Esistono studi a favore o contro modifiche frequenti della password?

Question

Sto cercando degli studi sull'effetto di sicurezza delle frequenti modifiche della password, considerando i vantaggi/problemi di sicurezza derivanti da una modifica obbligatoria della password ogni uno o due mesi o simili.

Qualcuno ne sa?

Answer 1

Here è un articolo di ricerca sulla politica delle password. Menziona la frequenza con cui le persone dovrebbero cambiare le loro password e alcune altre cose davvero interessanti. Di seguito è riportato un estratto.

Alcuni esperti dicono che periodici modifiche delle password ridurranno i danni se un utente malintenzionato intercetta una password : una volta che la password è cambiata, l'attaccante viene bloccato. Ciò presuppone che la password ripristinata non fornisca all'utente malintenzionato eventuali suggerimenti sulla password corrente della vittima . Infatti, le modifiche periodiche della password tendono a incoraggiare le persone a sequenze di password di progettazione , come secret01a, secret01b, secret01c e così via.

Ciò consente agli utenti di scegliere facilmente e ricordare una nuova password quando il vecchio scade. Tali sequenze sono in genere piuttosto ovvie per un utente malintenzionato, quindi una qualsiasi delle vecchie password della vittima probabilmente fornirà l'attacco con un numero ragionevolmente piccolo di password da indovinare.

Answer 2

Non so di studi che esistono, ma per farti pensare entrambi i lati della questione, ecco una carta contro forzatura modifiche delle password:

Managing network security — Part 10: Change your password

e un sito didattico per un istituto scolastico che rende almeno un caso un po 'convincente (scritto da un dottorato di ricerca) per costringere gli utenti a cambiare frequentemente le loro password. Questi sono i principali argomenti del sito dà per forzare le modifiche delle password, dopo il link alla pagina:

"Why Do I Have to Change My !@$%#* Password?"

• Se ti viene richiesto di modificare la la password almeno ogni sei mesi, qualcuno che è ha hacked la tua password e ha acceduto al tuo account senza la tua conoscenza sarà immediatamente essere escluso una volta che la tua password viene modificata. Alcuni potrebbero pensare che questo sia uno scenario insolito, ma le persone vendono comunemente un vecchio computer e dimenticano di cancellare le password che possono essere salvate per il accedendo al proprio indirizzo email o per .
• Se si modifica la password di almeno ogni sei mesi, gli hacker che possono essere cercando di rompere la tua password utilizzando forza bruta (come descritto sopra) fondamentalmente bisogno di ricominciare da capo, perché la password potrebbe ora essere stato cambiato a qualche schema hanno già provato e rifiutato lo .
• Forzare una modifica della password anche scoraggia gli utenti dall'utilizzare la stessa password su più account. (Utilizzando la stessa password su più conti è un male perché allora il tuo password è solo sicuro come il meno sicuro dei sistemi di condivisione che password comune, e se il tuo account venga compromessa, il cattivo ragazzo ha improvvisamente accedere non solo a un account, ma a più account , ingrandendo l'ambito del problema ).

Per quanto riguarda la "ricerca", questi potrebbero non tagliarlo, ma sembrano essere almeno una buona introduzione ad entrambi i lati dell'argomento.

Answer 3

A mio parere, costringendo le persone a cambiare la loro password troppo spesso, riduce la sicurezza perché l'unico modo la gente può ricordare così tante password, è quello di iniziare a utilizzare le password stupide come Computer123 o January1 seguita da February1 ecc ...

Un'idea migliore è ridurre la frequenza e quindi addestrare le persone a creare password complesse.

Answer 4

Non è uno studio, ma Gene Spafford ha pubblicato un breve articolo che discute i motivi per cui una politica di frequenti cambi di password non ha molto senso:

• http://www.cerias.purdue.edu/site/blog/post/password-change-myths/

Answer 5

Il TechReport Do Strong Web Passwords Accomplish Anything? afferma "cambiando la password spesso aiuta solo se l'aggressore è estremamente lento a sfruttare le credenziali raccolte".

Answer 6

Mentre non esattamente lo studio che stai cercando, è strettamente correlato e potrebbe spingerti nella giusta direzione. Ho visto alcuni studi sull'argomento specifico che stai cercando, ma non riesco ancora a trovare i riferimenti.

Microsoft Security Guru advice: "Write down your password"

ci sono un certo numero di cose cattive che possono accadere con le parole d'accesso, e vogliono ridurre il più possibile, senza creare nuovi problemi. La politica "cambia la tua password" è lì per mitigare il danno nel tempo che potrebbe essere causato dalla tua password, limitando la finestra di opportunità per un utente malintenzionato. Anche se non è la fine di tutte le misure di sicurezza, a volte può fare una grande differenza. Come consulente per la sicurezza, ho personalmente fatto (solo quest'anno) molte decine di migliaia di dollari per ripulire i pasticci che avrebbero potuto essere evitati completamente se la compagnia avesse cambiato le password importanti almeno una volta l'anno.

Il pericolo di cambiare la password di frequente è che si selezionano password scadenti. Ciò rende la situazione ancora peggiore, perché ora consente attacchi che altrimenti non sarebbero stati possibili.

La nuova saggezza, come menzionato nell'articolo collegato, è prendere (o essere assegnata) una password casuale, eventualmente modificata periodicamente, e scriverla da qualche parte che si tiene al sicuro. Ovviamente non lo lasci con il tuo computer più di quanto non lasceresti le chiavi con la tua auto. La giustificazione è che le persone sono già addestrate a sapere come proteggere "le cose" ma sono naturalmente povere nel garantire informazioni. Quindi se trasformi la password in una cosa che puoi tenere, puoi semplicemente proteggerla nello stesso modo in cui assicuri le tue chiavi. In pratica, funziona molto bene, tuttavia tende a rendere nervosi i reparti IT.

Answer 7

Le password devono essere modificate se si ritiene che la password potrebbe essere stata o potrebbe essere presto compromessa. Altrimenti, di solito è una inutile perdita di tempo, e in realtà un pericolo per la sicurezza. Vedere questo link:

http://old.news.yahoo.com/s/ytech_wguy/20100413/tc_ytech_wguy/ytech_wguy_tc1590

Answer 8

aggiornamento, Agosto 2016:

questo articolo: "le modifiche delle password frequenti sono il nemico della sicurezza, FTC tecnologo dice" http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/?imm_mid=0e6947&cmp=em-webops-na-na-newsltr_security_20160809 ha mostrato un po 'ovunque questa settimana, tra cui Il blog di Bruce Scheier, la Newsletter sulla sicurezza di O'Reilly, ArsTechnica, Slate e NewsCombinator, e potrebbe essere esattamente quello che avevi chiesto all'inizio di quest'anno.

Si fa riferimento a: https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf

TL; DR sintesi: Stop scadenza/modifica delle password. È una pratica di sicurezza davvero pessima.

Answer 9

Questo è un eccellente documento pubblicato in una pubblicazione ACM (a partire dal 2010) che tratta dell'analisi costi-benefici della sicurezza e delle aspettative degli utenti.

http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf

Lo fa rendere l'affermazione che la modifica delle password è sicuramente un buon consiglio, ma non può valere la pena il costo per gli utenti dal momento che c'è così poche prove per sostenere l'idea che noi siamo più al sicuro con più frequenti modifiche della password. È davvero un buon articolo.