비밀 번호를 자주 바꾸는 것이 왜 나쁜 생각일까요?

대부분 인터넷에 정기적으로 인터넷을 사용하는 사람들 사이에서는 "몇 달 / 몇 주마다 계정을 안전하게 유지하기 위해 암호를 변경하십시오."라고 간단하게 보입니다. 새로운 암호를 사용하면 정보 도용자가 귀하의 개인 정보에 접근하는 것이 더 어려워 야합니다. 그러나 미국 연방 통상위원회 (Federal Trade Commission)의 수석 기술자 카네기 멜론 (Carnegie Mellon) 교수의 Lorrie Cranor 교수는이 이론에 동의하지 않는다.

지난주 라스 베이거스에서 개최 된 BSides 보안 컨퍼런스에서 Cranor는 FTC 자체가 제시 한 조언을 본 후 그녀의 요점에 대해 자세히 설명했다. "나는 소셜 미디어 사람들에게 가서 그들에게 질문했다"고 크래 너는 설명했다. "그들은 FTC에서 암호를 60 일마다 변경하기 때문에 좋은 충고가되어야한다고 말했다."잘못된 지시는 Cranor의 마음 속에 울리는 경보 음을 울리는 정도로 충분했다.

새로 변경된 암호 중 41 %가 이전 암호의 변환을 기반으로 오프라인으로 금이갔습니다. Lorrie Cranor @ BSidesLV

- Claus Cramon Houmann (@ClausHoumann) 2016 년 8 월 2 일

전문 직업인에 의한 암호 연구원 인 Cranor는 암호 변경의 위험이 너무 많아서 계정을 보호하기 위해 복잡한 조합을 고안 할 때 암호를 변경하면 종종 취약성이 생기는 경우가 종종 있다고합니다. 채플 힐에있는 노스 캐롤라이나 대학교 (University of North Carolina University)의 조사에 따르면 10,000 가지가 넘는 패턴에 대한 조사가 끝났습니다. "UNC 연구원은 사람들이 90 일마다 암호를 변경해야한다면 패턴을 사용하는 경향이 있으며 변환 "이라고 Cranor는 말했습니다. "그들은 기존 암호를 사용하고 약간의 변경을 가하면 새로운 암호를 제시합니다."

뿐만 아니라 연구자들은 패스워드의 패턴을 예측할 수있는 방법을 만들 수있었습니다. 즉, 스크립트가 그렇게 할 수있을 때 평범하지 않은 행동입니다. 궁극적으로이 알고리즘은 5 회 미만으로 17 %의 계정을 해독했습니다.

Cranor의 사고 방식은 서서히 차이를 만들고 있습니다. 가장 최근에는 FTC에서 이루어졌습니다. "6 개의 정부 암호 중 2 개가 더 이상 변경하지 않아도된다는 것을 기쁜 마음으로 알려줍니다"라고 농담을했습니다.