回答
Here是一篇关于密码策略的研究文章。它提到了人们应该改变他们的密码和其他一些非常有趣的东西的频率。以下是摘录。
一些专家说,如果一个攻击者拦截 密码定期 密码更改会降低 损害:一旦密码 改变,攻击者被锁定。 这假设恢复的 密码不会给攻击者 任何提示有关受害者当前的 密码。实际上,周期性密码 的更改倾向于鼓励人们对 密码的设计序列,如 secret01a,secret01b,secret01c和 等。
这可以让用户轻松选择和 记住新密码时,老 一个到期。这些序列通常对攻击者非常明显,因此受害者的任何一个旧的 密码都可能为攻击者提供合理的小数量的密码来猜测。
我不知道存在的任何研究,但让你思考问题的两个方面,这里的对抗迫使修改密码纸:
Managing network security — Part 10: Change your password
而且一个教学网站的这家教育机构至少在某种程度上引人注目的案例(由博士撰写)强制用户经常更改密码。这些是主要的论据网站给出了强制密码更改,链接到页面后:
"Why Do I Have to Change My [email protected]$%#* Password?"
- 如果你需要改变你的 密码每半年至少, 有人谁的侵犯了您的密码 ,并且一直在访问您的帐户 ,如果您不知情,将会在您的 密码被更改后立即被拒绝 。有些人可能会认为这 是一个罕见的情况,但 人们普遍卖一台旧电脑 忘记删除密码,他们可以 在或 访问他们的电子邮件保存拨号。
- 如果您更改您的密码至少 每半年,黑客谁可能是 试图破解使用 蛮力密码(如上所述) 基本上都需要重新开始,因为 您的密码可能现在已经 改变他们已经尝试并拒绝了 。
- 强制更改密码 阻止用户在多个帐户上使用相同的 密码。 (多使用 相同的密码 账户是不好的,因为那么你 密码只为 最不安全的系统共享 的常见密码,如果您 帐户并得到折扣,坏 家伙突然有作为安全访问不仅仅是为了一个帐户 ,而是为了多个 帐户,放大了 问题的范围)。
就“研究”而言,这些可能不会削减它,但似乎至少是一个很好的介绍双方的论点。
参数不是数据点。以90天的密码...我想要的经验数据表明,每90天更换一次密码比每86天,每113天或每六个月一次更安全,我不想争辩。当然,这个世界并不是经常向我的心血来潮... – infocyde 2013-08-14 20:22:50
在我看来,人们不得不经常更改他们的密码,降低了安全性,因为只有这样的人能记住这么多密码,是开始使用愚蠢的密码一样Computer123或January1其次February1等等
一个更好的主意是降低频率,然后培训人们如何创建强密码。
这不是一个研究,但基因斯帕福德张贴讨论的原因的频繁更改密码的策略并没有太大的意义了一篇短文:
的TechReport Do Strong Web Passwords Accomplish Anything?状态“更改 密码经常仅在攻击者利用收获凭证的速度非常缓慢时才有帮助。”
虽然不是确切地说您正在寻找的研究,它是密切相关的,可能会推动您朝着正确的方向发展。我已经看到关于您正在寻找的特定主题的一些研究,但是还没有找到参考。
Microsoft Security Guru advice: "Write down your password"
有一些不好的东西,可以用密码发生,并希望减少尽可能多的不产生新的问题。通过限制攻击者的机会窗口,“更改密码”策略可以缓解随着时间的推移而造成的损害,如果密码泄露可能导致的。虽然不是最终所有的安全措施,但它有时会产生巨大的差异。作为安全顾问,如果公司每年至少更换一次重要的密码,我个人(仅今年一次)就会花费数万美元来清理垃圾。
经常更改密码的危险是您会选择较差的密码。这使情况更糟,因为它现在允许以其他方式无法实现的攻击。
正如链接文章中提到的那样,新智慧会选择(或分配)一个随机密码(可能会定期更改),并将其写在某处保持安全。很明显,你不会把它放在你的电脑上,而不会把它放在你的车上。理由是人们已经接受过培训,知道如何确保“事物”,但在获取信息方面自然不佳。所以如果你把密码变成你可以容纳的东西,那么你可以像保护你的密钥一样保护密码。实际上,这很有效,但它往往会让IT部门感到紧张。
如果您认为您的密码可能已经或可能很快就会受到影响,则应更改密码。否则,通常是浪费时间,实际上是安全隐患。请参阅此链接:
http://old.news.yahoo.com/s/ytech_wguy/20100413/tc_ytech_wguy/ytech_wguy_tc1590
更新八月2016年
这篇文章:“经常更改密码是安全的大敌,FTC技术专家表示,” http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/?imm_mid=0e6947&cmp=em-webops-na-na-newsltr_security_20160809 已经在本周处处显示出来,包括Bruce Scheier的博客,O'Reilly的安全通讯,ArsTechnica,Slate和NewsCombinator,可能正是你在今年早些时候所要求的。
它引用: https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
TL; DR摘要:停止到期/改变密码。这是一个非常糟糕的安全做法。
这是一篇在ACM出版物(从2010年)发表的优秀论文,讨论安全和用户期望的成本效益分析。
http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf
应当把它宣称更改密码肯定是很好的建议,但既然有那么一点证据来支持这一想法,我们更频繁更安全,可能不值得付出的代价用户密码更改。这真的是一篇很好的文章。
- 1. 导航的所有帽子?有没有针对或反对的研究?
- 2. Django没有反映对urls.py的更改
- 3. 针对频繁更改的查询进行缓存
- 4. 对代码的更改没有反映在Rails 3.0中
- 5. SonarQube Coverage Widget没有深入研究
- 6. 针对研究的一个小的OSS .NET项目的建议
- 7. 在R2WinBUGS中针对n个数据集运行仿真研究
- 8. SEO真的很重要吗?有没有研究?
- 9. 有没有CMS或模板可以帮助我创建研究表单?
- 10. 建立研究目的的私有云
- 11. FastCode:研究其代码
- 12. Django密码没有改变
- 13. 对DataGridView的更改没有反映在数据库中
- 14. 在代码绑定没有反应到源对象改变
- 15. 对setVisibility没有反应
- 16. Snackbar对snackbar.dismiss没有反应
- 17. JButton对actionListener没有反应
- 18. SQL Server 2008中,枢轴没有骨料机能的研究
- 19. 研究Hadoop源代码有什么好的资源?
- 20. 在GC语言中是否有关于(或更好地使用)RAII的研究?
- 21. 钛/ Appcelerator的针对Android:多密度的图像没有找到
- 22. 为研究
- 23. Phrasequery做研究
- 24. 一套针对网站的有效字符的密码
- 25. 有没有人在App Store上对iPhone游戏的平均尺寸做过任何研究?
- 26. SQLAlchemy没有对postgres提交更改
- 27. 有没有办法将密码传递给pam_start()或pam_authenticate()并绕过“对话”?
- 28. 有没有办法从单一的研究中获得产品的细节?
- 29. 密码格局研究不匹配器类
- 30. Ç - 与指针合作,指针在机能的研究论证
谢谢你,我正在寻找:) – henriksen 2009-04-22 22:05:45