Vastoin yleistä käsitystä, salasanan vaihtaminen usein voikin olla turvallisuuden kannalta turhaa, kertoo Ars Techinca.
Monella työpaikalla noudetaan sääntöä, jonka mukaan tärkeät henkilökohtaiset salasanat tulisi vaihtaa esimerkiksi kerran tai kaksi vuodessa. Yleisen salasanaohjeen takana on pelko siitä, että salasanat vuotaisivat yrityksen sisältä ulkopuolisille.
Viimevuosina tehdyt tutkimukset ovat kuitenkin kyseenalaistaneet tunnetun ohjeistuksen. Usein vaihdettu salasana ei nimittäin välttämättä paranna turvallisuutta, vaan päinvastoin ajaa ihmiset valitsemaan helposti muistettavia salasanoja, jotka saattavat olla myös kaikkein yleisimmin käytettyjä.
Tätä mieltä on myös Yhdysvaltain kauppakomission pääteknologisti Lorrie Cranor, joka puhui aiheesta Las Vegasissa järjestetyssä BSides-tapahtumassa.
Eräässä Pohjois-Carolinan yliopiston tutkimuksessa havaittiin esimerkiksi, että usein salasanaa vaihtavat todennäköisimmin tekevät vain pieniä muutoksia salasananmuutosten yhteydessä. Salasanan perään saatetaan esimerkiksi lisätä numeroita tai erikoismerkkejä. Salasanan turvallisuus ei siis parantunut salasanan pakollisen vaihdon myötä.
Tämän pohjalta tutkijat kehittivät algoritmin, jonka avulla pystyttiin ennakoimaan salasanan muutokset. Algoritmia myös testattiin aidossa tilanteessa, jossa sen todettiin toimivan 17 prosentissa tapauksista täysin oikein. Näissä tapauksissa algoritmi auttoi arvaamaan salasanan korkeintaan viidellä yrityksellä.
Lähde: Ars Techinca