ç¯ å´Žæ„›â˜†å¯æ„›ã„オッãƒ'イåã
ほとんどすべての目的でインターネットを定期的に使用している人々の間でのマントラは、「アカウントを安全に保つために数ヶ月/週ごとにパスワードを変更する」というようなものです。情報を盗むことはあなたの個人情報へのアクセスをより困難にするはずです。しかし、連邦取引委員会の最高技術者、カーネギーメロン大学のローリークラナー教授は、この理論には反対しています。
先週のラスベガスでのBSidesセキュリティ会議で、Cranorは彼女の論点について詳しく述べました。それはFTC自身によって出されたアドバイスを見た後に生まれました。 「私はソーシャルメディアの人々に行き、彼らにそれを求めました」とCranorは説明しました。 「彼らは、「まあ、FTCでは60日ごとにパスワードを変更しているので、これは良いアドバイスになるはずです」と警告していました。
新たに変更されたパスワードの41%が以前のパスワードの変換に基づいてオフラインでクラックされたとLorrie Cranor @BSidesLVによる調査が述べています
- Claus Cramon Houmann(@ClausHoumann)2016年8月2日
職業のパスワード研究者であるCranorは、パスワードを変更することの危険性は、アカウントの保護のために複雑な組み合わせを考え出すときにパスワードを変更することが脆弱性を残すことが多いという事実の中にあることが多いと述べました。ノースカロライナ大学チャペルヒル校でパターンの有効期限が10,000を超えるアカウントを調査した研究を引用すると、次のように述べられています。「UNCの研究者は、90日ごとにパスワードを変更する必要がある場合、パターンを使用する傾向があります。 Cranorは言った。 「彼らは彼らの古いパスワードを使い、彼らはそれをいくつかの小さな方法で変え、そして彼らは新しいパスワードを思い付くのです。」
さらに、研究者はパスワードのパターンを予測する方法を作成することができました - スクリプトがまさにそれをするように設計されることができるとき、普通ではない行動です。最終的に、このアルゴリズムは5回未満の試行でアカウントの17%をクラックしました。
Cranorの考え方は、最近はFTCで徐々に変化しています。 「政府の6つのパスワードのうち2つについて、パスワードを変更する必要がなくなったことを報告できてうれしい」と彼女は冗談を言います。