不少网站以及大型机构都会建议用户和员工定期更改密码,以确保系统与资料的安全免受骇客侵袭。不过“定期更换密码”这一资安措施是否真的有效?近日美国联盟贸易委员会首席技术专家 Lorrie Cranor 在出席 PasswordsCon 2016 论坛时就指,强制用户定期更换密码并不如想像般安全,反而有可能适得其反。
经常换密码反而不安全?
“请定期更换密码,避免重复使用旧密码。”的提醒相信大家在不少网站的保护账号安全建议中看过,不知你又有没有听取建议养成定期更换密码的习惯?美国联邦贸易委员会(Federal Trade Commission,FTC)首席技术专家 Lorrie Cranor 近日在出席于拉斯维加斯举办的 PasswordsCon 2016 时就分享了她的看法。
Lorrie Cranor 指不少人认为定期更换密码有助提升账号安全,包括她目前任职的 FTC,就曾于年初在官方 Twitter 上提醒民众鼓励身边的人定期更换密码,让密码更长、复杂和独特。究其原因,是相信能让隐藏在组织机构网络内未被发现的攻击者,无法再透过旧密码存取系统,但有研究就显示这样反而会让人们倾向使用较弱且易被猜到的密码。
Lorrie 引述一项 2010 年来自北卡罗来纳大学教堂山分校的研究,研究以该校 10,000 个停用账户及其密码资料做分析,这些账号均来自大学员工、学生及设施且被要求每 3 个月更换一次密码,因此研究资料中包括账号所更换过的多个密码,有助了解和分析更换定期密码的规定对账号资安程度有何影响。
研究数据显示,当用户被要求更改密码时会有共通的习惯,就是倾向对之前的密码稍做修改。例如一个类似“tarheels#1”格式的密码,通常第一次会更改为 “tArheels#1”,接下来就会改做“taRheels#1”如此类推;又或者将“tarheels#1”改成“tarheels#11”、“tarheels#111”,甚至是 “tarheels#2”、“tarheels#3”等。
Lorrie 表示,UNC 的研究人员亦指出如果用户被要求每 90 天更换一次密码,他们会倾向使用有规律的变形密码:即在旧密码的基础上,根据特定规则稍做修改,就生出新的密码。然而,这种方法虽然方便用户记忆,但亦让密码容易被猜到,尤其是在骇客已掌握旧密码的情况下。
此外,UNC 的研究人员亦利用研究发现的密码变形规律开发出一套算法,能准确预测用户会如何改变密码,并进行模拟破解和网络攻击,发现有 17% 的密码可于 5 次尝试内被算法破解。另外研究人员也进行离线攻击测试,利用高效能电脑做运算分析,41% 密码更在 3 秒内便可成功破解。
安全专家 Bruce Schneier 也同意定期更换密码并非好的安全建议,并认为这反而会鼓励用户使用弱密码。同时他在其个人网志中给出安全密码的建议。
- Frequent password changes are the enemy of security, FTC technologist says
- One of the oldest rules about passwords is totally wrong
(本文由 Unwire Pro 授权转载;首图来源:Flickr/Automobile Italia CC BY 2.0)
