定期更改密码会使事情变得更糟 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

定期更改密码会使事情变得更糟

浏览次数:562日期:2019-07-10小编:沐鸣

欢迎访问沐鸣平台网址,数十年来,安全专家一直在说,人类的弱点可以胜过最好的技术。


显然,它也可以胜过传统智慧。


由于密码成为在线身份验证的主要方法,因此传统观点认为,每月左右更改密码会改善一个人或组织的安全性。


联邦贸易委员会(FTC)的首席技术专家Lorrie Cranor表示,今年早些时候,她在一篇博客文章中宣称,“是时候重新考虑强制性的密码更改了”。


她本月早些时候在拉斯维加斯举行的BSides安全会议上发表了主题演讲,并提出了同样的观点。


但这个消息并不新鲜 - 她已经讲了一段时间了。 Cranor在加入美国联邦贸易委员会之前曾是卡内基梅隆大学的计算机科学和工程与公共政策教授,两年多前就TED发表了演讲。


她认为频繁更改密码可能弊大于利。并不是因为新密码本身会使攻击者更容易,而是因为人性。


她引用的研究表明,“需要更改密码的用户经常选择较弱的密码,然后以可预测的方式更改密码,攻击者可以轻松猜出。”


她说,这是六年多前在北卡罗来纳大学教堂山分校进行的2009-2010研究中所展示的。研究人员使用以前学生,教职员工的10,000多个已解散帐户的密码,发现破解旧密码时更容易破解新密码,因为用户倾向于创建一个新密码,只需稍微调整旧密码即可。


这些调整包括将小写字母改为大写字母,用数字代替字母,例如“3”代表“e”,或者只是在前一个密码的末尾添加几个字母或数字。


Cranor说,研究人员发现,如果他们知道以前的密码,他们可以在不到五次的尝试中猜出新密码。一个也窃取了哈希密码文件的黑客将能够在三秒钟内猜出新的密码文件 - 那就是2009年的技术。


UNC的研究并不是唯一得出这一结论的研究。加拿大渥太华卡尔顿大学计算机科学学院的研究人员在2015年3月发表的一篇论文中得出结论认为,密码到期政策的安全优势是“相对较小,而且从整体成本的角度来看是有问题的”,同样的原因,UNC研究人员发现。


“(W)密码更改是强制性的,通常新密码在算法上与旧密码相关,允许在很少的猜测中找到许多密码,”他们写道。


美国国家标准与技术研究院(NIST)在2009年4月的一份出版物草案中(尽管它在去年四月被标记为“已退休”),称密码过期政策经常使用户感到沮丧,然后用户“倾向于选择弱密码和对许多帐户使用相同的几个密码。“


毫不奇怪,攻击者非常清楚这些漏洞。最新的Verizon数据泄露事件报告(DBIR)发现,63%的数据泄露涉及使用被盗,弱或默认密码。


Praetorian本月早些时候发布的一份报告发现,在网络杀戮链中排名前五的活动中,有四项与恶意软件无关,但由于内存用户密码较弱且内存中存在明文密码等漏洞,凭证被盗。


所有这些对于像FIDO联盟这样的组织来说似乎更具弹药,FIDO联盟自四年前成立以来就一直在努力消除密码。该联盟一直在推销两种无密码认证选项,希望这对用户和服务提供商都是不可抗拒的。


但即使人们越来越感兴趣并接受这些选择,FIDO执行董事Brett McDowell也承认密码使用会有“长尾”。


在长期过渡期间,他和其他人说,有多种方法可以提高安全性,而不是每隔几个月创建一个比以前更容易破解的新密码。


Cylance的研究主管Zach Lanier引用苹果的TouchID和谷歌的Project Abacus作为移动选项来断开用户的密码,但是密码显然“仍然存在,而且它们可能会持续一段时间。”只是它们对于人和企业来说是如此“标准”,并且已经存在了很长时间,以至于很难让它们完全消失。


他说,在此期间,组织可以通过结合员工培训和“积极测试他们的身份验证机制和审核用户密码 - 破解他们 - 无论是通过内部信息安全团队还是外部公司来提高他们的密码安全性。在我看来,它应该是两者,“他说。 “这可以让组织更好地了解从人员到技术的各个方面。”


他还补充道,用户可以通过“提供工具来启用(如果不是强制)用户来测试他们自己密码的强度。”


McDowell同意教育是“值得称赞的努力,特别是帮助用户避免成为网络钓鱼和/或社会工程攻击的受害者。”但他表示,“共享秘密”认证模式很容易受到太多形式的攻击 - 而不仅仅是社交工程 - 因此需要尽快消除它们。


MediaPro的安全,隐私和合规首席策略师Tom Pendergast表示,组织可以而且应该拥有更加严格的密码策略。他说:“目前的政策设定标准对于密码的复杂性来说太低了,并且不需要多因素身份验证,这被认为是最常用的解决方案。”


拉尼尔同意了。 “有一些非常糟糕的组织,网站或服务似乎无法通过1998年的身份验证,”他说。


“因为开发人员,数据库管理员和/或设计人员正在使用过时或弃用的机制,所以不允许使用某些字符或将密码长度限制在极低的范围内。”


彭德加斯特说他看到了同样的事情。 “有许多现有技术专门用于防止用户重复密码,使用通用密码和强制执行密码规则。许多公司都没有使用这些基本的密码增强功能,“他说。


而且,Lanier指出,“密码管理器当然是生成复杂密码的巨大福音,而不必担心必须记住它们或将它们写在Stickie笔记上。这至少降低了人们可能序列化密码选择的风险。当然不是灵丹妙药,但对普通人来说,这是一个好主意。“


尽管如此,正如麦克道尔所指出的那样,即使是严格的密码也无法弥补被熟练攻击者欺骗的人。 “很多时候,密码只是在网络钓鱼或社会工程攻击中被泄露出来,”他说。 “我看到SANS研究所最近的一项统计数据显示,95%的企业网络攻击都是成功进行鱼叉式网络钓鱼的结果。”


所有人都同意,人性的弱点意味着超越密码会更好。但是,正如McDowell指出的那样,人性也要求无论取代密码必须是什么,“比单独的密码更容易使用。


“用户体验每次都会赢得安全性,因此构建安全密码替换系统的关键是在其基础上构建易用性,”他说。


Lanier说,在那之前,组织至少应该不依赖密码。


“至少,如果/当这个糟糕的密码被破解或猜到,双因素身份验证会提高攻击者的标准,”他说。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有