L. Jean Camp. Crédito:Eric Rudd, Indiana University
A prática comum de usar a mesma combinação de endereço de e-mail / senha para fazer login em vários sites pode ser prejudicial, especialmente para empregadores com muitos usuários e ativos valiosos protegidos por senhas, como universidades.
"Se alguém usar o endereço de e-mail e senha da universidade para se inscrever, dizer, LinkedIn, e o LinkedIn é violado por cibercriminosos, isso significaria que a senha da universidade está na web para que todos vejam, "disse Dan Calarco da Universidade de Indiana, coautor em um novo artigo que examina a prática de reutilização de senha.
Mas os pesquisadores da IU descobriram uma maneira simples de impedir criminosos que tentam invadir os dados da universidade.
"Descobrimos que exigir senhas mais longas e complicadas resultou em uma probabilidade menor de reutilização de senha, "os autores escrevem no artigo, Fatores que influenciam a reutilização de senhas:um estudo de caso. Os autores são Jacob Abbott, um IU Bloomington Ph.D. aluna; Daniel Calarco, chefe de equipe do escritório do vice-presidente de TI e CIO da IU; e L. Jean Camp, professor da IU Bloomington School of Informatics, Computação e Engenharia. O grupo apresentou suas descobertas em 21 de setembro no TPRC46:Research Conference on Communications, Política de Informação e Internet em Washington, D.C.
Para investigar o impacto da política de reutilização de senha, o estudo analisou as políticas de senha de 22 diferentes universidades dos EUA, incluindo sua instituição de origem, IU. Próximo, eles extraíram conjuntos de e-mails e senhas de dois grandes conjuntos de dados que foram publicados online e continham mais de 1,3 bilhão de endereços de e-mail e combinações de senha. Com base em endereços de e-mail pertencentes ao domínio de uma universidade, as senhas foram compiladas e comparadas com a política de senhas oficial da universidade.
As descobertas foram claras:regras de senha rígidas reduzem significativamente o risco de violação de dados pessoais em uma universidade.
"Nosso artigo mostra que os requisitos de senha, como comprimento mínimo de 15 caracteres, impedem a grande maioria dos usuários IU (99,98 por cento) de reutilizar senhas ou senhas em outros sites, "eles escrevem." Outras universidades com menos requisitos de senha tiveram taxas de reutilização potencialmente altas de 40%. "A análise deles descobriu que a IU teve o melhor desempenho de todas as 22 universidades - e tinha os requisitos mais extensos. Os autores não puderam testar legalmente se as credenciais eram realmente válidos; em vez disso, eles examinaram se as senhas poderiam ser potencialmente válidas, dados os requisitos de senha pública, como o comprimento da senha, complexidade e outros requisitos.
"IU trabalhou com professores de segurança e usabilidade para projetar nossas políticas de senha, com o resultado sendo políticas que valorizam o tempo das pessoas enquanto mitigam riscos, "Camp disse." O comprimento e a complexidade são equilibrados pelo período prolongado antes que novas senhas sejam geradas e o uso de uma janela de tempo de autenticação mais longa para os aplicativos. A implementação da autenticação de dois fatores da Universidade de Indiana é um modelo semelhante. "
Os autores oferecem as seguintes recomendações para proteger as senhas:
A autenticação multifator está se tornando mais comum e utilizável. IU, por exemplo, usa o login em duas etapas. Com os benefícios potenciais de reduzir o risco de reutilização de senha, a autenticação multifator pode ser uma alternativa viável para alterar o comprimento e / ou complexidade das políticas de senha.
"Nossas recomendações não se aplicam apenas a universidades, mas também pode ser usado por outras organizações, serviços ou aplicativos, " eles escrevem.