Strenge adgangskodepolitikker hjælper med at forhindre svindel, undersøgelse finder

Den alt for almindelige praksis med at bruge den samme e-mailadresse/adgangskodekombination til at logge ind på flere websteder kan være skadelig, især for arbejdsgivere med mange brugere og værdifulde aktiver beskyttet af adgangskoder, ligesom universiteter.

"Hvis nogen bruger deres universitets-e-mailadresse og adgangskode til at tilmelde sig, sige, LinkedIn, og LinkedIn bliver brudt af cyberkriminelle, det ville betyde, at deres adgangskode til universitetet findes på nettet, så alle kan se, " sagde Indiana Universitys Dan Calarco, medforfatter på et nyt papir, der undersøger praksis for genbrug af adgangskoder.

Men forskere ved IU har opdaget en enkel måde at forhindre kriminelle, der har til hensigt at bryde ind i universitetsdata.

"Vi fandt ud af, at det at kræve længere og mere komplicerede adgangskoder resulterede i en lavere sandsynlighed for genbrug af adgangskoder, " skriver forfatterne i avisen, Faktorer, der påvirker genbrug af adgangskode:Et casestudie. Forfatterne er Jacob Abbott, en IU Bloomington Ph.D. studerende; Daniel Calarco, stabschef for IU-kontoret for vicepræsidenten for IT og CIO; og L. Jean Camp, en professor ved IU Bloomington School of Informatics, Computer og teknik. Gruppen præsenterede deres resultater den 21. september på TPRC46:Research Conference on Communications, Informations- og internetpolitik i Washington, D.C.

For at undersøge virkningen af ​​politik på genbrug af adgangskoder, undersøgelsen analyserede adgangskodepolitikker fra 22 forskellige amerikanske universiteter, herunder deres hjemmeinstitution, IU. Næste, de udtog sæt e-mails og adgangskoder fra to store datasæt, der blev offentliggjort online og indeholdt over 1,3 milliarder e-mailadresser og adgangskodekombinationer. Baseret på e-mailadresser, der tilhører et universitets domæne, adgangskoder blev kompileret og sammenlignet med et universitets officielle kodeordspolitik.

Resultaterne var klare:Strenge adgangskoderegler sænker et universitets risiko for brud på personlige data markant.

"Vores papir viser, at krav til adgangssætninger, såsom en minimumslængde på 15 tegn, afholder det store flertal af IU-brugere (99,98 procent) fra at genbruge adgangskoder eller adgangssætninger på andre websteder, " skriver de. "Andre universiteter med færre adgangskodekrav havde genbrugsrater potentielt så høje som 40 procent." Deres analyse viste, at IU klarede sig bedst af alle 22 universiteter - og havde de mest omfattende krav. Forfatterne kunne ikke lovligt teste, om legitimationsoplysninger var faktisk gyldige; i stedet undersøgte de, om adgangskoder potentielt kunne være gyldige givet offentlige adgangskodekrav såsom adgangskodelængde, kompleksitet og andre krav.

"IU har arbejdet med sikkerheds- og brugervenlighedsfakultetet for at designe vores adgangskodepolitikker, med resultatet er politikker, der værdsætter folks tid og samtidig mindsker risikoen, " sagde Camp. "Længden og kompleksiteten afbalanceres af den forlængede periode, før nye adgangskoder skal genereres, og brugen af ​​et længere autentificeringstidsvindue for applikationer. Indiana Universitys udrulning af tofaktorautentificering er ligeledes en model."

Forfatterne giver følgende anbefalinger for at beskytte adgangskoder:

1. Forøg den mindste adgangskodelængde ud over 8 tegn.
2. Forøg den maksimale adgangskodelængde.
3. Tillad ikke brugerens navn eller brugernavn i adgangskoder.
4. Overvej multi-faktor autentificering.

Multi-faktor autentificering bliver mere almindelig og brugbar. IU, for eksempel, anvender to-trins login. Med de potentielle fordele ved at reducere risikoen for genbrug af adgangskoder, multi-faktor autentificering kan være et levedygtigt alternativ til at ændre længden og/eller kompleksiteten af ​​adgangskodepolitikker.

"Vores anbefalinger gælder ikke kun for universiteter, men kan også bruges af andre organisationer, tjenester eller applikationer, " de skriver.