Le frequenti modifiche alle password sono effettivamente buone per la tua sicurezza?

Annuncio pubblicitario

Quanto spesso tu Cambia la tua password Come modificare la password su qualsiasi desktop o dispositivo mobileLa tua password è l'unica cosa che si frappone tra uno sconosciuto e i tuoi dati più privati. Quando è stata l'ultima volta che hai aggiornato la password del dispositivo? Ti mostriamo come cambiarlo adesso. Leggi di più ? Scommettiamo che alcune delle tue credenziali hanno più di un decennio.

In effetti, molti di noi cambiano le nostre password solo quando una situazione ci costringe a farlo. In genere, è quando non riesci a ricordarlo, o un'app o la tua azienda ti costringe a crearne uno nuovo ogni pochi mesi.

Quindi, quale approccio è giusto? Dovresti lasciare intatta la tua password per anni o cambiarla con la frequenza delle stagioni? Ecco i vantaggi e gli svantaggi di cambiare la password troppo frequentemente.

Rende il tuo account (un po 'minuscolo) più sicuro

La saggezza generalmente ricevuta è quella di cambiare frequentemente la password rende il tuo account più sicuro

Il tuo account Yahoo Mail è sicuro? 10 modi per rimanere al sicuroSe sei un utente Yahoo, assicurati che il tuo account sia al sicuro. Ecco 10 elementi da verificare per assicurarsi che la sicurezza del tuo account sia in ordine. Leggi di più .

L'argomento suggerisce che se tu sei il vittima inconsapevole di una perdita Controlla ora e vedi se le tue password sono mai state trapelateQuesto elegante strumento ti consente di controllare qualsiasi password per vedere se è mai stata parte di una perdita di dati. Leggi di più , la modifica periodica della password può annullare rapidamente i dettagli archiviati da un potenziale hacker.

Allo stesso modo, se qualcuno ottiene l'accesso alla tua password a tua insaputa, impedisce alla persona di curiosare per un lungo periodo. È per questo che i responsabili IT in tutto il paese sono così ossessionati dal reimpostare forzati ripristini su di te ogni paio di settimane.

L'argomento è valido? Sì, ma non è così preciso come ci si potrebbe aspettare. Anche supponendo che le tue nuove password siano forti come quelle precedenti (ne parleremo tra poco), la pratica ha un beneficio minimo.

In un Documento della Carleton University, i ricercatori hanno spiegato che gli aggressori che hanno accesso a un file con password con hash possono eseguire attacchi offline. Pertanto, possono testare un numero elevato di password in breve tempo. Le password deboli e di media forza sono a rischio.

Il documento prosegue dimostrando matematicamente che anche frequenti frequenti cambi di password complesse hanno ostacolato gli attacchi in misura trascurabile. Il vantaggio non vale quasi certamente l'inconveniente che comporta per gli utenti.

Al contrario, l'articolo raccomanda agli amministratori di sistema di utilizzare funzioni di hash lente come bcrypt. Gli utenti non sarebbero disturbati e il processo rende più difficile per gli aggressori indovinare rapidamente un gran numero di password.

È probabile che la tua nuova password non sia sicura

Sono sicuro che non hai bisogno che te lo diciamo come creare una password complessa, ma vale sempre la pena ripetere l'informazione:

• La tua password dovrebbe usare un mix di lettere e numeri.
• Dovrebbe usare alcune lettere maiuscole e alcune lettere minuscole.
• Idealmente, dovrebbe contenere caratteri speciali.
• Dovrebbe contenere più di 12 caratteri.

Questi quattro punti sono più facili a dirsi che a farsi. La creazione di password che soddisfano tutti i requisiti - e quindi di ricordarli - richiede molta energia mentale.

Quindi, cosa succede quando le persone cambiano le proprie credenziali troppo frequentemente? In breve, diventano pigri.

Ho esaurito le idee sulla password, quindi ho dovuto cambiare lavoro.

- Busty Rusty (@RaylaRimpson) 30 gennaio 2018

Ancora una volta, è un fenomeno scientificamente provato. Nel 2010, i ricercatori dell'Università della Carolina del Nord hanno pubblicato un documento intitolato "La sicurezza della scadenza moderna delle password: una struttura algoritmica e un'analisi empirica“. In esso, hanno studiato storie di password da account defunti all'università.

Lo studio ha esaminato oltre 10.000 vecchi account e 51.141 password. I ricercatori hanno eseguito un attacco hash offline e alla fine hanno violato il 60 percento delle credenziali. Dal 60 percento, 7.752 password non erano l'ultima password utilizzata per l'account.

Hanno quindi usato quel set di dati per vedere se potevano estrapolare altre password connesse all'account. I risultati sono stati sorprendenti. Nel 17 percento dei casi, la password successiva utilizzata sull'account potrebbe essere indovinata in meno di cinque secondi.

Ma perché? Lo studio ha concluso che le persone tendevano ad apportare modifiche molto lievi quando cambiano frequentemente una password. Per esempio, Sausage123 potrebbe diventare $ ausage123, hellocheese! potrebbe diventare hellocheese !!, e così via.

Quando dovresti cambiare la tua password?

All'inizio, ho scherzato sul fatto che probabilmente hai alcune password che si stanno avvicinando al loro decimo compleanno. Ma è uno scherzo?

Le prove che abbiamo esaminato finora sembrano suggerire che password di vecchia data potrebbero effettivamente essere una buona cosa. Qual è la verità? Hai solo bisogno di un po 'di buon senso.

Certo, se sospetti qualcuno sta accedendo al tuo account Come verificare se qualcun altro sta accedendo al tuo account FacebookÈ sia sinistro che preoccupante se qualcuno ha accesso al tuo account Facebook a tua insaputa. Ecco come sapere se sei stato violato. Leggi di più senza la tua autorizzazione, dovresti cambiare la tua password. Se ritieni che qualcuno stesse guardando mentre stavi inserendo le tue credenziali di online banking, dovresti cambiare la tua password. Se hai dovuto "prestare" la tua password a qualcuno, dovresti cambiarla.

E se pensi di essere diventato accidentalmente il vittima di una truffa di phishing Non essere vittima di questi attacchi di phishing comuni Leggi di più , dovresti cambiare la tua password.

In tutti i casi, è necessario assicurarsi che la nuova password non abbia alcuna somiglianza con quella precedente. Non usare la stessa parola chiave. Non mettere gli stessi personaggi speciali nelle stesse posizioni. E non provare qualcosa come scrivere la tua vecchia password al contrario.

E ricorda, dovresti anche cambiare la tua password su tutti gli altri account con credenziali simili. Ad esempio, se la password di Facebook è flowerpot1 e la password di Twitter è 1flowerpot, è necessario modificarle entrambe.

Se non sei sicuro, segui le quattro linee guida fondamentali che abbiamo discusso in precedenza nell'articolo quando crei una nuova password.

Che dire dei ripristini forzati delle password?

Ma per quanto riguarda i ripristini forzati delle password? È una buona idea per un'app o il tuo datore di lavoro imporre una nuova password? Probabilmente no.

Nel 2009, L'Istituto nazionale di standard e tecnologia ha affermato che le regolari modifiche alla password sono state "utili per ridurre l'impatto di alcuni compromessi sulla password", ma erano "inefficaci per gli altri". E, naturalmente, gli utenti erano spesso lasciati frustrati dai forzati modificare. Le aziende devono raggiungere un compromesso tra sicurezza e usabilità.

La linea di fondo

Gli argomenti potrebbero sembrare complessi, ma sono facili da riassumere.

• Le frequenti modifiche della password avviate dall'utente potrebbero rendere gli utenti leggermente più sicuri, a condizione che la nuova password sia altamente affidabile.
• Le frequenti modifiche forzate della password hanno spesso un effetto negativo, con gli utenti che scelgono credenziali meno sicure.

Ora vogliamo ascoltare i tuoi pensieri sul dibattito. Sei sicuro della tua capacità di scegliere una password sicura su base regolare? O sei felice di usare una password vecchia di dieci anni su tutti i tuoi account?

Ricorda, se crei spesso nuove password complicate, usi un'app di gestione password come LastPass. Non è necessario ricordare le password da soli.