Är frekventa lösenordsändringar verkligen bra för din säkerhet?

Annons

Hur ofta gör du Ändra ditt lösenord Hur du ändrar ditt lösenord på alla stationära eller mobila enheterDitt lösenord är det enda som står mellan en främling och dina mest privata uppgifter. När var förra gången du uppdaterade ditt enhetslösenord? Vi visar hur du ändrar det just nu. Läs mer ? Vi slår vad om att vissa av dina uppgifter är mer än ett decennium gamla.

Faktum är att de flesta av oss bara ändrar våra lösenord när en situation tvingar oss att göra det. Vanligtvis är det antingen när du inte kommer ihåg det, eller en app eller ditt företag tvingar dig att skapa en ny med några månader.

Så, vilken metod är rätt? Ska du lämna ditt lösenord orört i flera år, eller ska du ändra det så ofta som årstiderna? Här är för- och nackdelarna med att ändra ditt lösenord för ofta.

Det gör ditt konto (en liten bit) säkrare

Den allmänt mottagna visdomen är att du ofta ändrar ditt lösenord gör ditt konto säkrare Är ditt Yahoo Mail-konto säkert? 10 sätt att hålla sig säkraOm du är en Yahoo-användare bör du se till att ditt konto är säkert. Här är 10 objekt att kontrollera för att säkerställa att ditt kontosäkerhet är i ordning.

Läs mer .

Argumentet antyder att om du är det oavsiktligt offer för en läcka Kontrollera nu och se om dina lösenord någonsin har läckt utDet här fina verktyget låter dig kontrollera alla lösenord för att se om det någonsin varit en del av en dataläckage. Läs mer , om du ändrar ditt lösenord regelbundet kan du snabbt avvisa de detaljer som en skulle hacker ha på filen.

På samma sätt, om någon får tillgång till ditt lösenord utan din vetskap, förhindrar det att personen snopar på dig under en längre period. Det är därför IT-chefer runt om i landet är så besatta av fistande tvångsinställningar på dig varje par veckor.

Är argumentet giltigt? Ja, men det är inte så tydligt som du kan förvänta dig. Även med antagandet att dina nya lösenord är lika starka som de tidigare (mer om det inom kort) har praxis minimal nytta.

I en Carleton University uppsatsförklarade forskarna att angripare som har tillgång till en hashad lösenordsfil kan utföra attacker medan de är offline. De kan därför testa ett stort antal lösenord på kort tid. Lösenord med svaga och medelhöga styrka riskerar.

Uppsatsen fortsätter med att matematiskt bevisa att även ofta starka lösenordsändringar bara hindrade attackerna ett försumbart belopp. Fördelen är nästan säkert inte värt besväret det ger användarna.

Istället rekommenderar papperet att systemadministratörer ska använda långsamma hashfunktioner som bcrypt. Användare skulle inte vara besvärliga och processen gör det svårare för angripare att gissa ett stort antal lösenord snabbt.

Ditt nya lösenord är troligtvis osäkert

Jag är säker på att du inte behöver oss för att berätta hur man skapar ett starkt lösenord, men informationen är alltid värt att upprepa:

• Ditt lösenord bör använda en blandning av bokstäver och siffror.
• Det bör använda vissa stora och små bokstäver.
• Helst bör det innehålla specialtecken.
• Det bör vara mer än 12 tecken långt.

Dessa fyra punkter är lättare sagt än gjort. Att skapa lösenord som uppfyller alla krav - och sedan komma ihåg dem - tar mycket mental energi.

Så, vad händer när människor ändrar sina referenser för ofta? Kort sagt blir de lata.

Jag fick slut på lösenordsidéer så jag var tvungen att byta jobb.

- Busty Rusty (@RaylaRimpson) 30 januari 2018

Återigen är det ett vetenskapligt bevisat fenomen. 2010 släppte forskare vid University of North Carolina ett papper med titeln "Säkerheten för modernt lösenord förfaller: en algoritmisk ram och empirisk analys”. I den studerade de lösenordshistorier från avslutade konton vid universitetet.

Studien tittade på mer än 10 000 gamla konton och 51 141 lösenord. Forskarna utförde en offline-hashattack och sprickade i slutändan 60 procent av uppgifterna. Från 60 procent var 7 752 lösenord inte det slutliga lösenordet som användes på kontot.

De använde sedan datauppsättningen för att se om de kunde extrapolera andra lösenord kopplade till kontot. Resultaten var fantastiska. I 17 procent av fallen kan nästa lösenord som används på kontot gissas på under fem sekunder.

Men varför? Studien drog slutsatsen att människor tenderade att göra mycket små ändringar när de ofta bytte lösenord. Till exempel, Sausage123 kan komma att bli $ ausage123, hellocheese! skulle bli hellocheese !!, och så vidare.

När ska du ändra ditt lösenord?

I början skämtade jag att du antagligen har några lösenord som närmar sig deras tioårsdag. Men är det ett skämt?

De bevis som vi har tittat på hittills tycks antyda att länge lösenord kan vara bra. Vad är sanningen? Du behöver bara lite sunt förnuft.

Naturligtvis, om du misstänker någon har åtkomst till ditt konto Hur man kontrollerar om någon annan har åtkomst till ditt Facebook-kontoDet är både olyckligt och oroande om någon har tillgång till ditt Facebook-konto utan din vetskap. Så här vet du om du har blivit överträtt. Läs mer utan ditt tillstånd bör du ändra ditt lösenord. Om du tror att någon tittade på när du skrev in dina online-bankkoder bör du ändra ditt lösenord. Om du var tvungen att "låna" ditt lösenord till någon, bör du ändra det.

Och om du tror att du av misstag har blivit den offer för en phishing-bedrägeri Var inte offer för dessa vanliga nätfiskeattacker Läs mer , bör du ändra ditt lösenord.

I alla fall måste du se till att ditt nya lösenord inte liknar det gamla. Använd inte samma kärnord. Placera inte samma specialtecken i samma positioner. Och prova inte något som att skriva ditt gamla lösenord bakåt.

Och kom ihåg att du också bör ändra ditt lösenord för alla andra konton med liknande referenser. Till exempel, om ditt Facebook-lösenord är flowerpot1 och ditt Twitter-lösenord är 1flowerpot, bör du ändra dem båda.

Om du inte är säker, följ bara de fyra grundläggande riktlinjerna som vi diskuterade tidigare i artikeln när du skapar ett nytt lösenord.

Vad sägs om tvingade lösenord återställs?

Men hur är det med återställningar av tvingat lösenord? Är det en bra idé för en app eller din arbetsgivare att tvinga ett nytt lösenord åt dig? Antagligen inte.

År 2009, National Institute of Standards and Technology sade regelbundna lösenordsförändringar var "gynnsamma för att minska effekten av vissa lösenordskompromisser," men var "ineffektiva för andra." Och naturligtvis lämnades användare ofta frustrerade av de tvingade förändra. Företag måste nå en kompromiss mellan säkerhet och användbarhet.

Poängen

Argumenten kan låta komplexa, men de är lätta att sammanfatta.

• Användare initierade ofta lösenordsändringar kan göra användarna marginellt säkrare, förutsatt att det nya lösenordet är mycket robust.
• Tvingade frekventa lösenordsändringar har ofta en negativ effekt, där användare väljer mindre säkra referenser.

Nu vill vi höra dina tankar om debatten. Är du säker på att du kan välja ett säkert lösenord regelbundet? Eller är du glad att använda ett decennium-gammalt lösenord på alla dina konton?

Kom ihåg att om du ofta skapar komplicerade nya lösenord använder du en lösenordshanteringsapp som LastPass. Du behöver inte komma ihåg lösenorden själv.