Perché l'utente sceglie la password?

62

Quasi tutti i servizi Web che posso immaginare hanno scelto l'utente per la password. Perchè è questo? Non è possibile che il sistema scelga una password migliore? Non deve essere un pasticcio complicato; vedi questa risposta . Gli utenti trovano le loro scelte più convenienti? Quando selezioni la password per l'utente, conosci l'entropia, invece di porre alcune restrizioni che potrebbero impedire loro di usare uno schema di bassa entropia.

Perché permettiamo all'utente di scegliere la password?

    
posta PyRulez 13.04.2015 - 21:54
fonte

11 risposte

72

Perché, in effetti?

Permettimi di ignorare questa domanda per un momento e rispondi alla tua domanda implicita: dovremmo? Cioè, dovremmo continuare a fare in modo che gli utenti creino una propria password, che è spesso debole, invece di fare in modo che il sistema generi una password sicura per loro?

Bene, sono dell'opinione controversa che ci sia un trade-off piuttosto strong qui - avere una password sicura e SAPERE quanto è sicuro (come fai notare), da una parte, e dall'altra parte è il sentimento dell'utente della sicurezza. "Usabilità", in una certa misura.

Penso che ci siano diversi aspetti di questa sensazione di sicurezza: alcuni utenti vorrebbero assicurarsi di avere una password sicura (ad es. tramite un gestore di password o diceware); alcuni utenti vorrebbero selezionare una password facile; e alcuni utenti vogliono usare la stessa password ovunque. E sì, molti utenti semplicemente si aspettano di essere in grado di impostare la propria password, per qualsiasi motivo - quindi oltre a qualsiasi causa specifica, dovrai comunque combattere la battaglia di rieducazione, che è tutt'altro che facile .

Inoltre, non dimenticare che una volta ottenuta una buona password per l'utente, l'utente (spesso non tecnico) ha ancora bisogno di capire cosa fare con esso - anche le passphrase diventano difficili da ricordare dopo la prima dozzina o così, o se lo usi solo ogni 6 mesi ... L'utente non tecnico molto probabilmente lo salverà in un documento word sul loro desktop o nella loro email. (E ovviamente scrivere la password del sistema operativo su una nota adesiva allegata allo schermo).

Ora, non sminuire queste ragioni, o queste cause per l'utilizzo di password deboli - noi del settore della sicurezza abbiamo creato questo scenario per la gente semplice per anni. Ma in realtà si tratta di: quanto è sicuro che il tuo sito sia necessario. Quanto rischio l'utente può decidere di assumere se stesso / a, e quanto di questo è un rischio sistemico che dovrebbe essere tolto dalle mani dell'utente.

Quindi bottom line: Sì, penso che la maggior parte dei siti che hanno requisiti di sicurezza non trascurabili dovrebbero offrire password / passphrase di generazione. A seconda del profilo e dell'architettura, puoi offrire 3 opzioni quando registri un account (o modificando la password, ecc ...) - assicurati solo di visualizzare la password solo dopo aver avvisato l'utente che non ha effettuato il surfing:

  • Genera passphrase - con un numero di parole configurato o flessibile (predefinito)
  • Genera password pazzesca con entropia ridicola, ad es. per il salvataggio in Gestione password
  • Crea il tuo.

In effetti questo è ciò che raccomando da tempo (le varianti dipendono dai requisiti specifici ...).

Tornando alla tua domanda iniziale, perché non è stato fatto quanto sopra?
Direi una combinazione di sistemi legacy e cattive abitudini; mis-education (la stragrande maggioranza dei siti ha ancora politiche e raccomandazioni di password BAD); e forse solo una mancanza di consapevolezza di una soluzione migliore.

Sì, questo è perché le password succhiano . :-)

    
risposta data 13.04.2015 - 22:31
fonte
30

Ottieni la password per l'utente

Le uniche volte in cui ho visto sistemi che impostano la password per l'utente, questa viene inviata all'utente via e-mail (ovviamente in testo normale), che è ovviamente una cattiva idea [*] (e SMS, Mail, ecc non sono molto meglio)

Così lascerebbe la visualizzazione della password durante la creazione dell'account (che potrebbe anche essere una cattiva idea a causa della tracolla). Immagino che ciò porterebbe a un sacco di utenti che ignorerebbero questo, o non capire che è importante. Gli utenti sono abituati a ricordare / annotare / memorizzare le password quando le creano da sole, ma non sono abituate a leggere alcune pagine dopo aver creato un account; molti probabilmente lo ignorerebbero.

[*] perché chiunque abbia accesso all'account di posta degli utenti (forza bruta, utente dimenticato di disconnettersi, ecc.) non avrà accesso. Se un utente malintenzionato utilizza la reimpostazione della password per ottenere l'accesso, un utente lo noterebbe almeno.

Consentire all'utente di ricordare la password

Gli utenti devono conoscere le loro password. In genere, hanno un paio di opzioni per questo (memoria, scriverlo o archiviarlo in un file o in un gestore di password). Uno dei principali (la memoria) non sarebbe pratico con il tuo approccio [*], che suppongo sia la ragione principale per cui i siti Web non generano password per gli utenti.

[*] anche con password generate facili da ricordare gli utenti avranno ancora più difficoltà a ricordare che le password che hanno scelto da sole.

Esperienza utente

La sicurezza non è l'attività principale della maggior parte dei servizi web. Spesso è più importante che gli utenti siano felici e molti utenti non saranno contenti se non possono scegliere le proprie password (perché non vogliono ricordare le password generate e non vogliono scriverle, e lo fanno anche non voglio usare un gestore di password). Gli utenti vogliono solo utilizzare un servizio e qualsiasi cosa che lo rende più complicato può potenzialmente portare a una percentuale di persone che utilizzano un servizio concorrente.

Conclusione

Le password sono sempre un compromesso tra usabilità e sicurezza, e non lasciare che gli utenti scelgano password riduce l'usabilità di un servizio troppo per la maggior parte di esse (e a causa dei problemi di ottenere effettivamente la password generata per l'utente, potrebbe non anche aggiungere tutta quella sicurezza).

    
risposta data 13.04.2015 - 22:11
fonte
17

Le organizzazioni vogliono che gli utenti siano responsabili.

Se l'utente ha scelto la password, può essere accusata di averne scelto uno cattivo.

Sfortunatamente, nel mondo reale, le organizzazioni potrebbero essere più preoccupate di assumere alcune delle responsabilità per le intrusioni piuttosto che assicurare che non possano accadere.

Gli utenti vogliono scegliere qualcosa che possono ricordare

Molti utenti non annoteranno le loro password (mettendo da parte se questa è una buona idea o no). Preferiscono scegliere qualcosa che pensano di poter ricordare. (Questo è particolarmente importante per le migliaia di siti che non dovrebbero richiedere una password ma obbligano gli utenti a sceglierne uno).

    
risposta data 14.04.2015 - 06:03
fonte
11

Un rispondente ha toccato la risposta giusta, ma non l'ha ampliato abbastanza, quindi lo farò.

Stai ponendo la domanda da una prospettiva computerizzata o IT-centrica. Ma perché esiste questo IT? Per servire il cliente. Permettetemi di ripeterlo: il cliente non è lì per servirvi, voi siete lì per fare ciò di cui hanno bisogno che voi facciate.

Con questo in mente, rivisitiamo la domanda: perché permettiamo ancora ai clienti di scegliere le proprie password? Perché non impostiamo le password per i clienti?

Perché se costringiamo le password ai clienti, cosa pensi che faranno? Abbiamo imposto qualcosa di immemore a loro che hanno bisogno di sapere dopo. I garantiscono che prenderanno un Post-It e scriveranno quella password.

Hai fallito. Le password scritte su carta sono un errore di sicurezza. Non vuoi mai che ciò accada . E prima che tu incolpi il cliente in questo caso, sei tu a costringerli a usare una password che non hanno avuto modo di creare. Non avevano alcuna possibilità di renderlo memorabile. Hai detto loro "Memorizza 'F82 $ fVq9' e non annotarlo". Come cliente, la mia prima reazione sarebbe "Vaffanculo". Le aziende non possono dire ai clienti cosa fare. I clienti troveranno il modo di ribellarsi, inclusa la scrittura di password casuali. Non combattere la natura umana. Tu. Volontà. Perdere.

Ecco perché lasciamo che i clienti scelgano le password. Se il tuo sito vale la pena, fa come fa la maggior parte dei siti oggi, controlla la forza della password scelta. Assicura che la password sia lunga 8 caratteri, ha due cifre, un carattere maiuscolo e un simbolo.

E hai ancora fallito il tuo obiettivo originale perché i computer di oggi possono eseguire la bruta forza delle password di 8 caratteri in pochi secondi. Basta dire.

Vuoi una vera sicurezza della password che il cliente sceglie e dove sei anche contento della forza? Ecco qua: link

    
risposta data 15.04.2015 - 07:26
fonte
6

Pensaci in questo modo, se scegli la password dell'utente per loro, la dimenticheranno e dovranno utilizzare i sistemi di reimpostazione della password.

La "password dimenticata" è solitamente meno sicura della password, rendendo la password più sicura, ma causando più reimpostazioni di password rende l'intero sistema meno sicuro in quanto sarebbe più difficile rilevare tentativi fraudolenti di "password dimenticata".

Modifica: presumo che tu non lavori per un deposito di banche o di armi nucleari. Se lo fai, per favore ignora il mio consiglio.

    
risposta data 14.04.2015 - 00:21
fonte
4

Non seleziono le mie password. Io uso un gestore di password che genera password casuali per me.

Tuttavia, la maggior parte dei siti Web si basa sull'idea che gli utenti memorizzino le proprie password. È molto più facile per un utente memorizzare una password che hanno scelto da sé, piuttosto che una assegnata a loro. In pratica, in genere gli utenti utilizzano la stessa password su molti siti e, mentre la stampa di piccole dimensioni gli comunica di non farlo, la procedura di registrazione non può fermarli.

Sento strongmente che il modello "memorizza le tue password" è difettoso e un gestore di password è una scelta migliore per quasi tutti. Ma questa non è la realtà; Non ho figure, ma anche tra i miei amici esperti di tecnologia, usare un gestore di password per tutto è raro.

    
risposta data 14.04.2015 - 14:17
fonte
2

In molte situazioni, l'utente dovrebbe essere il proprio watchdog di sicurezza perché l'utente del sistema non è la minaccia per il sistema. Le minacce al sistema sono gli amministratori e gli operatori di livello dipendente che, in virtù della posizione, hanno un'esposizione elevata e autorizzazioni / diritti all'interno del sistema.

Senza un sistema seriamente imperfetto, James Random Person non sarà in grado di generare e aggiungere al suo account $ 4 milioni di bit e byte, tutto da solo. Lui o qualcuno che agisce come lui può davvero danneggiare il suo stesso account. La vera minaccia è da quelli con privilegi / diritti elevati, che sono all'interno. Se James Random Person ha una password di "xxxx22" e il suo account viene compromesso, è su di lui, non su di te.

Sì, password / passphrase sicure sono una grande idea. Ma non appena inizi a forzare gli utenti a usarli, gli utenti si arrabbieranno e gli utenti se ne andranno.

    
risposta data 14.04.2015 - 02:04
fonte
2

Nonostante questa domanda abbia già un miliardo di risposte, le proposte molto recenti per i browser rendono degna di menzione un'altra possibilità. Sì, l'attuale soluzione per la password fa schifo. Tuttavia, la risposta non è fare le password meglio. La risposta è quella di abbandonare le password. W3C e Fido lanciano una nuova proposta per il supporto nativo del browser per l'autenticazione degli utenti esterni: chiavi hardware, dati biometrici, ecc. Ecco un paio di articoli:

link link

Ovviamente questo è molto lontano dall'essere di uso comune. Vale anche la pena ricordare che ci vorrà molto tempo (se mai) prima che opzioni di accesso come queste sostituiscano completamente le password. Le password saranno in giro per molto, molto tempo. Tuttavia, se dovessi creare un sistema che necessitasse di una sicurezza utente di prim'ordine, non mi preoccuperei di fornire un'opzione alternativa per la generazione di password. Vorrei semplicemente supportare le best practice della password corrente e fornirei il supporto per schemi di autenticazione alternativi come quelli appena descritti non appena la tecnologia è fattibile.

    
risposta data 11.04.2018 - 14:10
fonte
1

Altre persone lo hanno menzionato prima- ma ritengo che un utente abbia il controllo sulla sicurezza del proprio account.

Detto questo, sono d'accordo sul fatto che molte password non sono molto forti e dovrebbero certamente essere controllate da un lato client (quindi non stiamo inviando password raw attraverso il rete) per complessità, e se la password non ha un punteggio abbastanza alto, chiediamo all'utente di creare una password più strong.

Anche se la password ha una modifica richiesta l'utente sta ancora arrivando con la modifica e, come hai sempre sentito a scuola, "se lo scrivi non lo dimenticherai , "e penso che lo stesso sia vero in questa circostanza con la creazione di password.

Off topic, ma consiglio vivamente 1Password per gli utenti che hanno difficoltà a ricordare le password.

    
risposta data 14.04.2015 - 01:28
fonte
0

When selecting the password for the user, you know the entropy, as opposed to placing some restrictions that may prevent them from using a low entropy scheme

Per avere il meglio di entrambi i mondi, puoi anche calcolare l'entropia (o qualsiasi altro meccanismo tu ritenga appropriato) mentre digitano la loro password scelta. Questo è il meccanismo utilizzato su molte pagine di registrazione:

Ci sono diversi vantaggi di questo metodo (l'utente sceglie la sua password, è consapevole che si tratta di uno "buono" o "cattivo", ...).

Assicurati che la tua filosofia di ciò che costituisce una buona e cattiva password abbia un senso e che la tua implementazione sia gestita da un gestore di password (io semplicemente odio questi siti che infrangono Lastpass nel nome di dio-sa-cosa)

    
risposta data 15.04.2015 - 15:08
fonte
0

Le password ok fanno schifo. In realtà ho trovato più prove di insuccesso precoce della password rispetto ai sistemi di password ben progettati quando si guardano le password come metodo di controllo degli accessi prima dei computer. Sfortunatamente ci sono tre metodi che ho visto per "affrontare" il problema.

  1. analisi dei rischi: decidi che il rischio è basso e il costo è elevato, quindi non fare nulla (ci sono molte risposte che sostengono da questo punto di vista su questa domanda).

  2. password migliori: al centro la tua domanda è alla ricerca di un modo per farlo. Purtroppo questo è difficile e costoso (costo opportunità al minimo). Per esempio ho fatto uno sforzo nel mio tempo libero per un periodo di mesi per impostare un generatore di password integrato nella scadenza della password di accesso del mio computer usando pam. Non ho fatto progressi significativi e i componenti di base sono stati rimossi dalla distribuzione prescelta per i bug.

  3. qualcosa di diverso dalle password: mi sono sforzato di impostare l'accesso basato su smartcard sul mio computer prima di raccomandarlo al mio capo. Non ho trovato nessuno che mi possa vendere per testarlo. Spero che questo sia cambiato nell'ultimo anno, ma l'ultima volta che ho controllato erano meno disponibili rispetto a prima negli Stati Uniti.

Trovo questo deprimente.

    
risposta data 17.04.2015 - 08:10
fonte

Leggi altre domande sui tag