Er hyppige ændringer af adgangskode faktisk gode for din sikkerhed?

Reklame

Hvor ofte gør du skift dit kodeord Sådan ændres din adgangskode på ethvert skrivebord eller mobilenhedDin adgangskode er det eneste, der står mellem en fremmed og dine mest private data. Hvornår var sidste gang du opdaterede din enhedsadgangskode? Vi viser dig, hvordan du ændrer det lige nu. Læs mere ? Vi ved, at nogle af dine legitimationsoplysninger er mere end et årti gamle.

Faktisk ændrer de fleste af os kun vores adgangskoder, når en situation tvinger os til. Det er typisk enten når du ikke kan huske det, eller en app eller din virksomhed tvinger dig til at oprette en ny hvert par måneder.

Så hvilken tilgang er rigtig? Skal du lade dit kodeord være urørt i årevis, eller skal du ændre det så ofte som årstiderne? Her er fordele og ulemper ved at ændre din adgangskode for ofte.

Det gør din konto (en lille smule) mere sikker

Den generelt modtagne visdom er, at du ofte ændrer dit kodeord gør din konto mere sikker Er din Yahoo Mail-konto sikker? 10 måder at være sikre påHvis du er en Yahoo-bruger, skal du sørge for, at din konto er sikker. Her er 10 elementer, du skal kontrollere for at sikre, at din kontosikkerhed er i orden.

Læs mere .

Argumentet antyder, at hvis du er det uvidende offer for en lækage Kontroller nu, og se, om dine adgangskoder nogensinde er lækketDette smarte værktøj giver dig mulighed for at kontrollere ethvert kodeord for at se, om det nogensinde har været en del af en datalækage. Læs mere , kan ændring af din adgangskode regelmæssigt bortfalde de detaljer, som en e-mail-hacker har på filen.

Tilsvarende, hvis nogen får adgang til din adgangskode uden din viden, forhindrer det, at personen snupper på dig i en længere periode. Det er grunden til, at IT-ledere rundt omkring i landet er så besat af fuserende tvangsnuligheder på dig hvert par uger.

Er argumentet gyldigt? Ja, men det er ikke så klart, som du kunne forvente. Selv med den antagelse, at dine nye adgangskoder er lige så stærke som de foregående (mere om det kort), har fremgangsmåden minimal fordel.

I en Carleton University-papirfortalte forskerne, at angribere, der har adgang til en hashet adgangskodefil, kan udføre angreb, mens de er offline. De kan derfor teste et stort antal adgangskoder på kort tid. Adgangskoder med svag og medium styrke er i fare.

Papiret fortsætter med at matematisk bevise, at selv hyppige stærke adgangskodændringer kun hæmmede angrebene et ubetydeligt beløb. Fordelen er næsten bestemt ikke værd at det besvær, det bringer for brugerne.

I stedet anbefaler papiret, at systemadministratorer skal bruge langsom hash-funktioner, såsom bcrypt. Brugere ville ikke være besværlige, og processen gør det sværere for angribere at gætte et stort antal adgangskoder hurtigt.

Din nye adgangskode kan sandsynligvis være usikker

Jeg er sikker på, at du ikke har brug for os til at fortælle dig hvordan man opretter en stærk adgangskode, men informationen er altid værd at gentage:

• Din adgangskode skal bruge en blanding af bogstaver og tal.
• Det skal bruge nogle store og små bogstaver.
• Ideelt set bør det indeholde specialtegn.
• Det skal være mere end 12 tegn.

Disse fire punkter er lettere sagt end gjort. At oprette adgangskoder, der opfylder alle kravene - og derefter huske dem - tager en masse mental energi.

Så hvad sker der, når folk ændrer deres legitimationsoplysninger for ofte? Kort sagt bliver de doven.

Jeg løb tør for adgangskodeideer, så jeg var nødt til at skifte job.

- Busty Rusty (@RaylaRimpson) 30. januar 2018

Igen er det et videnskabeligt bevist fænomen. I 2010 frigav forskere ved University of North Carolina et papir med titlen "Sikkerheden ved udløb af moderne adgangskode: En algoritmisk ramme og empirisk analyse.” I det studerede de kodeordshistorier fra defunct konti på universitetet.

Undersøgelsen kiggede på mere end 10.000 gamle konti og 51.141 adgangskoder. Forskerne udførte et offline hashangreb og knækkede i sidste ende 60 procent af legitimationsoplysningerne. Fra de 60 procent var 7552 adgangskoder ikke den endelige adgangskode, der blev brugt på kontoen.

De brugte derefter det datasæt for at se, om de kunne ekstrapolere andre adgangskoder, der var forbundet til kontoen. Resultaterne var fantastiske. I 17 procent af tilfældene kunne den næste adgangskode, der blev brugt på kontoen, blive gættet på under fem sekunder.

Men hvorfor? Undersøgelsen konkluderede, at folk havde en tendens til at foretage meget mindre ændringer, når de ofte ændrede et kodeord. For eksempel, Sausage123 kan blive $ ausage123, hellocheese! ville blive hellocheese !!, og så videre.

Hvornår skal du ændre din adgangskode?

I starten spøgte jeg, at du sandsynligvis har nogle adgangskoder, der nærmer sig deres tiende fødselsdag. Men er det en vittighed?

De beviser, vi har kigget på indtil videre, tyder på, at mangeårige adgangskoder faktisk kan være en god ting. Hvad er sandheden? Du har bare brug for lidt sund fornuft.

Selvfølgelig, hvis du har mistanke nogen får adgang til din konto Sådan kontrolleres det, om nogen anden får adgang til din Facebook-kontoDet er både uhyggeligt og foruroligende, hvis nogen har adgang til din Facebook-konto uden din viden. Sådan kan du vide, om du er blevet krænket. Læs mere uden din tilladelse, skal du ændre din adgangskode. Hvis du tror, ​​at nogen så på, da du indtastede dine online bankoplysninger, skal du ændre dit kodeord. Hvis du skulle "låne" din adgangskode til nogen, skal du ændre den.

Og hvis du tror, ​​at du ved et uheld er blevet den offer for en phishing-svindel Vær ikke offer for disse almindelige phishing-angreb Læs mere , skal du ændre din adgangskode.

I alle tilfælde skal du sørge for, at din nye adgangskode ikke ligner den gamle. Brug ikke det samme kerneord. Anbring ikke de samme specialtegn i de samme positioner. Og prøv ikke noget som at skrive din gamle adgangskode baglæns.

Og husk, du skal også ændre din adgangskode på tværs af andre konti med lignende legitimationsoplysninger. For eksempel, hvis din Facebook-adgangskode er blomsterpotte1 og din Twitter-adgangskode er 1 blomsterpot, skal du ændre dem begge.

Hvis du ikke er sikker, skal du bare følge de fire grundlæggende retningslinjer, vi diskuterede tidligere i artiklen, når du opretter en ny adgangskode.

Hvad med nulstillet tvangsadgangskode?

Men hvad med nulstillede nulstillede adgangskoder? Er det en god ide for en app eller din arbejdsgiver at tvinge en ny adgangskode til dig? Sikkert ikke.

I 2009 National Institute of Standards and Technology sagde regelmæssige kodeordsændringer var "gavnlige for at reducere virkningen af ​​nogle adgangskompromis," men var "ineffektive for andre." Og naturligvis blev brugere ofte forladt frustrerede over de tvungne lave om. Virksomheder skal nå et kompromis mellem sikkerhed og brugervenlighed.

Bundlinjen

Argumenterne lyder måske komplekse, men de er lette at sammenfatte.

• Brugerinitierede hyppige adgangskodændringer kan gøre brugere marginalt mere sikre, forudsat at den nye adgangskode er meget robust.
• Håndhævede hyppige ændringer af adgangskode har ofte en negativ effekt, da brugere vælger mindre sikre legitimationsoplysninger.

Nu vil vi høre dine tanker om debatten. Er du sikker på din evne til at vælge en sikker adgangskode regelmæssigt? Eller er du glad for at bruge et tiår gammelt kodeord på alle dine konti?

Husk, at hvis du ofte opretter komplicerede nye adgangskoder, bruger du en password manager-app som LastPass. Du behøver ikke selv huske adgangskoderne.