Есть ли какие-либо исследования по поводу или против частых изменений пароля?

18

Я ищу исследования по эффекту частых изменений пароля, глядя на преимущества / проблемы безопасности из-за обязательного смены пароля каждые один или два месяца или аналогичных.

Кто-нибудь знает?     

задан henriksen 20.04.2009 в 09:57
источник

9 ответов

8

Здесь - статья исследования политики паролей. В нем упоминается частота, с которой люди должны менять свои пароли и некоторые другие действительно интересные вещи. Ниже приведен фрагмент.

  

Некоторые эксперты говорят, что периодические   изменения пароля   если злоумышленник перехватывает   пароль: как только пароль будет   изменен, злоумышленник заблокирован.   Это предполагает, что восстановленный   пароль не даст злоумышленнику   любые намеки на текущий   пароль. Фактически, периодический пароль   изменения, как правило, побуждают людей   создавать последовательности паролей, например   secret01a, secret01b, secret01c и   и так далее.

     

Это позволяет пользователям легко выбирать и   помните новый пароль, когда старый   один истекает. Такие последовательности   обычно довольно очевидный для злоумышленника,   так что любой из старых   пароли, вероятно,   злоумышленник с достаточно маленьким   количество паролей для угадывания.

    
ответ дан Sam152 20.04.2009 в 10:11
источник
  • Спасибо, только то, что я искал :) –  henriksen 23.04.2009 в 00:05
5

TechReport Укрепляет ли веб-пароли что-либо? утверждает, что «изменение пароль часто помогает только в том случае, если злоумышленник очень медленно использует собранные учетные данные. "

    
ответ дан Gumbo 20.04.2009 в 10:29
источник
  • Хорошая точка. Это говорит о том, что высокое качество паролей имеет лучший эффект, чем высокая частота обновлений. –  Guffa 20.04.2009 в 11:06
  • Это тоже хороший момент. –  henriksen 22.04.2009 в 23:59
4

По моему мнению, заставляя людей слишком часто менять свой пароль, снижает безопасность, потому что единственный способ, которым люди могут запомнить столько паролей, - это начать использовать глупые пароли, такие как Computer123 или January1, а затем февраль и т. д. ...

Лучшая идея - уменьшить частоту, а затем обучить людей созданию надежных паролей.

    
ответ дан Gineer 20.04.2009 в 10:12
источник
4

В то время как точно исследование, которое вы ищете, оно тесно связано и может подтолкнуть вас в правильном направлении. Я видел несколько исследований по конкретной теме, которую вы ищете, но пока не можете найти ссылки.

Совет по безопасности Microsoft: «Запишите свой пароль "

Существует множество плохих вещей, которые могут произойти с паролями, и вы хотите уменьшить как можно больше, не создавая новых проблем. Политика «изменить свой пароль» предназначена для смягчения ущерба с течением времени, который может быть вызван, если ваш пароль выйдет из игры, ограничив окно возможностей для злоумышленника. Хотя не все меры безопасности, это может иногда иметь огромное значение. Как консультант по вопросам безопасности, я лично сделал (только в этом году) много десятков тысяч долларов, очищающих беспорядки, которых можно было бы полностью избежать, если бы компания изменила важные пароли не реже одного раза в год.

Опасность частое изменение пароля заключается в том, что вы будете выбирать плохие пароли. Это делает ситуацию еще хуже, потому что теперь она позволяет атакам, которые в противном случае были бы невозможны.

Новая мудрость, как упоминается в связанной статье, является выбором (или назначением) случайного пароля, возможно, измененного на регулярной основе, и записывайте его где-нибудь, где вы держите сейф. Очевидно, вы не оставляете его на своем компьютере больше, чем оставляете ключи у своего автомобиля. Обоснование заключается в том, что люди уже обучены, чтобы знать, как обеспечить «вещи», но, естественно, бедные в получении информации. Поэтому, если вы включите пароль в вещь, которую вы можете удерживать, вы можете просто защитить ее так же, как вы защищаете свои ключи. На практике это работает очень хорошо, однако, как правило, ИТ-подразделения нервничают.

    
ответ дан tylerl 20.04.2009 в 10:36
источник
  • Интересная ссылка! Благодаря! Ежегодно меняя пароли, это одно, но с «частыми» я думал о ежемесячных и двухмесячных обязательных изменениях. –  henriksen 22.04.2009 в 23:58
3

Я не знаю каких-либо исследований, которые существуют, но чтобы вы подумали обо всех сторонах проблемы, вот бумага против форсирования изменений пароля:

Управление сетевой безопасностью - часть 10: изменение пароля

И учебный сайт для учебного заведения, который делает хотя бы несколько убедительный случай (написанный доктором философии) за то, что он заставил пользователей часто менять свои пароли. Это основные аргументы, которые сайт дает FOR для принудительного изменения пароля после ссылки на страницу:

«Зачем мне менять свой! @ $% # * пароль?»

  • Если вам необходимо изменить свой пароль не реже одного раза в шесть месяцев, кто-то взломал ваш пароль и имеет доступ к вашей учетной записи без вашего ведома немедленно отключите пароль изменен. Некоторые могут подумать это необычный сценарий, но люди обычно продают старый компьютер и забыть стирать пароли, они могут быть сохранены для набора номера или для доступ к их электронной почте.
  • Если вы измените свой пароль как минимум каждые шесть месяцев, хакеры, которые могут быть попытка взломать ваш пароль, используя грубая сила (как описано выше) в основном нужно начинать, потому что ваш пароль теперь может быть изменились на некоторые уже опробован и отклонен.
  • Принудительное изменение пароля препятствует пользователям использовать один и тот же пароль для нескольких учетных записей. (С помощью тот же пароль для нескольких у вас плохое пароль защищен так же безопасно, как и наименее безопасный доступ к системам этот общий пароль, и если ваш учетная запись становится скомпрометированной, плохой парень вдруг получил доступ не только к одна учетная запись, но несколько счетов, увеличивая объем проблема).

Что касается «исследований», они могут не сокращать его, но, по-видимому, представляют собой, по крайней мере, хорошее введение в обе стороны аргумента.

    
ответ дан Brett Bender 20.04.2009 в 10:11
источник
  • Аргументы не являются точками данных. Возьмите 90-дневные пароли ... Мне нужны эмпирические данные, в которых говорится, что смена пароля каждые 90 дней более безопасна, чем каждые 86 дней или каждые 113 дней или раз в шесть месяцев, я не хочу аргументов. Конечно, мир не часто кланяется моим прихотям ... –  infocyde 14.08.2013 в 22:22
3

Это не исследование, но Джин Спаффорд опубликовал короткую статью, в которой обсуждаются причины, по которым политика частых изменений пароля не имеет большого смысла:

ответ дан Michael Burr 20.04.2009 в 10:18
источник
3

Обновление, август 2016 года:

Эта статья: «Частые изменения пароля являются врагом безопасности, говорит технолог FTC» Ссылка появляется на этой неделе, в том числе блог Брюса Шейера, Информационный бюллетень безопасности О'Рейли, ArsTechnica, Slate и NewsCombinator, и может быть именно то, о чем вы просили в начале этого года.

Это ссылки: Ссылка

TL; Резюме DR: прекратить истечение срока действия / изменение паролей. Это очень плохая практика безопасности.

    
ответ дан Lorin Ricker 10.08.2016 в 00:06
источник
2

Пароли должны быть изменены, если вы считаете, что ваш пароль, возможно, был или может быть вскоре подвергнут риску. В противном случае, как правило, это бесполезная трата времени и на самом деле опасность для безопасности. См. Эту ссылку:

Ссылка

    
ответ дан Joe Schmo 06.01.2012 в 21:36
источник
0

Это отличная статья, опубликованная в публикации ACM (с 2010 года), в которой обсуждается анализ затрат и выгод для безопасности и ожиданий пользователей.

Ссылка

Он утверждает, что изменение паролей, безусловно, является хорошим советом, но это может не стоить затрат для пользователей, поскольку есть так мало доказательств, что мы поддерживаем идею о том, что мы более безопасны с более частыми изменениями пароля. Это действительно хорошая статья.

    
ответ дан Bobort 07.11.2016 в 16:01
источник