FTC menentang kebijakan konvensional dan mengatakan bahwa mengubah kata sandi sering kali dapat merugikan

Kebijaksanaan konvensional kembali mendapat pukulan. Selama lebih dari 30 tahun, salah satu tip keamanan komputer yang paling umum adalah mengubah kata sandi Anda secara teratur. Buatlah menjadi rumit, jangan menggunakan hal yang sama berulang-ulang, jangan menuliskannya pada catatan tempel yang ditempel di monitor Anda, dan sering-seringlah mengubahnya. FTC ingin Anda melupakan nasihat terakhir itu, menurut Ars Technica.

Kepala Teknologi Komisi Perdagangan Federal Lorrie Cranor berbicara di PasswordsCon 2016 minggu lalu tentang keterkejutannya sendiri ketika dia meninggalkan Universitas Carnegie Mellon untuk bekerja di FTC. Cranor menemukan bahwa lembaga tersebut tidak hanya meminta karyawannya untuk mendorong teman dan keluarga untuk mengubah kata sandi secara teratur, dia sendiri kini memiliki enam kata sandi pemerintah baru yang harus dia ubah setiap 60 hari.

Cranor mengatakan kepada pejabat informasi dan keamanan FTC bahwa mengubah kata sandi sering kali dapat melemahkan keamanan karena pengguna membuat perubahan yang dapat diprediksi yang dapat dideteksi oleh peretas dengan algoritme. Diminta bukti atas klaim tak terduga ini, Cranor mendapatkannya.

Pada tahun 2010, peneliti dari University of North Carolina di Chapel Hill mempelajari 10.000 rekening universitas yang telah jatuh tempo yang mana mereka dapat melacak riwayat kata sandi. Pemegang akun harus mengubah kata sandi setiap tiga bulan. Sebagian besar, pengguna hanya melakukan sedikit perubahan pada kata sandi mereka, menggunakan pola yang dapat dideteksi. Misalnya, pengguna dapat menggunakan huruf besar secara bertahap pada satu huruf dalam kata sandi dan melanjutkan ke huruf berikutnya dengan setiap perubahan, misalnya “Labu77!”, “Labu77!” dan “puMpkin77!.” Pola umum lainnya adalah menambah satu digit saat mengganti, seperti “Labu1!”, “Labu2!” dan “Labu3!.” Para peneliti mengembangkan algoritma yang dapat memecahkan akun sebelum lockout sebanyak 17 persen.

Studi tambahan dari Kanada Universitas Carletonitu Institut Standar dan Teknologi Nasional, dan Inggris CESG (Kelompok Keamanan Komunikasi-Elektronik) semuanya menunjukkan bahwa perubahan kata sandi yang sering dan wajib menimbulkan ketidaknyamanan bagi pengguna hingga pengguna membuat kata sandi yang dapat dideteksi. Dengan kata lain, kebijaksanaan konvensional justru menjadi bumerang.

Cranor melaporkan bahwa sebagai hasil penelitiannya, FTC secara bertahap mengubah prosedur internal sehingga tidak memerlukan perubahan kata sandi.

Saran untuk mengubah kata sandi masuk akal jika semua pengguna membuat kata sandi yang panjang dan rumit, misalnya dengan lebih banyak karakter khusus daripada huruf atau angka. Namun, kebanyakan orang mengambil jalan yang lebih mudah dan menggunakan kata sandi yang mudah diingat dan mengubahnya menjadi pola yang mudah dipahami bila diperlukan.