Я ищу исследования по эффекту частых изменений пароля, глядя на преимущества/проблемы безопасности из-за обязательного смены пароля каждые один или два месяца или аналогичных.
Кто-нибудь знает?
Я ищу исследования по эффекту частых изменений пароля, глядя на преимущества/проблемы безопасности из-за обязательного смены пароля каждые один или два месяца или аналогичных.
Кто-нибудь знает?
Здесь - статья исследования политики паролей. В нем упоминается частота, с которой люди должны менять свои пароли и некоторые другие действительно интересные вещи. Ниже приведен фрагмент.
Некоторые эксперты говорят, что периодические изменения пароля если злоумышленник перехватывает пароль: как только пароль будет изменен, злоумышленник заблокирован. Это предполагает, что восстановленный пароль не даст злоумышленнику любые намеки на жертву пароль. Фактически, периодический пароль изменения, как правило, побуждают людей создавать последовательности паролей, например secret01a, secret01b, secret01c и и так далее.
Это позволяет пользователям легко выбирать и помните новый пароль, когда старый один истекает. Такие последовательности обычно довольно очевидный для злоумышленника, так что любой из погибших пароли, вероятно, злоумышленник с достаточно маленьким количество паролей для угадывания.
TechReport Укрепляет ли веб-пароли все что угодно? заявляет, что" меняется пароль часто помогает только в том случае, если злоумышленник очень медленно использует собранные учетные данные. "
Я не знаю каких-либо исследований, которые существуют, но чтобы вы подумали обо всех сторонах проблемы, здесь вы найдете документ против принудительного изменения пароля:
Управление сетевой безопасностью - Часть 10: Изменение пароля
И учебный сайт для учебного заведения, который делает хотя бы несколько убедительный случай (написанный доктором философии) за то, что он заставил пользователей часто менять свои пароли. Это основные аргументы, которые сайт дает FOR для принудительного изменения пароля после ссылки на страницу:
"Зачем мне менять свой! @$% # * Пароль?"
Что касается "исследований", они могут не сокращать его, но, по-видимому, представляют собой, по крайней мере, хорошее введение в обе стороны аргумента.
По моему мнению, заставляя людей слишком часто менять свой пароль, снижает безопасность, потому что единственный способ, которым люди могут запомнить столько паролей, - это начать использовать глупые пароли, такие как Computer123 или January1, а затем февраль и т.д....
Лучшая идея - уменьшить частоту, а затем обучить людей созданию надежных паролей.
Это не исследование, но Джин Спаффорд опубликовал короткую статью, в которой обсуждаются причины, по которым политика частых изменений пароля не имеет большого смысла:
В то время как не совсем исследование, которое вы ищете, оно тесно связано и может подтолкнуть вас в правильном направлении. Я видел несколько исследований по конкретной теме, которую вы ищете, но пока не можете найти ссылки.
Совет Microsoft Security Guru: "Запишите свой пароль"
Существует множество плохих вещей, которые могут произойти с паролями, и вы хотите уменьшить как можно больше, не создавая новых проблем. Политика "изменить свой пароль" предназначена для смягчения ущерба с течением времени, который может быть вызван, если ваш пароль выйдет из игры, ограничив окно возможностей для злоумышленника. Хотя не все меры безопасности, это может иногда иметь огромное значение. Как консультант по вопросам безопасности, я лично сделал (только в этом году) много десятков тысяч долларов, очищающих беспорядки, которых можно было бы полностью избежать, если бы компания изменила важные пароли не реже одного раза в год.
Опасность частое изменение пароля заключается в том, что вы будете выбирать плохие пароли. Это делает ситуацию еще хуже, потому что теперь она позволяет атакам, которые в противном случае были бы невозможны.
Новая мудрость, как упоминается в связанной статье, является выбором (или назначением) случайного пароля, возможно, измененного на регулярной основе, и записывайте его где-нибудь, где вы держите сейф. Очевидно, вы не оставляете его на своем компьютере больше, чем оставляете ключи у своего автомобиля. Обоснование заключается в том, что люди уже обучены, чтобы знать, как обеспечить "вещи", но, естественно, бедные в получении информации. Поэтому, если вы включите пароль в вещь, которую вы можете удерживать, вы можете просто защитить ее так же, как вы защищаете свои ключи. На практике это работает очень хорошо, однако, как правило, ИТ-подразделения нервничают.
Пароли должны быть изменены, если вы считаете, что ваш пароль, возможно, был или может быть вскоре подвергнут риску. В противном случае, как правило, это бесполезная трата времени и на самом деле опасность для безопасности. См. Эту ссылку:
http://old.news.yahoo.com/s/ytech_wguy/20100413/tc_ytech_wguy/ytech_wguy_tc1590
Обновление, август 2016 года:
Эта статья: "Частые изменения пароля являются врагом безопасности, говорит технолог FTC" http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/?imm_mid=0e6947&cmp=em-webops-na-na-newsltr_security_20160809 на этой неделе появляется повсюду, включая блог Брюса Шейера, Информационный бюллетень O'Reilly Security, ArsTechnica, Slate и NewsCombinator, и может быть именно то, что вы просили в начале этого года.
Это ссылки: https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
TL; Резюме DR: прекратить истечение срока действия/изменение паролей. Это действительно плохая практика безопасности.
Это отличная статья, опубликованная в публикации ACM (с 2010 года), в которой обсуждается анализ затрат и выгод для безопасности и ожиданий пользователей.
http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf
Он утверждает, что изменение паролей, безусловно, является хорошим советом, но это может не стоить затрат для пользователей, так как есть настолько мало доказательств, что они поддерживают идею о том, что мы более безопасны с более частыми изменениями пароля. Это действительно хорошая статья.