許多企業或機構,都會在電腦的登入系統加上設定,強制用戶定期更換密碼,於是每隔一段時間,員工就要搞盡腦汁,利用不同的數字和符號,拼湊出新的組合,減少密碼一旦外泄所引致的損失。不過,美國聯邦貿易委員會(FTC)的科技保安專家就質疑,除非密碼疑似外洩或者被盜,否則定期更改密碼,可能弊多於利。
FTC 首席技術專員 Lorrie Cranor 撰文,呼籲反思這種保安技術。她認為「勉強無幸福」,迫使員工定期轉密碼,可能改來改去,都是些一攻就破的「渣密碼」。一項在 Carnegie Mellon 大學進行的研究就發現,對定期換密碼感到煩厭的人,他們所挑選的密碼,被撞破的機會率較其他人設定的高 46%。
美國國家標準與技術研究院(NIST)亦曾指出,用家經常被迫每過一段日子,就要為多個帳戶,重新設定及牢記密碼,所以傾向選擇保安性較弱的密碼,或者將幾款密碼組合用在大量帳戶之上。結果,密碼換完又換,保安程度不升反跌。
另一項大學研究更加發現,在每隔 3 個月就要轉密碼的情況下,用家設定新密碼時,往往會依循舊密碼的模式,稍作改動就算,譬如將「E」改做「3」,或者改減「!」之類的符號。研究人員利用特製的程式,在 3 秒之內就能預測出 41% 帳戶將會改用的新密碼 ,有 17% 帳戶在嘗試 5 次之內亦被撞中。可見改者無心的話,改與不改都是一樣。
如今科技日新月異,就算將密碼改得「面目無非」,也不見得完全可靠。加拿大 Carleton University 的研究就指出,有黑客透過植入間諜軟件,偵測用戶的打字紀錄,每次登入系統,黑客就可套取用戶輸入的密碼。如此一來,變動密碼也於是無補。
分析認為,長遠應該棄用單以密碼認證的做法。例如滙豐即將推行的生物識別技術,或者執行雙重認證,要求用戶在既定的密碼之外,再輸入經由短訊發出的一次性編碼,或者是較可取的方式。
