不少網站以及大型機構都會建議用戶和員工定期更改密碼,以確保系統與資料的安全免受黑客侵襲。不過「定期更換密碼」這一保安措施是否真的有效?近日美國聯盟貿易委員會首席技術專家 Lorrie Cranor 在出席 PasswordsCon 2016 論壇時就指,強制用戶定期更換密碼並不如想像般安全,反而有可能適得其反。
經常轉密碼反而不安全?
「請定期更換密碼,避免重複使用舊密碼。」的提醒相信大家在不少網站的保護帳號安全建議中看過,不知你又有沒有聽取建議養成定期更換密碼的習慣?美國聯邦貿易委員會 (Federal Trade Commission, FTC) 首席技術專家 Lorrie Cranor 近日在出席於拉斯維加斯舉辦的 PasswordsCon 2016 時就分享了她的看法。
Lorrie Cranor 指不少人認為定期更換密碼有助提升帳號安全,包括她目前任職的 FTC,就曾於年初在官方 Twitter 上提醒民眾鼓勵身邊的人定期更換密碼,令密碼更長、複雜和獨特。究其原因,是相信能令隱藏在組織機構網絡內未被發現的攻擊者無法再透過舊密碼存取系統,但有研究就顯示這樣反而會令人們傾向使用較弱且易被猜到的密碼。
Lorrie 引述一項 2010 年來自北卡羅萊納大學教堂山分校的研究,研究以該校 10,000 停用帳戶及其密碼資料作分析,這些帳號均來自大學員工、學生及設施且被要求每三個月更換一次密碼,因此研究資料中包括帳號所更換過的多個密碼,有助了解和分析更換定期密碼的規定對帳號保安程度有何影響。
研究數據顯示,當用戶被要求更改密碼時會有共通的習慣,就是傾向對之前的密碼稍作修改。例如一個類似「tarheels#1」格式的密碼,通常第一次會更改為 「tArheels#1」,接下來就會改作「taRheels#1」如此類推;又或者將「tarheels#1」改成「tarheels#11」、「tarheels#111」,甚至是 「tarheels#2」、「tarheels#3」等。
Lorrie 表示,UNC 的研究人員亦指出如果用戶被要求每 90 天更換一次密碼,他們會傾向使用有規律的變型密碼:即在舊密碼的基礎上,根據特定規則稍作修改,就生出新的密碼。然而,這種方法雖然方便用戶記憶,但亦令密碼容易被猜到,尤其是在黑客已掌握舊密碼的情況下。
此外,UNC 的研究人員亦利用研究發現的密碼變型規律開發出一套演算法,能準確預測用戶會如何改變密碼,並進行模擬破解和網絡攻擊,發現有 17% 的密碼可於 5 次嘗試內被演算法破解。另外研究人員亦進行離線攻擊測試,利用高效能電腦作運算分析,41% 密碼更在 3 秒內便可成功破解。
安全專家 Bruce Schneier 亦同意定期更換密碼並非好的安全建議,並認為這反而會鼓勵用戶使用弱密碼。同時他亦在其個人網誌中給出安全密碼的建議。
Source: ArsTechnica Businessinsider
