Se hai un sito web rivolto a persone che non sono necessariamente tecnicamente abili, lasciare che i nuovi utenti scelgano la propria password non è molto sicuro a causa del fatto che molte persone non scelgono password sicure. Alcuni metodi per affrontare questo problema sono:
- Più comune: disporre di un "correttore forza password" o richiedere che la password contenga un determinato numero e diversi tipi di caratteri. Queste spesso non sono molto buone e danno luogo a password che in realtà non sono molto sicure e / o difficili da ricordare (ovviamente questo non significa che si possa fare un ottimo correttore di password, anche se è piuttosto difficile).
- Genera una sequenza casuale di caratteri: molto poco pratica e insicura perché le persone tendono a scriverle perché non riescono a ricordarle.
- Autenticazione a due fasi tramite SMS o e-mail: non molto comoda per l'utente.
Ho pensato ad un approccio diverso ispirato al fumetto di XKCD . Funziona così:
Quando un nuovo utente si registra, viene presentato con 20 parole del dizionario scelte a caso. Viene chiesto loro di pronunciare una frase segreta (chiamiamola una passphrase) che contenga almeno cinque di queste parole. Sono incoraggiati a creare una frase senza senso che è difficile da indovinare ma facile da ricordare. Hanno un'opzione per aggiornare le 20 parole casuali più volte se non riescono a pensare a nulla.
Questa passphrase funzionerà semplicemente come le loro password. Devi solo verificare che utilizzino almeno cinque delle parole fornite e adottare le normali misure di sicurezza che avresti per le normali password.
Personalmente ritengo che questo sia un modo abbastanza user-friendly di lasciare che le persone scelgano password sicure; e i problemi che ho menzionato per gli altri metodi sembrano essere evitati. Certo, potrei sbagliare completamente e controllare qualcosa di importante. Quindi mi piacerebbe davvero sentire cosa pensano le persone intelligenti di questo sistema.