritmisk ram och empirisk analys.” Därefter studerade de lösenordshistorier från avvecklade konton på universitetet.

Studien tittade på mer än 10.000 gamla konton och 51.141 lösenord. Forskarna utförde en offline-hashattack och slog slutligen 60 procent av referensuppgifterna. Från 60 procent var 7 752 lösenord inte det sista lösenordet som användes på kontot.

De använde sedan den datasatsen för att se om de kunde extrapolera andra lösenord kopplade till kontot. Resultaten var fantastiska. I 17 procent av fallen kan nästa lösenord som används på kontot gissas om mindre än fem sekunder.

Men varför? Studien drog slutsatsen att folk tenderade att göra mycket små förändringar när man bytte lösenord ofta. Till exempel, Sausage123 kan komma att bli $ ausage123, hellocheese! skulle bli hellocheese!!, och så vidare.

När ska du ändra ditt lösenord?

I början skämt jag att du förmodligen har några lösenord som närmar sig sin tionde födelsedag. Men är det ett skämt?

Beviset som vi har tittat på hittills tycks föreslå att långvariga lösenord kanske kan vara en bra sak. Vad är sanningen? Du behöver bara lite sunt förnuft.

Självklart om du misstänker att någon har tillgång till ditt konto Hur man kontrollerar om någon annan har tillgång till ditt Facebook-konto Hur man kontrollerar om någon annan har tillgång till ditt Facebook-konto Det är både otrevligt och oroande om någon har tillgång till ditt Facebook-konto utan din vetskap . Så här vet du om du har brutits. Läs mer utan ditt tillstånd, du bör ändra ditt lösenord. Om du tror att någon tittade när du angav dina online-bankuppgifter, bör du ändra ditt lösenord. Om du var tvungen att “lån” ditt lösenord till någon, du borde ändra det.

Och om du tror att du av misstag har blivit offer för en phishing-bluff Var inte ett offer för dessa vanliga phishing-attacker. Var inte ett offer för dessa vanliga phishing-attacker Läs mer, du borde ändra ditt lösenord.

I alla fall måste du se till att ditt nya lösenord inte har likhet med den gamla. Använd inte samma kärnord. Lägg inte samma specialtecken i samma positioner. Och försök inte något som att skriva ditt gamla lösenord bakåt.

Och kom ihåg att du också ska ändra ditt lösenord över alla andra konton med hjälp av liknande uppgifter. Till exempel, om ditt Facebook-lösenord är flowerpot1 och ditt Twitter-lösenord är 1flowerpot, bör du ändra dem båda.

Om du inte är säker, följ bara de fyra grundläggande riktlinjerna som vi diskuterade tidigare i artikeln när du skapar ett nytt lösenord.

Vad om tvingat lösenord återställs?

Men hur är det med tvingade lösenordsåterställningar? Är det en bra idé för en app eller din arbetsgivare att tvinga ett nytt lösenord på dig? Antagligen inte.

År 2009 sade National Institute of Standards and Technology att vanliga lösenordsändringar var “gynnsamt för att minska effekten av vissa lösenordskompromisser,” men var “ineffektiva för andra.” Och givetvis blev användarna ofta frustrerade av den tvungna förändringen. Företagen behöver nå en kompromiss mellan säkerhet och användbarhet.

Poängen

Argumenten kan vara komplexa, men de är enkla att sammanfatta.

  • Användarinitierade frekventa lösenord ändringar kan göra användarna marginellt säkrare, förutsatt att det nya lösenordet är mycket robust.
  • Effekta löpande ändringar av lösenord har ofta en negativ effekt, med användarna att välja mindre säkra uppgifter.

Nu vill vi höra dina tankar om debatten. Är du säker på din möjlighet att välja ett säkert lösenord regelbundet? Eller är du lycklig med ett decennium gammalt lösenord på alla dina konton?

Kom ihåg att om du ofta skapar komplicerade nya lösenord, använder du en lösenordshanteringsapp som LastPass. Du behöver inte återkalla lösenordet själv.

Utforska mer om: Online-säkerhet, lösenord.