Come posso applicare una politica di password complessa con una base di utenti non tecnica?

8

Ho utilizzato zxcvbn per applicare password complesse per un servizio in cui le effrazioni comportano notevoli problemi. Tuttavia, il servizio è valido solo se molti utenti si registrano. Abbiamo scoperto che gli utenti sono inclini a rinunciare alla frustrazione quando zxcvbn rifiuta la password dopo la password (in base alle metriche del sito Web e agli eventi di persona). Abbiamo iniziato con la forza di zxcvbn a 4 e da allora lo abbiamo ridotto a 2, ma il problema persiste.

È diventato dolorosamente chiaro che la tua Jane normale è abituata a creare password sbagliate e non ha interesse ad essere riqualificata. Non abbiamo il budget per assumerci la responsabilità di quel tipo di cambiamento sociale, e i poteri stanno spingendo strong per tornare a qualcosa come "8 personaggi, almeno un numero, ecc." È comprensibile dal punto di vista del business: dedichiamo più tempo a istruire gli utenti attraverso il processo di creazione della password piuttosto che a parlare del nostro servizio.

Quindi, qual è il modo migliore per applicare una politica per le password che non ci lascia con un sacco di account utente facilmente compromessi e allo stesso tempo non alienare una base di utenti non tecnici?

Modifica: gli accessi avvengono attraverso l'interfaccia web e altri come IMAP, il che rende improbabile che gli accessi con password siano fattibili.

    
posta myday 17.03.2016 - 18:16
fonte

2 risposte

4

Hai la possibilità di aggiungere l'autenticazione a 2 fattori al tuo sito? Ecco il primo articolo che è apparso quando ho cercato su google " utilizzando google authenticator sul tuo sito ".

Se si tratta di una rete aziendale e i tuoi utenti sono i tuoi dipendenti, hai la possibilità di utilizzare token fisici come smartcard inserite nei loro desktop o schede griglia .

Da una prospettiva di ingegneria sociale / design, puoi trovare un modo di utilizzare un approccio carota piuttosto che un approccio a frusta? Con ciò intendo dare vantaggi ad utenti che hanno password sicure (in un modo che non è visibile ad altri utenti, altrimenti è equivalente a vergogna pubblica per password deboli che è in realtà peggiore). Forse un piccolo sconto su quote associative o acquisti, o vantaggi in servizio come piccole funzionalità di vanità, più spazio di archiviazione, accodamento prioritario, wtv. So che gli MMO lo hanno utilizzato con grande efficacia per incoraggiare l'adozione di chiavi 2-Factor e password complesse.

    
risposta data 17.03.2016 - 18:26
fonte
1

Suppongo si tratti di un servizio basato sul web. (Non ho familiarità con zxcvbn).

Un'opzione sarebbe quella di eliminare completamente le password visibili all'utente. Se riesci a far iscrivere gli utenti utilizzando il loro indirizzo email, invii loro un link con un ID univoco. Quando fanno clic su quel link, un cookie strong viene impostato nel browser.

'Reimposta la password' consiste nell'invio di un nuovo collegamento tramite e-mail.

    
risposta data 17.03.2016 - 18:53
fonte

Leggi altre domande sui tag