Есть ли какие-либо исследования для или против частых изменений пароля?

Я ищу исследования по эффекту частых изменений пароля, глядя на преимущества/проблемы безопасности из-за обязательного смены пароля каждые один или два месяца или аналогичных.

Кто-нибудь знает?

Ответ 1

Здесь - статья исследования политики паролей. В нем упоминается частота, с которой люди должны менять свои пароли и некоторые другие действительно интересные вещи. Ниже приведен фрагмент.

Некоторые эксперты говорят, что периодические изменения пароля если злоумышленник перехватывает пароль: как только пароль будет изменен, злоумышленник заблокирован. Это предполагает, что восстановленный пароль не даст злоумышленнику любые намеки на жертву пароль. Фактически, периодический пароль изменения, как правило, побуждают людей создавать последовательности паролей, например secret01a, secret01b, secret01c и и так далее.

Это позволяет пользователям легко выбирать и помните новый пароль, когда старый один истекает. Такие последовательности обычно довольно очевидный для злоумышленника, так что любой из погибших пароли, вероятно, злоумышленник с достаточно маленьким количество паролей для угадывания.

Ответ 2

TechReport Укрепляет ли веб-пароли все что угодно? заявляет, что" меняется пароль часто помогает только в том случае, если злоумышленник очень медленно использует собранные учетные данные. "

Ответ 3

Я не знаю каких-либо исследований, которые существуют, но чтобы вы подумали обо всех сторонах проблемы, здесь вы найдете документ против принудительного изменения пароля:

Управление сетевой безопасностью - Часть 10: Изменение пароля

И учебный сайт для учебного заведения, который делает хотя бы несколько убедительный случай (написанный доктором философии) за то, что он заставил пользователей часто менять свои пароли. Это основные аргументы, которые сайт дает FOR для принудительного изменения пароля после ссылки на страницу:

"Зачем мне менять свой! @$% # * Пароль?"

Если вам необходимо изменить свой пароль не реже одного раза в шесть месяцев, кто-то, кто взломал ваш пароль и имеет доступ к вашей учетной записи без вашего ведома немедленно отключите пароль изменен. Некоторые могут подумать это необычный сценарий, но люди обычно продают старый компьютер и забыть стирать пароли, они могут быть сохранены для набора номера или для доступ к их электронной почте.
Если вы измените свой пароль как минимум каждые шесть месяцев, хакеры, которые могут быть попытка взломать ваш пароль, используя грубая сила (как описано выше) в основном нужно начинать, потому что ваш пароль теперь может быть изменились на некоторые уже опробован и отклонен.
Принудительное изменение пароля препятствует пользователям использовать один и тот же пароль для нескольких учетных записей. (С помощью тот же пароль для нескольких у вас плохое пароль защищен так же безопасно, как и наименее безопасный доступ к системам этот общий пароль, и если ваш учетная запись становится скомпрометированной, плохой парень вдруг получил доступ не только к одна учетная запись, но несколько счетов, увеличивая объем проблема).

Что касается "исследований", они могут не сокращать его, но, по-видимому, представляют собой, по крайней мере, хорошее введение в обе стороны аргумента.

Ответ 4

По моему мнению, заставляя людей слишком часто менять свой пароль, снижает безопасность, потому что единственный способ, которым люди могут запомнить столько паролей, - это начать использовать глупые пароли, такие как Computer123 или January1, а затем февраль и т.д....

Лучшая идея - уменьшить частоту, а затем обучить людей созданию надежных паролей.

Ответ 5

Это не исследование, но Джин Спаффорд опубликовал короткую статью, в которой обсуждаются причины, по которым политика частых изменений пароля не имеет большого смысла:

http://www.cerias.purdue.edu/site/blog/post/password-change-myths/

Ответ 6

В то время как не совсем исследование, которое вы ищете, оно тесно связано и может подтолкнуть вас в правильном направлении. Я видел несколько исследований по конкретной теме, которую вы ищете, но пока не можете найти ссылки.

Совет Microsoft Security Guru: "Запишите свой пароль"

Существует множество плохих вещей, которые могут произойти с паролями, и вы хотите уменьшить как можно больше, не создавая новых проблем. Политика "изменить свой пароль" предназначена для смягчения ущерба с течением времени, который может быть вызван, если ваш пароль выйдет из игры, ограничив окно возможностей для злоумышленника. Хотя не все меры безопасности, это может иногда иметь огромное значение. Как консультант по вопросам безопасности, я лично сделал (только в этом году) много десятков тысяч долларов, очищающих беспорядки, которых можно было бы полностью избежать, если бы компания изменила важные пароли не реже одного раза в год.

Опасность частое изменение пароля заключается в том, что вы будете выбирать плохие пароли. Это делает ситуацию еще хуже, потому что теперь она позволяет атакам, которые в противном случае были бы невозможны.

Новая мудрость, как упоминается в связанной статье, является выбором (или назначением) случайного пароля, возможно, измененного на регулярной основе, и записывайте его где-нибудь, где вы держите сейф. Очевидно, вы не оставляете его на своем компьютере больше, чем оставляете ключи у своего автомобиля. Обоснование заключается в том, что люди уже обучены, чтобы знать, как обеспечить "вещи", но, естественно, бедные в получении информации. Поэтому, если вы включите пароль в вещь, которую вы можете удерживать, вы можете просто защитить ее так же, как вы защищаете свои ключи. На практике это работает очень хорошо, однако, как правило, ИТ-подразделения нервничают.

Ответ 7

Пароли должны быть изменены, если вы считаете, что ваш пароль, возможно, был или может быть вскоре подвергнут риску. В противном случае, как правило, это бесполезная трата времени и на самом деле опасность для безопасности. См. Эту ссылку:

http://old.news.yahoo.com/s/ytech_wguy/20100413/tc_ytech_wguy/ytech_wguy_tc1590

Ответ 8

Обновление, август 2016 года:

Эта статья: "Частые изменения пароля являются врагом безопасности, говорит технолог FTC" http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/?imm_mid=0e6947&cmp=em-webops-na-na-newsltr_security_20160809 на этой неделе появляется повсюду, включая блог Брюса Шейера, Информационный бюллетень O'Reilly Security, ArsTechnica, Slate и NewsCombinator, и может быть именно то, что вы просили в начале этого года.

Это ссылки: https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf

TL; Резюме DR: прекратить истечение срока действия/изменение паролей. Это действительно плохая практика безопасности.

Ответ 9

Это отличная статья, опубликованная в публикации ACM (с 2010 года), в которой обсуждается анализ затрат и выгод для безопасности и ожиданий пользователей.

http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf

Он утверждает, что изменение паролей, безусловно, является хорошим советом, но это может не стоить затрат для пользователей, так как есть настолько мало доказательств, что они поддерживают идею о том, что мы более безопасны с более частыми изменениями пароля. Это действительно хорошая статья.