Perché non premiamo gli utenti che scelgono password forti? [chiuso]

Naviga le tue risposte
11

Supponiamo che ci sia una proprietà web che ha una sorta di sistema di ricompensa o di materie prime che i suoi utenti desiderano. Potrebbe essere la reputazione su siti simili a Scambio pila, badge di classificazione su bacheche di messaggi o funzioni aggiuntive sbloccate nel tempo.

Ho spesso visto moduli con un "misuratore della forza della password": quando l'utente inserisce la sua password, la barra cambia da rossa a gialla a verde per indicare quanto sia strong la scelta della password. Ma non ho mai visto una combinazione di questi due concetti.

Perché non premiamo gli utenti che scelgono password forti dando loro più ripetizioni in anticipo, o concedendo badge o sbloccando funzionalità esclusive? Immagino che badge pubblicamente visibili potrebbero non essere la mossa più intelligente; se ci fosse un badge in bronzo che potrebbe essere interpretato come "questo utente ha scelto la seconda più debole complessità" che avrebbe divulgato troppe informazioni a un potenziale aggressore. (Una rapida occhiata al profilo pubblico di un utente rivelerebbe quali account avevano le password più deboli e concentrerebbero i loro sforzi sui frutti a basso impatto.)

Qualcuno l'ha mai provato? Funzionava?

EDIT: cambierebbe qualcosa se il vantaggio non fosse pubblicizzato pubblicamente? Ad esempio, se una banca ha dato un tasso di interesse del conto di risparmio leggermente superiore agli utenti che hanno scelto di utilizzare un token MFA?

    
posta smitelli 22.04.2015 - 14:51
fonte

7 risposte

27

Non sappiamo come misurare la forza di una password, guardando la password. Naturalmente, ci sono molti strumenti che pretendono di essere "misuratori della forza della password" e ti danno un bel colore verde. Tuttavia, sono tutti baloney e non ti danno la "vera" forza; invece, quello che ti dice l'indicatore della forza della password: "supponendo che l'attaccante sia uno scimpanzé, la tua password è buona".

Quindi, mentre un valore "rosso" del contatore è un'informazione interessante (ti dice: "la tua password è così scarsa che persino uno scimpanzé potrebbe romperlo"), concentrarsi sull'ottenere un risultato "verde" non ti porterà lontano. Sarà, in generale, renderti immune agli hacker degli scimpanzé.

Infatti, i misuratori della forza della password e ancora di più il tuo sistema di badge proposto sono tossici : incoraggiano gli utenti a trovare password "spiritose" che escono dalla coppia di "regole della password" incorporate in il sistema del misuratore di password. Questo allena gli utenti nel cercare di raggiungere la sicurezza delle password attraverso l'astuzia e l'astuzia, l'esatto contrario di ciò che dovrebbero fare. L'intensità della password deriva dalla casualità . La casualità non può essere misurata dall'output.

Ciò che potrebbe funzionare è un generatore di password, che usa la casualità per suggerire una password agli utenti quando la scelgono. Quindi possono ottenere il badge se decidono di usare quella password. Se fanno un'altra scelta, nella privacy della loro mente (dove la casualità è difficile da ottenere, sfortunatamente), allora non ricevono il badge.

    
risposta data 22.04.2015 - 16:27
fonte
9

Alcuni motivi:

  • Perderebbe informazioni su quali account hanno password più deboli. Anche se non sono accessibili pubblicamente, se un utente malintenzionato ha avuto accesso agli hash delle password e il valore dell'indicatore della forza della password è stato recuperato, potrebbero eliminare il cracking delle password più difficili dal loro attacco.
  • "La forza della password" non è realmente una metrica. La forza di una password si basa sul pool di entropia da cui creare la password. admixquit potrebbe essere una frase casuale di 9 lettere minuscole, nel qual caso ha un'entropia di 42 bit. Oppure potrebbe essere due dicewords , fornendo solo 25 bit di entropia. La password juancarlitos è lunga 12 caratteri, e con questi metodi questo lo rende "più strong" di admixquit (con entrambe le varianti di generazione - Diceware o lettere casuali). Tuttavia juancarlitos si trova intorno alla posizione 200.009 nella RockYou elenco di parole che rende facile indovinare la password. Chi decide cosa si qualifica come "strong"?
  • Alcuni utenti si sentono a disagio con le password lunghe. Ciò potrebbe incoraggiare gli utenti a impostare una password complessa e ottenere la ricompensa solo per dover poi ripristinarla alla stessa password che usano su tutti gli altri sistemi perché l'hanno dimenticata. Questo sconfigge l'intero oggetto di avere la ricompensa in primo luogo.
risposta data 22.04.2015 - 16:33
fonte
2

Impostare un sistema come descritto sarebbe una perdita di informazioni che direbbe a un utente malintenzionato quali utenti attaccare, quindi sarebbe una cattiva idea solo per questo motivo.

Inoltre, non è necessario. Se vuoi che gli utenti scelgano password sicure, tutto ciò che devi fare è impostare i requisiti di lunghezza e complessità.

    
risposta data 22.04.2015 - 14:57
fonte
2

Lo stesso motivo per cui le persone non ottengono ricompense per aver pagato il mantenimento dei figli o essere presenti al lavoro, è qualcosa che dovresti fare. Non ti lodi per le cose che dovresti fare. Chris Rock ha fatto una bella presentazione su questo argomento.

    
risposta data 22.04.2015 - 17:17
fonte
2

In primo luogo, che cos'è una password complessa? La sorprendente maggioranza dei siti web utilizza contatori basati sulla massima entropia raggiungibile di uno spazio di caratteri, piuttosto che sull'entropia delle password effettivamente create dagli utenti . I misuratori di forza non riescono ad incitare gli utenti a creare password realmente casuali e non riescono a cogliere il fatto che gli utenti riutilizzano regolarmente le password (per una buona ragione: hanno troppe cose da ricordare).

In secondo luogo, perché dovremmo continuare a forzare gli utenti a scegliere password forti e uniche? L'autenticazione così come è attualmente implementata è rotta. Richiede troppa fatica mentre lo ridimensiona al numero di incontri di autenticazione che una persona fa al giorno (vedi Studio della fatica con password NIST per avere un'idea della scala degli eventi di autenticazione sul posto di lavoro ).

La maggior parte dei ricercatori e degli industriali che lavorano sull'autenticazione non comprendono questo fatto fondamentale e, di conseguenza, non abbiamo prove su quale sia la migliore linea di condotta per gli sviluppatori di siti web. Tuttavia, è necessario utilizzare sistemi di identità federati come OAuth2 o OpenID, per consentire agli utenti di fare affidamento su es. le loro credenziali GMail per accedere. Molti siti Web non hanno alcuna giustificazione logica per chiedere agli utenti di ricordare ancora un'altra password e non dovrebbero certamente consumare più attenzione dell'utente rispetto a quella strettamente necessaria per le loro operazioni di sicurezza.

Se hai bisogno di essere più convincente del motivo per cui è una cattiva idea forzare o addirittura incoraggiare gli utenti ad aumentare i loro sforzi nella creazione di password, leggi:

risposta data 22.04.2015 - 15:30
fonte
1

La maggior parte dei siti web / servizi farebbe fatica a offrire un incentivo per un utente con una password complessa. Certo, badge e rappresentante su siti come * .stackexchange ma altrimenti non vedo cosa potrebbe davvero essere offerto?

Ovviamente ignorando la fuoriuscita di informazioni o il target painting per gli utenti senza password più potenti. Non sono sicuro se costituisca o meno una violazione DPA nel Regno Unito - consulterò il nostro responsabile DPA e chiederò. (Modifica: non si tratta di una violazione DPA in quanto non sono coinvolti dati personali)

Non penso che un approccio carota e bastone funzioni per quanto riguarda la complessità della password, fino a quando un utente non è stato punto.

    
risposta data 22.04.2015 - 15:25
fonte
1

Anche se l'argomento secondo cui la sicurezza stessa dovrebbe essere sufficiente per una ricompensa è giusto, ci sono alcune aziende là fuori che già lo fanno. Ad esempio Mailchimp (con il quale non ho alcuna affiliazione oltre a essere un cliente) ha dato uno sconto del 10% da marzo 2013 se abiliti 2FA sul tuo account (e prima era del 2% poiché febbraio 2012 ).

Ovviamente hanno deciso come società che riduce il rischio per loro (se uno spammer si impossessasse del tuo account Mailchimp potrebbe mettere un grosso problema alla loro reputazione e capacità di consegna), quindi ti stanno ricompensando finanziariamente per questo.

    
risposta data 22.04.2015 - 23:39
fonte

Leggi altre domande sui tag

Dove si trovano alcuni criteri di sicurezza attualmente in uso? È sicuro archiviare foto e documenti sui servizi skydrive / google cloud?