Come aiutare gli utenti a gestire i portafogli di password in base ai rischi di compromissione?

Naviga le tue risposte
5

Un quadro per la modellazione dei rischi e dei costi di gestione delle password e l'inizio di una buona strategia per gli utenti per aiutarli a gestire le password per i loro spesso grandi portafogli di conti è descritto nel documento Portafogli di parole chiave e l'utente a sforzo limitato: gestire in modo sostenibile un numero elevato di account | USENIX Security 2014 (notare che il testo completo in pdf è già disponibile). È coperto ad es. a

Fondamentalmente, poiché è impossibile per gli utenti ricordare password buone e uniche per dozzine o centinaia di account diversi e poiché alcuni account presentano rischi bassi per l'utente se vengono compromessi (ad es. password per accedere a un leggere storie), spiegano che " riutilizzo della password può far parte di una strategia di coping ". Suggeriscono che le persone possono raggruppare account con alto valore più bassa probabilità di compromesso e quelli con valore basso più alta probabilità di compromesso e riutilizzare la stessa password all'interno di ciascun gruppo. La loro analisi riguarda i gestori di password, che spostano in parte anche alcuni dei rischi. Su questo argomento vedi anche Come valutare un gestore di password? . Aggiungerò che anche le strategie ibride possono avere senso, ad es. utilizzando un gestore di password per alcuni gruppi di account.

Prendono atto della necessità di comprendere e spiegare in che modo gli utenti possono rinunciare allo sforzo dell'utente nel ricordare le password con la probabilità che la password venga compromessa. Questo sito ha raccolto alcune informazioni relative a questo: Qual è il tuo modo di creare password valide che possano essere effettivamente ricordate?

Sottolineano inoltre la necessità di studi futuri per comprendere, modellare e spiegare le perdite dovute a compromessi di vari tipi di account. Quindi la mia domanda per gli esperti di gestione del rischio e coloro che sono abili nello spiegare le cose in modo che siano in contatto con gli utenti è, come possiamo aiutare gli utenti a capire meglio i rischi che corrono se gli account di vari i tipi sono compromessi ? Per esempio. compromissione di una password per un portafoglio di bitcoin online significa presumibilmente la perdita irrecuperabile di tutti i bitcoin memorizzati lì. Ma il compromesso della password per la lettura di articoli su un sito di giornali può avere un impatto significativo o nullo sull'utente, e infatti alcuni gruppi di utenti cercano di condividere account e password per questi tipi di siti con i loro amici. Altri tipi di conti sono banche tradizionali (con qualche speranza di recupero di fondi rubati), social media, email, password correlate al lavoro, servizi web, accesso wifi, chiavi di crittografia, ecc. A volte le perdite potrebbero non essere ovvie agli utenti ( ad es. rischi di furto d'identità, perdita della reputazione, ecc.)

    
posta nealmcb 17.07.2014 - 17:42
fonte

1 risposta

3

Questa è una domanda di ricerca aperta, in realtà.

Per gli utenti è un po 'difficile gestire i consigli sulla sicurezza; proprio come la scelta di password complesse richiede tempo, anche la razionalizzazione del riutilizzo delle password fa altrettanto. Probabilmente sei a conoscenza di Budget di conformità e Altro non è la risposta dato che cita Herley.

Quindi, è improbabile che un programma consapevole di consapevolezza della sicurezza sia fruttuoso nel caso generale perché richiederebbe più sforzo, tempo, carico cognitivo per gli utenti (se decidessero di prestare attenzione ad essi) e questo è ciò che è già di riserva. Sarebbe molto difficile convalidare sperimentalmente che uno schema di consapevolezza della strategia della password ripaga . Dovresti dimostrare che il tempo e gli sforzi sono fatti volontariamente dagli utenti nelle loro impostazioni del mondo reale (qualcosa che pochissime persone nel nostro campo riconoscono perché li renderebbe più lenti :)), e che il costo associato a è significativamente inferiore al vantaggio che offre nella semplificazione della gestione delle password per gli utenti finali. Dovresti farlo per vari sistemi e dati demografici dei partecipanti per avere una valida strategia per gli utenti finali.

Potresti allenarti su popolazioni specifiche per le quali il tempo di allenamento può essere riconosciuto come parte della loro occupazione principale. Ad esempio, amministratori di sistema e dirigenti sono popolazioni ad alto rischio e i loro datori di lavoro sarebbero saggi di allocare esplicitamente formazione sulla sicurezza e tempi di gestione della sicurezza per loro.

Per la popolazione generale degli utenti finali, è probabilmente meglio delineare il valore delle risorse da proteggere quando si sceglie una password piuttosto che insistere sull'uso di password forti e uniche. Ad esempio, email, pagamenti online e conti bancari devono conservare password univoche. Altri siti dovrebbero consentire opzioni più flessibili come ID federato, password monouso (basate su email / telefono) e password deboli. Dato che stai citando le ricerche attuali di alcuni degli esperti mondiali dell'argomento, probabilmente sai che non c'è niente di meglio già là fuori.

    
risposta data 17.07.2014 - 18:09
fonte

Leggi altre domande sui tag

devo crittografare un certificato utilizzato solo per l'automazione? La mia sottochiave GPG è stata caricata sul server delle chiavi?