安全专家已经说了几十年,人类的弱点可以胜过最好的技术。
显然,它也可以胜过传统智慧。
由于密码成为在线认证的主要方法,传统观念一直认为改变它们每隔一个月左右会改善一个人的,或组织的,安全的。
不按洛里·克拉纳,美国联邦贸易委员会(FTC)的首席技术专家,在今年早些时候谁创造了一个媒体的嗡嗡声的东西时,她在博客中宣称,它是,“时间重新考虑强制更改密码。”
她给了一个在BSides安全会议上发表主题演讲在拉斯维加斯本月初进行的相同点。
但该消息并不新鲜 - 她一直鼓吹了一段时间。Cranor,谁前她搬到美国联邦贸易委员会是计算机科学与工程和公共政策在卡内基 - 梅隆大学的教授,给了一个TED演讲在这两年多前。
她认为,更改密码经常可以做弊大于利。不是因为新的密码,在本身而言,将使它更容易成为攻击者,但由于人性的。
她引用的研究表明,“被要求更改其密码的用户谁经常选择弱密码与开始,然后改变它们在可预见的方式,攻击者可以很容易猜到。”
对此,她说,当时在北卡罗莱纳大学教堂山分校一个研究2009 - 2010年六年多前证明。研究人员使用以前的学生,教职员工,1个万多解散帐户的密码发现它更容易破解的新密码,如果他们破获一老一,因为用户经常会用旧的小调整创造一个新的密码。
这些调整包括将小写字母改为大写字母,用数字代替字母,比如用“3”代替“e”,或者简单地在之前的密码后面加上几个字母或数字。
Cranor说,研究人员发现,如果他们知道以前的密码,他们可以猜测少于五次尝试新的。谁也偷了哈希密码文件,黑客就能够在三秒钟内猜测新的 - 这是与2009年的技术。
联合国军司令部研究并不是唯一一个达到这一结论。研究人员在计算机科学在加拿大渥太华卡尔顿大学学院,发表在2015年3月的论文中,得出的结论是密码过期策略的安全性优势是,“相对较小的最好的,可疑的整体成本来看,”出于同样的原因的UNC研究人员发现。
“(W)母鸡密码更改强制,往往新密码算法与旧[密码],让许多人在一些猜测中找到,”他们写道。
与美国国家标准与技术研究院(NIST),在公布草案,从2009年4月(虽然它被标记为“退休”今年四月)表示,密码过期策略经常会让使用者感到困扰,谁那么,“倾向于选择弱密码,并使用相同的几个密码对许多账户。”
不出所料,攻击者非常清楚这些漏洞。最新的Verizon的数据泄露事件报告(DBIR)发现所有数据泄露的63%涉及使用被盗,弱或默认密码。
由禁卫军本月初公布的一份报告表明,有四列前在网络杀伤链五项活动无关的恶意软件,但随着被盗凭据,由于一些事情,如弱域用户密码和存储明文密码。
所有这一切都似乎是更加弹药像FIDO联盟,已讨伐到组织避免使用密码完全自从四年前它的形成。该联盟一直没闲着,它希望将是不可抗拒的用户和服务提供商2个密码认证选项。
但即使有增加的这些选项兴趣和接受,布雷特·麦克道尔,FIDO的执行董事,已确认将有一个“长尾巴”密码使用。
这长的过渡过程中,他和其他人说,有多种方式,以提高安全性,不涉及创建新密码每隔几个月更易于裂缝比以前的。
扎克拉尼尔,在Cylance研究部主任,援引苹果TouchID和谷歌的项目算盘移动选项断奶用户关闭密码,但密码说,很明显,“仍然存在,他们很可能是多一点的时间。这只是他们太“标准”的人,企业,以及已经这么久了,它真的很难让他们完全消失。”
在此期间,他说,企业可以通过员工培训和“积极测试他们的认证机制和审计用户密码的组合提高了密码的安全性 - 破解他们 - 无论是通过内部信息安全团队或外部公司。在我看来,这应该是两个,”他说。“这可以使组织里的东西被破坏,从人到技术更好的主意。”
可以将用户带入这个问题,以及,他补充说,通过“使得可用的工具来实现,如果不强制,用户测试自己的密码的强度。”
麦克道尔同意,教育是“一个值得称道的努力,特别是要帮助用户避免牺牲品网络钓鱼和/或社会工程学攻击“。但他表示,“共享密钥”身份验证模式很容易受到攻击的太多形式 - 不只是社会工程 - 因此,以尽快消除它们的需要。
汤姆·彭德格斯特,首席策略师,安全,隐私与合规性,在MEDIAPRO说,组织可以而且应该有更加严格的密码策略。“目前的政策设置了酒吧太低于密码的复杂性和不要求多因素认证,公认的最佳普遍可用的解决方案,”他说。
拉尼尔表示同意。“有迹象表明,似乎无法过去的1998年移动与验证一些非常可怕的组织,网站或服务,”他说。
“之类的东西不允许某些字符,或限制密码的长度,东西低得离谱,因为所有的开发人员,数据库管理员,和/或设计人员正在使用过时的或过时的机制。”
彭德格斯特说,他认为同样的事情。“有很多现有的技术专门设计,以防止用户重复密码,使用普通的口令,并且强制执行密码规则的。企业数量惊人的不使用这些基本的口令增强功能,”他说。
而且,拉尼尔指出,“密码管理器,当然,产生复杂的密码,而无需记住或把它们写在便条胶粘物的大惊小怪一个巨大的福音。这至少减少了一个人可以连载自己的密码选择的风险。当然不是万能的,但对于普通人来说,这是一个好主意。”
[相关:如何评价密码管理]
尽管如此,正如道尔指出,即使严格密码不能弥补一个人由熟练的攻击者欺骗。“很多时候,密码只是在网络钓鱼或社交工程攻击送人的,”他说。“我看到从SANS研究所最近的统计是对企业网络中的所有攻击95%是成功的鱼叉式网络钓鱼的结果。”
大家都同意,人性的弱点意味着这将是更好的超越密码。但是,正如麦克道尔指出,人的本质还要求,不管取代口令必须“,更容易比仅使用密码来使用。
“用户体验将会让关键是建立一个安全的密码更换系统是建立的易于使用到它的基础保障每一次险胜,”他说。
在此之前,拉尼尔说,机构应该在最低限度,而不是仅仅依靠密码。
“最起码,如果/当那个可怜的密码被盗取或猜测,双因素认证提高了攻击的吧,”他说。
这个故事,“定期更改密码使事情变得更糟”最初发表CSO 。