Если спросить любого более-менее осведомлённого пользователя о лучших практиках информационной безопасности в Интернете, большинство ответят, что пароли должны быть сложными и что периодически их нужно менять. Главный технолог Федеральной Торговой Комиссии США Лорри Кранор придерживается другой точки зрения.
Во время недавнего выступления на конференции безопасности BSides в Лас-Вегасе Кранор рассказала, что в FTC она является обладателем шести правительственных паролей, которые нужно менять каждые 60 дней. Исследование 2010 года университета Северной Каролины рассмотрело 10000 истёкших университетских аккаунтов. Держатели аккаунтов должны были менять пароли каждые три месяца и создавать новые с нуля; в реальности пользователи зачастую вносили небольшие изменения в существующие пароли, чтобы их легче было запомнить.
Например, пароль вроде Techspot#1 превращался в tEchspot#1, потом teChspo#1 и т.д, часто к ним добавлялись или увеличивались цифры. На основе этой информации исследователи создали алгоритм, который в 17% случаев угадывал пароль менее чем с пяти попыток, симулируя систему, которая блокирует пользователя при неудачных попытках. В симуляции «офлайн-атак» на быстрых компьютерах 41% паролей были взломаны за 3 секунды.
Вывод данного исследования: менять пароли нужно, но только целиком, а не на основе существующего.