Quello che scriverò qui non è best practice , perché se qualcosa di utile nella ricerca sulla sicurezza ha mostrato, è che la best practice (ad esempio le linee guida NIST) è seriamente in ritardo sulla ricerca. Questo è un condensato di ricerche sull'argomento, le mie discussioni con esperti di sicurezza utilizzabili presso la UCL e il mio approccio come designer di interazione.
Rispondi alla domanda: quali sono i requisiti di sicurezza per il tuo sito web e quali sono i requisiti di autenticazione?
Sicurezza
Per la maggior parte dei siti web, questo si riduce a una semplice domanda: quali esternalità irreversibili saranno gli utenti (gli utenti prima, per favore. Quindi tu come fornitore) soffriranno se il loro account viene rubato?
Se gli utenti subiscono gravi conseguenze (ad esempio perdite finanziarie, significativa perdita di reputazione, usurpazione dell'identità con potenziali ripercussioni legali), allora tieni a loro una password strong e non riutilizzata. Altrimenti, puoi consentire loro di riutilizzare una password di loro scelta.
Determina se tu controlla il fattore di autenticazione o loro . La verità intrinseca alla base di questa regola è che gli utenti potranno riutilizzare le password semplicemente perché devono far fronte a troppe password per crearne una unica per ogni sito Web (vedi ricerca sulla gestione dei portfolio password).
Usabilità
Ora è il momento di parlare delle modalità di interazione. Quello che stiamo guardando qui è proporzionale la quantità di sforzo dell'utente per il beneficio percepito dell'utilizzo dei servizi del tuo sito web. Gli utenti devono effettuare l'accesso una volta all'anno per effettuare una dichiarazione dei redditi o rinnovare un abbonamento? Quindi, non farli ricordare una password complessa.
Devono accedere regolarmente al tuo servizio e l'accesso automatico non è consigliabile (ad es. online banking o email)? Quindi, gli utenti potrebbero essere più tolleranti nell'apprendimento di una password generata. La chiave qui è che gli utenti stessi devono essere convinti che il beneficio percepito del servizio superi i costi percepiti per la sicurezza, o si disimpegneranno (vedere la teoria del Budget di conformità).
Autenticazione strong a basso sforzo
Che cosa facciamo quando gli utenti non possono tollerare il requisito dello sforzo di una password complessa? Diamo ora un'occhiata ai tuoi requisiti di autenticazione. L'opzione più eclatante qui è quella di delegare l'autenticazione a terzi. Questo potrebbe essere Facebook o Google o uno schema di identità federato supportato dal governo per servizi con obblighi legali per autenticare gli utenti nel mondo reale.
È anche possibile passare a token di autenticazione o aggiungere fattori di autenticazione per compensare una password potenzialmente debole. Puoi anche seguire il percorso delle password monouso inviate via email. Le soluzioni disponibili dipendono dalle restrizioni che hai rispetto alle forme alternative di autenticazione.
Autenticazione strong ad alto sforzo
Ricorda di mantenere il rapporto costo / benefici percepito del tuo schema di autenticazione bilanciato nel tempo.
Non essere il tipo di deficiente che impone una password unica e super-complessa ai propri utenti solo per costringerli a cambiarlo ogni 3 mesi, a meno che il tuo modello di minaccia veramente non lo giustifichi. Questo è un modo sicuro per indurre gli utenti a memorizzare le loro password. E con gli utenti che accedono ai servizi tramite computer, cellulare, computer dell'ufficio, ecc., Non tutti useranno un gestore di password affidabile (nonostante gli attacchi API degli appunti che minacciano un'ampia varietà di casi d'uso per gli utenti di password manager sia su dispositivi mobili che desktop).
Puoi anche agire sui benefici e sui costi percepiti comunicando ai tuoi utenti ciò che ottengono usando una password unica e perché è importante farlo in modo specifico per il tuo servizio . Dovresti, in cambio, impegnarti in buone pratiche di sicurezza e rispettare i tempi dei tuoi utenti non forzando loro addizionali sale di sicurezza. Se rispettano la tua decisione, saranno meno inclini a bypassare le tue misure di sicurezza o passare ai servizi della concorrenza.
Autenticazione a bassa sicurezza
Invia loro un link per la reimpostazione della password, lascia che facciano ciò che vogliono, siediti e rilassati! In alternativa, passa comunque all'autenticazione Google / Facebook perché è ancora più sicuro e utilizzabile dell'autenticazione tramite password.