您的学校或工作场所可能要求您每隔几个月更改密码,以便保持您的帐户安全。这是一个广泛实现的安全建议。

除了它完全错误。

联邦贸易委员会首席技术人员Lorrie Cranor,本周早些时候在拉斯维加斯的安全会议上破坏了这个神话。

事实证明,需要定期密码更改最终可能会使您的密码减去安全。这是因为当大多数人都需要更改他们的密码时,他们最终使用他们的旧密码,但它们进行了很小的变化。

它们可能会将小写字母更改为大写字母。或者他们可能会在结束时添加额外的信。研究人员称这些小技巧“转变”,黑客非常了解它们。

因此,真实世界的密码饼干将这些可预测的转换建立在他们的脚本和开裂例程中。

“UNC研究人员表示,如果人们每90天必须改变密码,他们往往使用模式,他们做了我们所谓的转型,”Cranor说,根据Ars Technica。“他们拿走了旧密码,他们以一些小的方式改变它,他们提出了一个新的密码。”

Cranor从2010年引用了UNC研究,查看了7700个帐户的数据集,该帐户是定期更改密码的。

安全专家Bruce Schneier同意。“我一直在说这是不良的安全建议,它鼓励密码糟糕,”他周五写道。

这并不意味着改变密码永远不是一个好主意。如果您的密码是主要违规的一部分,就像击中LinkedIn的那个,并且您将其重用在其他网站(您不应该)中,当然你应该改变它。

采摘安全密码的最佳实践不时更改,而且我不是安全专家。一般来说,您希望您的密码长而随机。施奈尔在这里有很好的建议,这个网络信用表明一个易于记忆的系统。