不少網站以及大型機構都會建議用戶和員工定期更改密碼,以確保系統與資料的安全免受駭客侵襲。不過「定期更換密碼」這一資安措施是否真的有效?近日美國聯盟貿易委員會首席技術專家 Lorrie Cranor 在出席 PasswordsCon 2016 論壇時就指,強制用戶定期更換密碼並不如想像般安全,反而有可能適得其反。
經常換密碼反而不安全?
「請定期更換密碼,避免重複使用舊密碼。」的提醒相信大家在不少網站的保護帳號安全建議中看過,不知你又有沒有聽取建議養成定期更換密碼的習慣?美國聯邦貿易委員會(Federal Trade Commission,FTC)首席技術專家 Lorrie Cranor 近日在出席於拉斯維加斯舉辦的 PasswordsCon 2016 時就分享了她的看法。
Lorrie Cranor 指不少人認為定期更換密碼有助提升帳號安全,包括她目前任職的 FTC,就曾於年初在官方 Twitter 上提醒民眾鼓勵身邊的人定期更換密碼,讓密碼更長、複雜和獨特。究其原因,是相信能讓隱藏在組織機構網路內未被發現的攻擊者,無法再透過舊密碼存取系統,但有研究就顯示這樣反而會讓人們傾向使用較弱且易被猜到的密碼。
Lorrie 引述一項 2010 年來自北卡羅來納大學教堂山分校的研究,研究以該校 10,000 個停用帳戶及其密碼資料做分析,這些帳號均來自大學員工、學生及設施且被要求每 3 個月更換一次密碼,因此研究資料中包括帳號所更換過的多個密碼,有助了解和分析更換定期密碼的規定對帳號資安程度有何影響。
研究數據顯示,當用戶被要求更改密碼時會有共通的習慣,就是傾向對之前的密碼稍做修改。例如一個類似「tarheels#1」格式的密碼,通常第一次會更改為 「tArheels#1」,接下來就會改做「taRheels#1」如此類推;又或者將「tarheels#1」改成「tarheels#11」、「tarheels#111」,甚至是 「tarheels#2」、「tarheels#3」等。
Lorrie 表示,UNC 的研究人員亦指出如果用戶被要求每 90 天更換一次密碼,他們會傾向使用有規律的變形密碼:即在舊密碼的基礎上,根據特定規則稍做修改,就生出新的密碼。然而,這種方法雖然方便用戶記憶,但亦讓密碼容易被猜到,尤其是在駭客已掌握舊密碼的情況下。
此外,UNC 的研究人員亦利用研究發現的密碼變形規律開發出一套演算法,能準確預測用戶會如何改變密碼,並進行模擬破解和網路攻擊,發現有 17% 的密碼可於 5 次嘗試內被演算法破解。另外研究人員也進行離線攻擊測試,利用高效能電腦做運算分析,41% 密碼更在 3 秒內便可成功破解。
安全專家 Bruce Schneier 也同意定期更換密碼並非好的安全建議,並認為這反而會鼓勵用戶使用弱密碼。同時他在其個人網誌中給出安全密碼的建議。
留言列表