您多久更改一次密码?我们打赌您的某些凭证已使用了十年以上。
实际上,我们大多数人仅在情况迫使我们更改密码时才更改密码。通常情况下,要么是您不记得它,要么是某个应用程序或您的公司强迫您每隔几个月创建一个新应用程序。
那么,哪种方法是正确的?您是否应该多年不更改密码,还是应该随季节更改密码?这是经常更改密码的利弊。
它使您的帐户(微小的位)更安全
通常认为,经常更改密码会使您的密码更安全。帐户更安全。
该论点表明,如果您是泄密的不知情的受害者,那么定期更改密码可以快速否定潜在黑客记录的详细信息。
类似地,如果某人在您不知情的情况下访问了您的密码,则可以防止该人长时间监视您。这就是为什么全国各地的IT经理每两周都会对您强加一次强制重置的想法。
该论点有效吗?是的,但是没有您期望的那么清晰。即使假设您的新密码与以前的密码一样强(稍后会详细介绍),这种做法的好处也很小。
在卡尔顿大学的一篇论文中,研究人员解释说,能够访问密码的攻击者哈希密码文件可以在脱机时执行攻击。因此,他们可以在短时间内测试大量密码。
本文继续以数学方式证明,即使频繁的强密码更改也只能使攻击数量微不足道。好处几乎肯定不值得它给用户带来不便。
相反,本文建议系统管理员应使用慢速哈希函数(例如bcrypt)。用户不会感到不便,并且此过程使攻击者更难以快速猜测大量密码。
您的新密码可能不安全
我确定您不需要我们告诉您如何创建一个强密码,但是该信息总是值得重复的:
这四个点是说起来容易做起来难。创建满足所有要求的密码(然后记住它们)需要大量的精力。
因此,当人们过于频繁地更改其凭据时会发生什么?简而言之,他们会变得懒惰。
—丰满的Rusty(@RaylaRimpson),2018年1月30日
再次,这是一种经过科学证明的现象。 2010年,北卡罗莱纳大学的研究人员发表了一篇题为“现代密码过期的安全性:算法框架和实证分析"的论文。在其中,他们研究了该大学已解散帐户的密码历史记录。
该研究调查了10,000多个旧帐户和51,141个密码。研究人员进行了离线哈希攻击,最终破解了60%的凭据。在60%的用户中,有7752个密码不是该帐户上使用的最终密码。
然后,他们使用该数据集来查看是否可以推断出与该帐户相关的其他密码。结果是惊人的。在17%的情况下,可以在不到五秒钟的时间内猜出该帐户使用的下一个密码。
但是为什么?研究得出的结论是,人们经常更改密码时往往会做很小的改动。例如, Sausage123 可能会变成 $ ausage123 , hellocheese!会变成 hellocheese !! ,依此类推。<
什么时候应该更改密码?
一开始,我开玩笑说您可能有一些接近十岁生日的密码。
到目前为止,我们所看到的证据似乎表明,长期存在的密码实际上可能是一件好事。真相是什么您只需要一些常识即可。
当然,如果您怀疑有人未经授权访问您的帐户,则应该更改密码。如果您在输入在线银行凭证时认为有人在监视,则应更改密码。如果必须将密码“借给"某人,则应进行更改。
如果您认为自己不小心成为了网络钓鱼诈骗的受害者,则应更改密码。
在所有情况下,您都需要确保新密码与旧密码没有相似之处。不要使用相同的核心词。不要将相同的特殊字符放在相同的位置。请勿尝试向后写旧密码。
请记住,您还应该在使用相似凭据的所有其他帐户中更改密码。例如,如果您的Facebook密码为flowerpot1,而Twitter密码为1flowerpot,则应同时更改两者。
如果不确定,请遵循本文前面讨论的四个基本准则。设置新密码。
什么是强制密码重置?
但是,如何重置密码?应用或您的雇主向您强加一个新密码是一个好主意吗?
可能不是。
2009年,美国国家标准技术研究院表示,定期更改密码“对减少某些密码泄露的影响是有益的",但“对其他密码则无效"。当然,用户经常因强制更改而感到沮丧。公司需要在安全性和可用性之间达成折衷。
底线
参数听起来很复杂,但是很容易总结。
现在,我们想听听您对辩论的想法。您有信心定期选择安全密码吗?还是对所有帐户都使用了十年的密码感到满意?
请记住,如果您经常创建复杂的新密码,请使用LastPass之类的密码管理器应用。您无需自己重新调用密码。