Password sicure memorabili per utenti precedenti

8

Come molte persone che lavorano nell'IT, mi sono trovato nella posizione di fornire supporto tecnico ai parenti più anziani. La maggior parte di questi parenti non sono tecnicamente esperti e odiano l'idea delle password.

Di solito mi sento frustrato e finisco per dare loro una variante di p@ssw0rd che ovviamente non è così sicura.

Qual è il modo migliore per educarli su una generazione di una password sicura che possono facilmente ricordare e digitare?

    
posta Burgi 08.11.2015 - 23:42
fonte

4 risposte

3

Sono un sostenitore dell'approccio passphrase. Sappiamo tutti che le password più lunghe sono più difficili per gli attacchi di hash cracking. Per diversi anni ho sostenuto l'uso di una frase breve con tipica capitalizzazione e punteggiatura. Ciò produce lunghezza e complessità intrinseche, ma potrebbe consentire una facile congettura. Per rendere più difficile l'ipotesi, è possibile aggiungere ulteriore forza con l'uso di un numero a più cifre o di una parola dispari, come un nickname o una derivata estranea.

Le seguenti sono tutte password robuste facili da ricordare e naturali da digitare.

  My home was 7925.
  Bito loves little kids.
  Mum was born in 1918.

Io sostengo questo approccio per tutti, ma potrebbe essere particolarmente utile per le persone anziane. loro scegli un fatto dalla loro giovinezza, che è spesso più facile da ricordare per gli anziani rispetto ai fatti attuali.

I vantaggi:

  • Frasi o frasi facili da ricordare.
  • Il linguaggio naturale include la punteggiatura e gli spazi che crea complessità, ma è facile da ricordare e facile da scrivere.
  • Anche le frasi più corte sono una lunga password.

Svantaggi:

  • La mancata inclusione di una parola dispari o di un numero a più cifre può rendere la passphrase suscettibile alla forza bruta se l'autore dell'attacco assume una struttura di frase e utilizza un dizionario.
  • Digitare una passphrase lunga senza vedere cosa si sta digitando può essere un problema per alcuni utenti.
  • Alcuni sistemi non consentono l'intero set di caratteri come spazi o punteggiatura.
  • Alcuni sistemi limitano la lunghezza della password.

Basta parole semplici nella passphrase per renderlo strong senza ulteriore complessità, BTW. Considera: utilizzando un dizionario inglese molto piccolo contenente solo 10.000 parole. Quattro parole in uno schema prevedibile avrebbero 10000 ^ 4 = 10 ^ 16 combinazioni, leggermente più di un complesso (scelto tra 96 caratteri possibili) 8 caratteri password e ogni parola aggiuntiva aggiunge più combinazioni di 2 caratteri in una password complessa da 10000 > 96 ^ 2. Quindi

  Dogs and cats are cute.

è più strong di una password complessa di 10 caratteri anche se l'utente malintenzionato sa che la passphrase è una semplice frase.

Se prendi quanto sopra e aggiungi una parola dispari o un numero a più cifre, una frase di quattro parole è una password molto strong.

Includere punteggiatura e lettere maiuscole a metà frase rafforzano significativamente la passphrase, BTW.

    
risposta data 12.11.2015 - 15:47
fonte
3

Poiché il campo della password è mascherato, gli utenti devono essere in grado di digitare senza ottenere feedback dallo schermo, quindi hanno bisogno di qualcosa che possono scrivere con successo solo con la tastiera da guardare. Per questo tipo di situazione, mi piace mostrare i motivi della tastiera:

zaq1@WSXfacebook [lo schema diventa evidente quando lo scrivi]

Ogni password generata è unica, soddisfa i requisiti di complessità e lunghezza e trovo che le persone adottino l'approccio "senza pensare o ricordare". È anche facile "cacciare e beccare" sulla tastiera coloro che non sono mai stati bravi dattilografi o che hanno problemi di visione. Ho persino fischiato fisicamente i tasti in modo che qualcuno con una visione scarsa potesse farlo toccando da solo.

    
risposta data 12.11.2015 - 17:19
fonte
0

Dopo alcune lunghe discussioni sulle frasi passate, mi sono imbattuto in un'idea per risolvere questo problema.

Forse è la mia incapacità di spiegare pienamente i vantaggi / le ragioni che mi hanno maggiormente frustrato. Una delle contro-argomentazioni che ho trovato mi è stata restituita:

They don't look like passwords

Ho impostato le password dei miei parenti per essere uguale alla loro targa automobilistica. Nel Regno Unito le targhe seguono uno di questi modelli:

AB12 CDE
A123 BCD

Questo è qualcosa che i miei parenti possono facilmente ricordare (se lo dimenticano possono aprire la porta principale e controllare) e soddisfa la maggior parte dei requisiti della "password strong". Lo spazio tra i gruppi di cifre può essere scambiato per qualsiasi carattere speciale.

    
risposta data 16.11.2015 - 17:43
fonte
0

Secure Memorable Passwords for Older Users

Non sono sicuro che sia una risposta. Se una password è memorabile è semplice, contiene un pattern o ha connessioni ad altri ricordi, rendendola meno strong. La maggior parte dei suggerimenti che ho visto utilizzano uno o più di questi metodi.

Stai chiedendo espressamente password memorabili, ma perché non utilizzare un gestore di password? O un token di accesso fisico?

Potrebbe essere semplice come usare il loro smartphone per l'autenticazione, anche se poi lo smartphone deve essere protetto (e le persone anziane potrebbero non avere / volere uno smartphone). Se ne trovano uno con un lettore di impronte digitali, potrebbe essere una buona opzione. Tuttavia, fornire loro un dispositivo separato è più simile a una chiave fisica e potrebbe occuparsene meglio in termini di sicurezza.

E se tutto il resto fallisce, un gestore di password sul loro computer potrebbe essere molto più sicuro di quello che può e si preoccupa di ricordare, anche se questo ha un semplice codice di accesso.

relatives [...] hate the idea of passwords

I parenti sono forse leggermente diversi (ho generalizzato fino ad ora). Fanno lavori importanti, o sono bidelli? Hanno un laptop funzionante e un laptop personale separati? Che tipo di servizi usano?

Tutte queste domande cambiano le cose. Se hanno qualche funzione manager e non hanno un laptop personale separato, potrebbe essere una buona idea aumentare la sicurezza e pagare quel dollaro in più per ottenere un Yubikey o qualcosa del genere. Quindi i servizi che usano sono importanti: non tutto supporta 2FA (o quello che stiamo cercando in questo caso: 1FA dopo aver eliminato la password, o dopo averla resa piuttosto debole). Potrebbe essere necessario cambiare servizio o utilizzare invece un gestore password (o in aggiunta oppure utilizzare il token di accesso per il gestore password o ...).

Ci sono molte opzioni, ma guarderei cose che le persone non devono necessariamente ricordare. Dopo tutto, dopo aver autenticato le persone fisiche, non abbiamo riempito il cervello di qualcosa di più difficile possibile.

    
risposta data 16.11.2015 - 17:50
fonte

Leggi altre domande sui tag