211service.com
Du har blivit vilseledd om vad som gör ett bra lösenord
Lösenordet måste innehålla stora och små bokstäver och minst ett numeriskt tecken. En vanlig utskällning från webbplatser eller programvara när du öppnar ett konto eller byter lösenord – och en som ny forskning tyder på är vilseledande.
En studie som testade den senaste tekniken för gissning av lösenord fann att det inte gör så mycket för att kräva siffror och versaler i lösenord. Att göra ett lösenord längre eller inkludera symboler var mycket mer effektivt.
Attacker är mer sofistikerade nu, och dessa bästa praxis motåtgärder är lite osynkroniserade, säger Matteo Dell'Amico, forskare på Symantec Research. Han arbetade med Maurizio Filippone vid det franska forskningsinstitutet Eurecom . Paret presenterade ett papper om deras arbete på ACM Computer and Communications Security-konferensen förra veckan.
Rekommendationer om att vi inkluderar en blandning av kasus, symboler och siffror i lösenord har sitt ursprung i tanken att det minskar chansen för en korrekt gissning av programvara som systematiskt prövar varje kombination av tecken, säger Dell’Amico. Lösenordsmätare som ger feedback om styrkan i ett lösenord fungerar på samma grund.
Men den senaste programvaran för att gissa lösenord är smartare än att bara gissa på måfå. Istället tränas den med hjälp av läckta listor med miljontals lösenord för att göra gissningar som försöker de lösenord – eller mönster som finns i lösenord – som oftast används först. Programvara för att gissa lösenord kan användas för att försöka avslöja felaktigt krypterade lösenord som läckt online, som de 130 miljoner som togs från Adobe 2013, eller för att direkt komma åt lösenordssäkrad programvara eller enheter som inte begränsar gissningsförsök.
Dell’Amico och Filippone kom på ett nytt sätt att mäta styrkan på ett lösenord som tar hänsyn till det. De tränade attackmjukvara, använde den för att skapa listor med lösenord och uppfann ett sätt att använda dem för att tilldela ett slags gissningsvärde till ett givet lösenord. De använde 10 miljoner läckta lösenord för att träna flera typer av attackprogramvara och testade sin gissningsmetod på ytterligare 32 miljoner lösenord.
Resultaten visar att att göra ett lösenord längre eller lägga till symboler är ett bättre sätt att stärka det än att lägga till versaler eller siffror. Det beror på att människor tenderar att lägga till versaler i början av lösenord och siffror i slutet, och metoder för lösenordsattacker kan dra fördel av det, säger Dell'Amico. I grund och botten måste du göra dina lösenord mindre förutsägbara, säger han. Den nya metoden skulle kunna användas för att skapa mer exakta sätt att ge människor en känsla av styrkan i ett lösenord, säger Dell’Amico.
Ett bra sätt att göra det är viktigt men har länge visat sig svårfångat, säger Mark Burnett, en säkerhetsforskare som publicerade en av lösenordsforskningsdatabaserna som används i studien. Jag har inte sett något sätt som är perfekt, men det här är förmodligen det bästa försöket jag har sett, säger han. Den här typen av forskning hjälper oss att bli smartare på vad som gör lösenord starkare, de råd vi ger och se vart vi behöver gå från och med nu.
Burnetts råd för nästa gång du väljer eller ändrar ett lösenord är att när du väl har kommit på ett bör du hitta ett sätt att göra det längre, kanske genom att lägga till ett eller två ord. Hans råd till datorbranschen är att komma på alternativ till att använda lösenord så brett som vi gör idag. Lösenord blir längre och längre och vi kommer till den punkt där de kommer att förlora sin användbarhet, säger han.