Gli utenti non ricordano mai le loro password o le risposte di sicurezza. Come posso farli ricordare, ma seguire buone pratiche di sicurezza?

7

Lavoro in una biblioteca dove insegno lezioni di alfabetizzazione informatica, in particolare per gli anziani. Tra le altre cose, abbiamo classi in cui le persone impostano l'e-mail o altri account online. Per molti di loro, questa è la loro prima esposizione alle password. Circa una volta al mese, avrò una conversazione come questa:

Patron: Can you show me how to do e-mail again?

Me: Sure. First, go to the e-mail provider's website. Good. Now type in your e-mail address and password.

Patron: I don't remember my password. I didn't think I would have to remember it.

Me: Your password is important. It lets the e-mail provider know that you are who you say you are and not someone else. Fortunately, we can try to reset it. Click that link there. It's asking security questions that only you would know. Looks like it's asking what your favorite book is.

Patron: I have no idea.

Me: Well, let's have you put in a couple of guesses.

Patron: None of these are working. Can we call Google and ask them to help?

Ho avuto diversi clienti bloccati dai loro account in modo permanente a causa di questo. Ho provato a farle scrivere le loro password. Non buone pratiche di sicurezza, e molto spesso lo perdono (o peggio, non sanno leggere quello che hanno scritto). Hanno cercato di farmi ricordare le loro password per loro, ma come operatore di biblioteca, sarebbe inappropriato per me (e questo ha tutti i problemi di chiedendo ai membri della famiglia di mantenere le password ). Eppure nulla sembra aiutare a far loro ricordare la loro password.

Riguardo alle domande di sicurezza, ho chiesto loro di scegliere domande di sicurezza che non cambieranno. Quindi non scegliere "qual è il tuo cibo preferito?" ma invece scegli "dove hai incontrato il tuo coniuge?" Qualche mese fa, in realtà avevo qualcuno che lo dimenticasse anche tu! Non riuscivano a ricordare se mettevano la città, il nome del ristorante o qualcos'altro, e non l'avevano mai capito.

Ho avuto un cliente che ha deciso autonomamente di inserire la propria password e-mail su una nota post-it sul proprio computer. Mi sentivo come se stessi urlando dentro perché è un problema di sicurezza eclatante, ma allo stesso tempo ero felicissimo che non lo dimenticassero più. Non sapevo se avrei dovuto dire qualcosa al riguardo.

Quindi, per gli utenti che dimenticano cronicamente le password e le risposte di sicurezza, cosa posso fare per aiutarli a ricordare, ma seguire comunque buone pratiche di sicurezza?

    
posta Thunderforge 27.09.2016 - 05:42
fonte

6 risposte

4

Per un utente medio che è improbabile che sia l'oggetto di un attacco mirato, i rischi principali da considerare sono quelli causati da attacchi automatici e perdite ingenti dei dettagli dell'account e degli hash delle password quando vari siti Web vengono inevitabilmente compromessi.

Le principali attenuazioni per queste sono

a) password di complessità sufficiente (generalmente almeno 8 caratteri, non una parola semplice e non basata su informazioni pubbliche disponibili e disponibili su di te)

b) le password non vengono riutilizzate su siti diversi.

Per la maggior parte delle persone con molti account, i due precedenti escludono in gran parte la memorizzazione di tutto tranne le password per uno o due account, con il resto archiviato da qualche parte. Un gestore di password crittografato è una buona scelta, ma la scrittura è ugualmente efficace per i rischi di cui sopra, a condizione che possano memorizzarli da qualche parte dove l'accesso è limitato per farli credere ragionevolmente.

Per molti utenti domestici, un semplice taccuino con tutte le password scritte e archiviate come casa è semplice da comprendere ed efficace per mitigare i principali rischi che affrontano.

    
risposta data 27.09.2016 - 22:34
fonte
3

A parte l'uso dei gestori di password, la soluzione più ragionevole che bilancia sicurezza e usabilità implica una memorizzazione semplice e antica.

Di 'loro di accedere a quegli account un paio di volte (o più) al giorno. Dopo alcune settimane, probabilmente ricorderanno la password.

Per inciso, questo può aiutare gli anziani a rafforzare la memoria a lungo ea breve termine, che è molto utile, non solo per motivi di sicurezza.

    
risposta data 27.09.2016 - 09:17
fonte
2

Forse la maggior parte dei tuoi clienti non ha realmente bisogno del livello di sicurezza che stai assumendo per loro. La sicurezza riguarda il rischio e l'impatto, quindi è necessario impostarlo al livello giusto.

Forse indurli a usare qualcosa che hanno su di loro come la loro carta di credito - potrebbero usare il codice di ordinamento bancario, ad esempio. O sulla strada in cui vivono o sul numero di autobus che prendono per raggiungere la biblioteca, ottieni l'immagine. Anche se questo non dovrebbe mai essere considerato per una strategia di password, è necessario trovare qualcosa che funzioni piuttosto che qualcosa che soddisfi un livello di sicurezza arbitrario.

In alternativa, prendi / fai delle carte di dimensioni di una carta di credito e fagli scrivere le loro password lì e inseriscile nelle loro borse. Sono molto meno propensi a dimenticarli.

Per domande sulla sicurezza, cerca di utilizzare sempre lo stesso modello. Se le località, ad esempio, fanno in modo che usino City e le utilizzino tutte per utilizzare lo stesso o forse una delle domande. Allora troverai più facile riprendere le informazioni da loro.

Non dare per scontato che la "buona pratica" di sicurezza si applichi necessariamente a questo sottoinsieme di persone. Dopo tutto, immagino che tu stia cercando di incoraggiarli e aiutarli a godere dell'uso dei computer. Per migliorare la sicurezza per loro, devi prima incoraggiarli a usare i computer. Dopodiché puoi lavorare sulle strategie per aiutarli a capire le implicazioni. Basta solo allontanarli dal fare qualsiasi cosa richieda elevati livelli di sicurezza per le email.

    
risposta data 27.09.2016 - 09:15
fonte
1

Se non è già il caso, lascia che l'utente scelga e scriva la sua domanda di sicurezza. Invece di selezionare automaticamente uno in una lista premade e digitare una risposta quasi casuale, l'utente dovrà prima riflettere su una domanda che implica concentrazione. La concentrazione aiuta a ricordare le cose e questo attiverà la scrittura della memoria durante la digitazione.

    
risposta data 27.09.2016 - 07:38
fonte
0

Questa è una grande domanda, perché è un problema molto comune.

In primo luogo, uno dei modi migliori per aiutarli è farli scrivere i siti e le password su un pezzo di carta con una penna o una matita e portare il foglio nella borsa o nel portafoglio. Questo è in realtà abbastanza sicuro per la maggior parte delle persone perché un hacker non può hackerare la carta che è ripiegata all'interno del proprio portafoglio. Sarebbe bello raccomandare di fare una copia occasionale del foglio da tenere a casa, nel caso in cui il loro portafoglio venga perso o rubato, ma in pratica nessuno si ricorderà di farlo.

Successivamente, raccomando alle persone di pensare a una frase di di quattro o più parole, non solo a una sola parola . Questo aiuta le persone a selezionare password più lunghe, il che rende il lavoro di cracking delle password esponenzialmente più difficile. "mygrandbabyricardoiscute" è una password molto migliore di "grandbaby" o "ricardo", ed è altrettanto facile da ricordare. Non è "corretto per la batteria di cavalli", ma è comunque abbastanza efficace.

Quindi, per evitare di avere così tante password, chiedi alle persone di dividere i loro ID in categorie non molto importanti, importanti e molto importanti:

Non molto importante: Twitter, Facebook, blog, chat. Di solito è OK scegliere una password più breve che puoi ricordare per tutti quei siti. Non comprare mai nulla o utilizzare una carta di credito con una password non molto importante e non dare mai la tua vera data di nascita o altri dettagli personali a un sito non molto importante. Invece, usa qualcosa come 1/1/1940 (o il primo giorno del decennio della loro nascita). Naturalmente se il sito viene hackerato o la password viene persa, devono ricordarsi di cambiarla ovunque.

Importante: email, acquisti, ordini, AppleID, SamsungPay, Amazon o qualsiasi altro sito che ottiene il numero della carta di credito. Scegli una password univoca più lunga per ciascuno di questi siti e scrivila sulla carta che conservi nel tuo portafoglio.

Molto importante: servizi bancari, conti di pensionamento, conti di salute. Scegli una password lunga e unica per ciascuno di questi siti, scrivi quelle password su un foglio di carta separato e non accedere mai da nessuna parte ma a casa. Conserva anche il foglio di carta a casa.

Se possibile, utilizza PayPal, Apple Pay, Google Wallet, Amazon o altri sistemi di pagamento di terze parti invece di inserire un numero di carta di credito direttamente su un sito Web commerciale.

    
risposta data 28.09.2016 - 19:07
fonte
-1

Come mostrato in questo fumetto di xkcd, insegnare loro questo modo migliore di inventare password che sono molto più facili da ricordare.

    
risposta data 28.09.2016 - 07:39
fonte

Leggi altre domande sui tag