Vælg bedre adgangskoder ved hjælp af videnskab

Anonim

I mange år har computerbrugere fået at vide, at de skal have komplicerede adgangskoder, herunder tal, tegnsætningstegn og andre symboler samt store og små bogstaver. På trods af at de er svært at huske, blev folk fortalt at ikke skrive deres adgangskoder nede og tvunget til at lave nye helt ofte. Brugere opfyldt pligtskyldigt - ved at aktivere deres første bogstav i deres adgangskoder, tilføje et "1" eller deres fødselsår, eller måske slutte deres adgangskode med et udråbstegn.

De fleste mennesker kunne faktisk ikke huske masser af adgangskoder uden at skrive dem ned, så i stedet genbrugte de et lille antal adgangskoder igen og igen. Og da de skulle ændre deres adgangskoder, steg de "1" til en "2" eller tilføjede et andet udråbstegn. Disse enkle trin til at håndtere komplicerede adgangskoder er så almindelige, at de faktisk gør det lettere for angribere.

Som forskere i adgangskode sikkerhed har vi i årevis kendt, at de fleste adgangskode råd ikke rent faktisk var baseret på videnskabelig viden. For at løse dette har vi gennemført eksperimenter om virkningerne af adgangskrav til sikkerhed og brugervenlighed. Den føderale regering har for nylig ændret sine adgangskodeanbefalinger på måder, der ekko nogle af vores forskningsresultater.

Forsvar af adgangskoder fra computere

Vi har brugt år til at modellere, hvordan forskellige metoder til adgangskodeoptagelser virker, for bedre at forstå, hvordan angribere gætter adgangskoder og for at udvikle en præcis måling af adgangskode styrke. Folk, der forsøger at bryde ind på onlinekonti, skal ikke bare sidde ved en computer og lave et par gæt. Mange angribere har været i stand til at stjæle hele databasen med adgangskoder fra store virksomheder - for eksempel er det sket med Yahoo, LinkedIn, Adobe, Ashley Madison og mange andre. Adgangskoderne er krypteret for sikkerhed, så angriberne skal lave masser af gæt for at fjerne dem. Men computerprogrammer lader dem lave millioner eller milliarder guesses om få timer.

De kan begynde at gætte alle de mest populære passwords og ord i ordbogen og derefter tilføje "1" til hver af disse og derefter igen med hvert andet tal og symbol og derefter med det første bogstav aktiveret osv. Slutresultatet er, at alle de komplicerede adgangskodepolitikker ikke forhindrer - eller endda virkelig langsomt - cracking af mange brugeres adgangskoder.

Endnu værre, når en angriber gætter brugerens adgangskode til en konto, vil han ofte prøve at bruge samme adgangskode på brugerens andre konti. Da brugere har tendens til at genbruge adgangskoder, kan dette være meget vellykket. En angriber, der springer adgangskoden til et websted, du registrerede for otte år siden og har glemt, kan nu få adgang til din email, din sociale netværkskonto og din bankkonto.

Al denne computerkraft, der anvendes til krakning af adgangskoder, betyder, at brugere skal gå ud over at vælge adgangskoder, der er vanskelige for et menneske at gætte: Passwords skal være vanskelige for en computer at finde ud af.

Testning af opfattelser af adgangskode styrke

Vores forskning har informeret indsatsen for at lære folk hvordan man bruger denne nye forståelse af adgangskode sikkerhed. Mere end 50.000 mennesker deltog i vores online eksperimenter, der hver især skabte et kodeord, der overholdt tilfældigt tildelte krav: for eksempel "minimum 12 tegn lang" eller "skal indeholde små og store bogstaver, cifre og symboler." Vi målte den faktiske styrke af adgangskoden, en deltagers evne til at huske et kodeord et par dage senere og andre målinger. Vi har også analyseret rigtige adgangskoder skabt af studerende, fakulteter og medarbejdere på vores universitet.

Vores data har vist os, at folk har mange misforståelser om adgangskoder, som f.eks. At tro at at tilføje et ciffer eller udråbstegn til slutningen af ​​deres kodeord vil gøre det meget stærkere. Dette problem er udbredt nok til, at vi oprettede et online quiz-spil for at hjælpe med at fjerne nogle af disse misforståelser.

Derudover har vores data vist os, at det er mere vigtigt at tilskynde længere adgangskoder (mindst 12 tegn) end komplicerede adgangskoder. Samtidig har vi lært, at nogle brugere opretter lange adgangskoder, der stadig er forudsigelige - som "passwordpassword" eller "xxxxxxxxxxxx."

Vi lærte også at give folk feedback, når de skaber nye adgangskoder, kan hjælpe. Ofte tager dette form af, hvad der kaldes "password meter" - farvekodede signaler, der angiver, om en person har valgt en svag adgangskode eller en, der er meget stærk.

Mens de fleste kodeordmålere på internettet giver unøjagtige scoringer og undertiden tvivlsomme råd, udviklede vi en adgangskodemåler, der bruger et kunstigt neuralt netværk til at beregne styrken af ​​disse adgangskoder baseret på en analyse af millioner af andre adgangskoder. Desuden giver vores meter øjeblikkelig rådgivning om, hvad der vil gøre det stærkere, når det identificerer et svagt kodeord. Hvis en person f.eks. Sætter alle cifre i slutningen af ​​et kodeord, kan vores system foreslå at flytte dem til midten.

Oprettelse af stærke adgangskoder

Vores forskning har ført os til at udvikle nogle specifikke anbefalinger til valg af adgangskoder, der giver god beskyttelse af onlinekonti og de data, de indeholder. En afgørende hjælp i denne proces er at bruge en adgangskodeadministrator til at generere lange, tilfældige adgangskoder - og husk dem for dig.

Hvis du laver dine egne adgangskoder:

  • Lav din adgangskode mindst 12 tegn, og bland den op med mindst to eller tre forskellige typer tegn (små bogstaver, store bogstaver, cifre og symboler), indsæt uforudsete steder. Indsæt ikke dine store bogstaver i begyndelsen eller dine cifre eller symboler i slutningen.
  • Undgå at indeholde navne på personer eller kæledyr, steder du har boet, sportshold, ting du kan lide eller fødselsdatoer. Undgå almindelige sætninger (især alt relateret til "kærlighed" på ethvert sprog) og sangtekster. Brug ikke mønstre ("abc", "123"), herunder mønstre på tastaturet ("1qazxsw2").
  • En måde at lave et stærkt kodeord på er at skabe en sætning, som ingen nogensinde har sagt før, og brug det første bogstav eller to af hvert ord som dit kodeord, bland i andre typer tegn.

Det kan være fristende at genbruge dine eksisterende adgangskoder, men gør det ikke for alle konti, du er interesseret i. Det er bedre at skrive dine adgangskoder nede på et sikkert sted, hvis du har flere adgangskoder, end du kan huske, eller endnu bedre, brug en adgangskodeadministrator.

Du kan også beskytte din konto uden at gøre dit kodeord mere kompliceret ved at bruge to-faktor-godkendelse, når den bliver tilbudt - det er lettere end de fleste mennesker tror.

Adgangskoder er en irriterende del af online-livet, men de går ikke væk snart. Mens passwords-politikkerne i det seneste årti har forårsaget mere brugersmerter end sikkerhedsgevinst, hjælper vores forskning med at finde måder at oprette adgangskoder, der rent faktisk fungerer for almindelige mennesker, samtidig med at vi sikrer os mere sikkerhed.

Forrige Artikel
Næste Artikel