Människor tenderar att hata lösenord dator, som ofta meningslösa virrvarr
av bokstäver, siffror och särskilda tangenttryckningar sägs vara viktigt för
digital säkerhet. De hemliga koder verkar omöjligt att komma ihåg. Det är därför
varje login-sidan har en “Glömt lösenord?” livboj. Kampen
ens har ett namn: Lösenord ilska.
Nu, en ny standard som är fram
för lösenord, backas upp av ett växande antal företag och myndigheter
organ – till lindring av datoranvändare överallt. Inte längre måste
lösenord ändras så ofta, eller har en obegriplig sträng av
specialtecken. Den nya inriktningen är en som champions mindre
komplexitet till förmån för längd.
Lösenord som en gång såg ut så här: “W@5hPo5t!,” nu kan låta så här: “mycatlikesreadinggarfieldinthewashingtonpost.”
Kräver
längre lösenord, känd som lösenfraser, oftast 16 till 64 tecken
lång, ses allt mer som en möjlig flyktväg från vår smärtsamma
tryck mot inloggningar som bara en kryptograf kunde älska.
En serie
studier från Carnegie Mellon University bekräftat att lösenfraser
är lika bra på online-säkerhet, eftersom hacking program kastas
mindre av längden nästan lika enkelt som slumpen. Till en dator, poesi eller
enkla meningar kan vara lika svårt att knäcka. Ännu bättre: Människor
mindre benägna att glömma dem.
“Du är definitivt att få se mer av det”
sa Michelle Mazurek, en av Carnegie Mellon forskare, nu på
University of Maryland, College Park. “För motsvarande belopp i
säkerhet, längre tenderar att vara mer användbar för människor.”
Ett tecken på
förändringen kom i år från den federala myndigheten att övervaka regeringen
datorn politik. National Institute for Standards and Technology
utfärdat förslag till rekommendationer som kallas för ett lösenord översyn
uppmuntra längre lösenord och slutar praktiken att tvinga nya
varje 60 eller 90 dagar.
“Lösenfraser är mycket svårare att spricka och gå sönder, och mycket lättare att komma ihåg”, sade Paul Grassi, en NIST senior rådgivare.
Det var en bekräftelse på att nuvarande lösenord praxis är en smärta.
Lösenord
idag är “helt oanvändbar,” Grassi sagt. “Användare glömma, vilket
skapar alla typer av it-säkerhetsproblem, som att skriva ner det eller
att återanvända dem.”
Efterfrågan på enklare lösenord har vuxit tillsammans
med den andel av tiden som tillbringas på nätet, där det är svårt att minnas koder begränsa
inte bara tillgång till arbete och skola e-post, men att shoppa, spela spel,
hantering av hälsopåståenden och hitta recept. Den genomsnittliga personen har 19
25 olika online-lösenord, opinionsundersökningar har visat.
Men den förändring
för att enklare lösenord protokoll är fortfarande långsam. När Lorrie Cranor gått
Federal Trade Commission som chief technologist, i januari, hon var
chockad att lära sig att sex av hennes regering lösenord kom med
automatisk löper ut. Ett par månader senare hade hon valt att listan
ner till fyra.
Cranor sa att NIST: s förslag till regler som skickar en signal till
myndigheter och företag som den förnyade riktlinjer för lösenord har
välsignelse av den federala regeringen.
“En av de saker som vi har sett
när vi pratar med företag är att de säger, ” ja, allt detta är bra, men jag
kan inte ändra på saker och ting tills jag har något jag kan peka på,” Cranor sagt.
Nu kan de peka på NIST special publication 800-63, som fortfarande behöver för slutligt godkännande.
Regeringens flytta hyllades av sekretess förespråkar som Christopher Soghoian vid American Civil Liberties Union.
“Det faktum att NIST är klart kommer kring att anamma moderna, vetenskapligt grundad politik är bra,” Soghoian sagt.
Det är möjligt att regeringen skulle kunna vara nimbler mover om detta ämne.
Guillaume
Ross, senior rådgivare på datorn säkerhetsföretaget Rapid7, sade
företag tvingas ofta långsamma införandet av nya principer för lösenord
på grund av äldre datorer.
“På dessa system är det verkligen svårt för en grupp att stödja långa lösenord,” Ross sade.
Fortfarande, Ross talar om för kunder att fokusera på längd för lösenord för en skärpning av säkerheten snarare än någon annan variabel.
Joe
Hall, chief technologist på tankesmedjan Center for Democracy and
Teknik, har märkt lättare lösenord regler bland de 800 olika
inloggningar som han använder. (Han erkänner att han är en avvikare ha så många konton. Men,
han säger, det är en del av hans jobb.) Under de senaste åren har han sett mer
webbplatser så att 16 tecken, om inte längre lösenord. Färre kräver
regelbunden återställs.
“Detta är en del av ett stort tryck att göra saker mer användbara för människor,” Hall sagt.
Som många dataexperter, Hall har varit ett fan av lösenfraser för år.
“Jag säger till folk att tänka på en mening som är chockerande och oförutsägbar, även meningslösa”, sade han.
Ett exempel: “Den sfäriska brown fox hoppade in på den ryska Jorden.”
En av hans kompisar gillar att använda pet peeves som hans lösenord, som malapropism “alla intensiva ändamål.”
Av
naturligtvis, de flesta experter säger lösenord av något slag är föråldrade. Många har
drivit två-faktor kontroll, där användarna har för att bevisa sin
identitet genom att skriva in en kod som skickas till sin e-postadress eller mobiltelefon
numret. Denna standard är mer snabbt antog än lösenfraserna har angivits.
I
tiden, experter varnar för att använda populära sångtexter eller
poesi linjer i lösenfraserna har angivits. Så ingen Beyoncé eller Wallace Stevens. Hackare
kan ladda ner bibliotek av informationen för att försöka vanliga fraser. Mazurek
föreslås att skriva i din lösenfras in på ett Google-sökfält och se
om sökmotorn kan komplettera automatiskt-det – vilket innebär att det är en
vanlig fras.
Rik Shay, en annan Carnegie Mellon forskare, säger
de studier som växte fram ur erfarenheter på campus: Skolan lösenord för e-post
hade åtta tecken långt och innehålla en versal bokstav, en
gemen bokstav, en speciell karaktär och ett nummer.
Forskarna tänkte att det måste finnas ett bättre sätt.
Fortfarande,
studierna visade att även med lösenfraser kasta i en liten
komplexitet – ett nummer, en speciell karaktär – kan bara hjälpa.
“Det finns ingen magisk kula”, säger Shay, nu på MIT. “Det finns ingen perfekt lösenord.”
Och det är något som alla redan vet.
© 2016 Washington Post