L.Jean Camp. Credito:Eric Rudd, Università dell'Indiana
La pratica fin troppo comune di utilizzare la stessa combinazione di indirizzo e-mail/password per accedere a più siti Web può essere dannosa, soprattutto per i datori di lavoro con molti utenti e risorse preziose protette da password, come le università.
"Se qualcuno utilizza l'indirizzo e-mail e la passphrase dell'università per registrarsi, dire, LinkedIn, e LinkedIn viene violato dai criminali informatici, ciò significherebbe che la loro password universitaria è disponibile sul Web affinché tutti possano vederla, ", ha affermato Dan Calarco dell'Università dell'Indiana, coautore di un nuovo documento che esamina la pratica del riutilizzo delle password.
Ma i ricercatori dell'IU hanno scoperto un modo semplice per sventare i criminali intenti a violare i dati dell'università.
"Abbiamo scoperto che la richiesta di password più lunghe e complicate comportava una minore probabilità di riutilizzo della password, " scrivono gli autori nel giornale, Fattori che influenzano il riutilizzo delle password:un caso di studio . Gli autori sono Jacob Abbott, un dottorato di ricerca IU Bloomington. alunno; Daniele Calarco, capo dello staff dell'Ufficio IU del Vicepresidente per l'IT e CIO; e L. Jean Camp, un professore della IU Bloomington School of Informatics, Informatica e ingegneria. Il gruppo ha presentato i propri risultati il 21 settembre al TPRC46:Research Conference on Communications, Informazioni e politica su Internet a Washington, D.C.
Per indagare sull'impatto della policy sul riutilizzo delle password, lo studio ha analizzato le policy sulle password di 22 diverse università statunitensi, compreso il loro istituto di appartenenza, UI. Prossimo, hanno estratto set di e-mail e password da due grandi insiemi di dati che sono stati pubblicati online e contenevano oltre 1,3 miliardi di indirizzi e-mail e combinazioni di password. In base agli indirizzi email appartenenti al dominio di un'università, le password sono state compilate e confrontate con la politica ufficiale delle password di un'università.
I risultati sono stati chiari:regole rigorose per le password riducono significativamente il rischio di violazione dei dati personali di un'università.
"Il nostro documento mostra che i requisiti delle passphrase come una lunghezza minima di 15 caratteri scoraggiano la stragrande maggioranza degli utenti IU (99,98 percento) dal riutilizzare password o passphrase su altri siti, " scrivono. "Altre università con meno requisiti di password avevano tassi di riutilizzo potenzialmente fino al 40%". La loro analisi ha rilevato che IU ha ottenuto il meglio di tutte le 22 università e aveva i requisiti più estesi. Gli autori non potevano legalmente verificare se le credenziali erano effettivamente validi; invece hanno esaminato se le password potrebbero essere potenzialmente valide dati i requisiti della password pubblica come la lunghezza della password, complessità e altri requisiti.
"IU ha lavorato con la facoltà di sicurezza e usabilità per progettare le nostre politiche sulle password, con il risultato di politiche che valorizzano il tempo delle persone mitigando il rischio, " Camp ha detto. "La lunghezza e la complessità sono bilanciate dal lungo periodo prima che le nuove password debbano essere generate e dall'uso di una finestra temporale di autenticazione più lunga per le applicazioni. Il lancio dell'autenticazione a due fattori da parte dell'Università dell'Indiana è un modello simile".
Gli autori offrono le seguenti raccomandazioni per salvaguardare le password:
L'autenticazione a più fattori sta diventando sempre più comune e utilizzabile. UI, Per esempio, utilizza l'accesso in due fasi. Con i potenziali vantaggi di ridurre il rischio di riutilizzo della password, l'autenticazione a più fattori può essere una valida alternativa alla modifica della lunghezza e/o della complessità dei criteri per le password.
"Le nostre raccomandazioni non sono valide solo per le università, ma può essere utilizzato anche da altre organizzazioni, servizi o applicazioni, " loro scrivono.
