Πολλές φορές διαδικτυακές υπηρεσίες σας ζητούν να αλλάζετε τον κωδικό πρόσβασής σας (password) κάθε δύο ή τρεις μήνες για να διατηρήσετε το λογαριασμό σας ασφαλή. Στην πραγματικότητα είναι ένα πολύ αμφιλεγόμενο μέτρο ασφαλείας, καθώς πολλοί είναι αυτοί που το θεωρούν εντελώς λάθος.
Η επικεφαλής τεχνολόγος της Επιτροπής Ομοσπονδιακού Εμπορίου (Federal Trade Commission), Lorrie Cranor, κατέρριψε το μύθο νωρίτερα αυτή την εβδομάδα, σε ένα συνέδριο για την ασφάλεια στο Las Vegas.
Η τεχνολόγος υποστήριξε ότι υπηρεσίες που απαιτούν περιοδικές αλλαγές κωδικού πρόσβασης θα μπορούσε να έχουν αντίθετα αποτελέσματα, κάνοντας τον κωδικό σας λιγότερο ασφαλή. Ο λόγος είναι ότι όταν οι χρήστες απαιτείται να αλλάξουν το password τους, καταλήγουν να χρησιμοποιούν τον παλιό κωδικό πρόσβασής τους, με κάποια μικρή αλλαγή.
Μπορεί να αλλάξει ένα πεζό γράμμα σε κεφαλαίο γράμμα. Ή θα μπορούσε να προστεθεί ένα επιπλέον γράμμα ή χαρακτήρας προς το τέλος. Οι ερευνητές αποκαλούν αυτά τα μικρά κόλπα “μεταμορφώσεις”, και οι hackers γνωρίζουν πολύ καλά από αυτά.
Έτσι, οι κατασκευαστές των password crackers μπορούν να προβλέψουν αυτές μεταμορφώσεις στα script τους και τα cracking routines.
“Ερευνητές της UNC ανέφεραν ότι άνθρωποι που έπρεπε να αλλάζουν τους κωδικούς πρόσβασής τους κάθε 90 ημέρες, χρησιμοποιούν ένα μοτίβο και να κάνουν αυτό που λέμε μεταμόρφωση”, ανέφερε η Cranor, σύμφωνα με το Ars Technica.
“Παίρνουν τους παλιούς κωδικούς τους, τους αλλάξουν με κάποιο τρόπο, και έτσι έχουν ένα νέο κωδικό πρόσβασης.”
Η Cranor επικαλέστηκε μια έρευνα του UNC από το 2010 που έλεγξε δεδομένα από 7700 λογαριασμούς που έπρεπε να αλλάζουν τακτικά τους κωδικούς πρόσβασης τους.
Ο ειδικός σε θέματα ασφάλειας Bruce Schneier συμφωνεί απόλυτα.
“Έχω πει εδώ και χρόνια ότι δεν είναι καλή συμβουλή ασφαλείας να ενθαρρύνουμε κακούς κωδικούς πρόσβασης.”
Αυτό δεν σημαίνει ότι δεν είναι καλή ιδέα να αλλάζετε το password σας. Εάν ο κωδικός πρόσβασής σας υπήρχε στα δεδομένα μιας σημαντικής παραβίασης, όπως αυτή του LinkedIn, και τον χρησιμοποιείτε και σε άλλες σελίδες-υπηρεσίες, θα πρέπει φυσικά να τον αλλάξετε.
Ένας μεγάλος (με πολλούς τυχαίους χαρακτήρες γράμματα (μικρά & κεφαλαία) και αριθμούς) είναι δυσκολότερο να σπάσει, καθώς περιορίζει τις πιθανότητες να τον μαντέψει κανείς και να τον προσθέσει σε κάποιο λεξικό που χρησιμοποιούν οι password crackers