Le password alfanumeriche al singolo caso sono le più facili da usare?

12

Spesso ci viene consigliato o richiesto di comporre password contenenti tutti i seguenti elementi: numeri, lettere minuscole, lettere maiuscole e alcuni caratteri speciali. Dal mio punto di vista questo non è il miglior consiglio.

Supponendo che abbiamo bisogno di 80 bit di entropia nella nostra password, che può essere ottenuto nei seguenti modi: 16 caratteri alfanumerici casuali a caso singolo; 14 caratteri alfanumerici a due casi casuali; o 13 caratteri ASCII stampabili

La mia opinione è che è più facile digitare due o tre caratteri alfanumerici singoli maiuscoli piuttosto che manipolare ripetutamente il tasto maiuscole / minuscole e cercare nella tastiera i caratteri speciali.

    
posta Peter 13.10.2014 - 11:09
fonte

4 risposte

21

Se vuoi che lo schema della password sia il più facile da usare, devi lasciare che l'utente scelga quello che vuole invece di imporre tale limitazione cercando in secondo luogo cosa preferirebbe all'utente .

Ogni essere umano è unico. Alcuni potrebbero preferire una password complicata e breve che possa essere immessa rapidamente in virtù della pura memoria muscolare, mentre altri potrebbero preferire una passphrase che può essere inserita in un brano.

Penso che gli sviluppatori dovrebbero rispettarlo, invece di cercare di adattarci tutti a uno stampo.

    
risposta data 13.10.2014 - 13:52
fonte
11

17 caratteri alfabetici a caso singolo a caso hanno la stessa entropia e sono ancora più facili da ricordare e digitare.

    
risposta data 13.10.2014 - 11:22
fonte
1

C'è un compromesso tra:

  1. chiedendo agli utenti di digitare brevi frasi o frasi, senza la necessità di convalidare caratteri maiuscoli e non alfabetici
  2. stringhe di testo molto brevi con complessità di carattere

Gli utenti misureranno la loro esperienza come il problema della vecchiaia e il successo per digitare la loro password e avrai risultati diversi con un pubblico diverso e spetterà al progettista del sistema capire cosa funziona meglio per il particolare pubblico (sebbene, Direi che nessuna password è la migliore, ma questa è una risposta ad un'altra domanda).

Nel settore bancario, ho avuto un maggiore successo con l'utilizzo di password numeriche (entropia orribile) rispetto a un call center in cui le frasi lunghe avevano i migliori tassi di successo (suppongo che fossero più bravi a digitare).

Mi piacerebbe pensare che "la password" come mezzo di autenticazione abbia una durata limitata.

    
risposta data 13.10.2014 - 11:41
fonte
0

Non direi che è più facile da usare. Personalmente, voglio ricordare meno personaggi, ma odio anche i limiti artificiali che mi vengono posti. Un approccio più interessante potrebbe essere quello di calcolare l'entropia della password di un utente e richiedere semplicemente una certa quantità di entropia.

Se l'utente non immette altro che lettere minuscole, richiederebbe la maggior parte dei caratteri. Se includono maiuscole, numeri o segni di punteggiatura, ciascuna di queste classi di caratteri verrebbe applicata alla lunghezza della password per determinare la quantità di entropia.

Questo lascerebbe all'utente decidere se desidera avere una password alfabetica più lunga o una password più breve e più complessa. L'unica cosa aggiuntiva che è necessario memorizzare per un tale sistema sarebbe una bandiera per dire che la password non è sensibile al maiuscolo / minuscolo se viene utilizzata la stessa maiuscola per l'intera password. Potresti quindi eseguire una stringa inferiore se il flag è impostato per garantire che le voci future vengano elaborate allo stesso modo.

Ha lo svantaggio di rendere meno ovvio ciò che deve essere fatto, ma un messaggio di errore dettagliato può ancora essere creato, come ad esempio "La tua password non è ancora abbastanza sicura, per rendere la tua password più sicura, considera l'aggiunta 3 segni di punteggiatura, 1 lettere maiuscole, 2 numeri, 6 lettere maiuscole minuscole o prova alcuni sottoinsiemi di quelli. Assicurati di diffonderli attraverso la password. " Ciò consentirebbe all'utente di conoscere esempi di ciò che deve essere aggiunto per ottenere sufficiente entropia.

Ha anche il rovescio della medaglia che gli utenti probabilmente aggiungeranno semplicemente alla fine, il che è meno sicuro che se fossero sparsi ovunque, ma il problema degli utenti che scelgono password sbagliate è antico quanto la sicurezza delle informazioni.

    
risposta data 14.10.2014 - 16:14
fonte

Leggi altre domande sui tag