תמיד אומרים לנו להחליף סיסמה לעתים קרובות בחשבונות השונים שלנו, אבל וועדת הסחר הפדרלית בארה"ב הצהירה שהדבר לא בהכרח מבטיח את ביטחון החשבון שלנו ואף מזיק לו. הכיצד?
מזה שנים רבות אחד מהטיפים הנפוצים ביותר באבטחת מחשבים היה לשנות סיסמאות לעתים קרובות – לעשות אותן מורכבות, לא להשתמש באותה סיסמה לכל החשבונות, לא לרשום את הסיסמה על דף ממו ולהצמיד למסך המחשב ועוד טיפים בסגנון. וועדת הסחר הפדרלית בארה"ב יוצאת בהצהרה לשכוח מכלל הברזל הידוע מכל – כך דווח ב-Ars Technica.
במהלך אירוע PasswordCon 2016 שנערך בשבוע שעבר, לורי קרנור, ראש מערך הטכנולוגיה של וועדת הסחר הפדרלית (FTC), אמרה כי שינוי סיסמאות לרוב מוביל לסיסמאות חלשות יותר בגלל שהמשתמשים עושים שינויים צפויים שהאקרים יכולים בקלות לזהות עם אלגוריתמים. כתוצאה מהחלטתה ה-FTC ישנה נהלים פנימיים בכל הנוגע לשינוי תכוף של סיסמאות.
בשנת 2010 חוקרים מאוניברסיטת צפון קרוליינה בחנו 10 אלף חשבונות של האוניברסיטה שפג תוקפם על מנת להתחקות אחר ההיסטוריה של הסיסמאות בחשבון. בעלי החשבון נדרשו לשנות סיסמה מדי שלושה חודשים. ברוב המקרים, המשתמשים ביצעו רק שינויים מינימליים לסיסמאות שלהם, באמצעות דפוסים ניתנים לזיהוי. לדוגמה, משתמש שכל השינוי שערך בסיסמה הוא הפיכת אות אחת ל-Capital Letter, ובכל פעם שהתבקש לשנות סיסמה עשה זאת לאות הבאה בסיסמה. דפוס נוסף שזוהה היה לשנות ספרה אחת בסדר עולה בעת שינוי הסיסמה: Love1, Love2, Love3 וכך הלאה. החוקרים פיתחו אלגוריתמים שיכולים בקלות לפצח חשבונות על פי דפוסי הזיהוי שנתגלו.
"העצה לשינוי סיסמאות לעיתים קרובות עדיין רלוונטית", אומר גיל נוילנדר מנכ"ל ESET ישראל. "אך צריך להתקיים תנאי הכרחי שמחייב את הסיסמה להיות מורכבת כביטוי ארוך עם תווים, אותיות ומספרים, ולא רק בהחלפתה של ספרה או אות מהסיסמה האחרונה. זה ידוע שאנשים רבים בוחרים במסלול קל לשנות לסיסמה שקל לזכות אותה, אבל הם עלולים להיפגע מכך בסופו של דבר. אין להתעצל – יש לבחור תמיד סיסמה חזקה. יש כיום גם פתרונות טובים לניהול סיסמאות, כך שלא צריך לזכור אותן או לשמור אותן באופן שנגיש לאחרים".