Den alltför vanliga metoden att använda samma e-postadress/lösenordskombination för att logga in på flera webbplatser kan vara skadlig, särskilt för arbetsgivare med många användare och värdefulla tillgångar som skyddas av lösenord, som universitet.

"Om någon använder sin universitets e-postadress och lösenfras för att registrera sig för, säga, LinkedIn, och LinkedIn kränks av cyberbrottslingar, det skulle innebära att deras universitetslösenord finns på webben för alla att se, "säger Indiana Universitys Dan Calarco, medförfattare på ett nytt dokument som undersöker praxis för återanvändning av lösenord.

Men forskare vid IU har upptäckt ett enkelt sätt att förhindra brottslingar som vill bryta sig in i universitetsdata.

"Vi fann att krävande av längre och mer komplicerade lösenord resulterade i en lägre sannolikhet för återanvändning av lösenord, " skriver författarna i tidningen, Faktorer som påverkar återanvändning av lösenord:en fallstudie . Författarna är Jacob Abbott, en IU Bloomington Ph.D. studerande; Daniel Calarco, stabschef för IU -kontoret för Vice President för IT och CIO; och L. Jean Camp, en professor vid IU Bloomington School of Informatics, Datorer och teknik. Gruppen presenterade sina resultat den 21 september på TPRC46:Research Conference on Communications, Information och internetpolicy i Washington, D.C.

För att undersöka hur policyn påverkar återanvändning av lösenord, studien analyserade lösenordspolicyer från 22 olika amerikanska universitet, inklusive deras heminstitution, IU. Nästa, de extraherade uppsättningar av e-postmeddelanden och lösenord från två stora datamängder som publicerades online och innehöll över 1,3 miljarder e-postadresser och lösenordskombinationer. Baserat på e -postadresser som tillhör ett universitets domän, lösenord sammanställdes och jämfördes mot ett universitets officiella lösenordspolicy.

Resultaten var tydliga:Stränga lösenordsregler minskar avsevärt ett universitets risk för personuppgiftsintrång.

"Vårt papper visar att krav på lösenfraser som en minsta längd på 15 tecken avskräcker de allra flesta IU-användare (99,98 procent) från att återanvända lösenord eller lösenfraser på andra webbplatser, " skriver de. "Andra universitet med färre lösenordskrav hade återanvändningsfrekvenser potentiellt så höga som 40 procent." Deras analys visade att IU presterade bäst av alla 22 universitet - och hade de mest omfattande kraven. Författarna kunde inte lagligt testa om referenser faktiskt var giltiga; istället undersökte de om lösenord potentiellt kunde vara giltiga givet offentliga lösenordskrav som lösenordslängd, komplexitet och andra krav.

"IU har arbetat med säkerhets- och användbarhetsfakulteten för att utforma våra lösenordspolicyer, med resultatet är policyer som värdesätter människors tid samtidigt som riskerna minskar, "Camp sagt." Längden och komplexiteten balanseras av den utökade perioden innan nya lösenord måste genereras och användningen av ett längre autentiseringstidsfönster för applikationer. Indiana Universitys lansering av tvåfaktorsautentisering är på samma sätt en modell."

Författarna ger följande rekommendationer för att skydda lösenord:

1. Öka den lägsta lösenordslängden till mer än 8 tecken.
2. Öka den maximala lösenordslängden.
3. Tillåt inte användarens namn eller användarnamn i lösenord.
4. Överväg multifaktorautentisering.

Multifaktorautentisering blir allt vanligare och användbar. IE, till exempel, använder tvåstegsinloggning. Med de potentiella fördelarna med att minska risken för återanvändning av lösenord, multifaktorautentisering kan vara ett gångbart alternativ till att ändra längden och/eller komplexiteten för lösenordspolicyer.

"Våra rekommendationer är inte bara tillämpliga på universitet, men kan också användas av andra organisationer, tjänster eller applikationer, " de skriver.