complessità della password e criteri dal punto di vista degli utenti [duplicato]

Ora ci sono ottime indicazioni per le politiche che sono fondamentalmente buone per gli utenti. La maggior parte dei requisiti che dichiari nella tua domanda sono ormai antiquati.

Miglior : usa un gestore di password! Lascia che sia il software a generare e inserisci la password per l'utente. Nessuna memoria richiesta e la password può essere generata alla massima complessità (entropia / casualità, qualsiasi cosa tu usi per capire la forza della password)

Ma se hai bisogno di generare le tue password:

Prima : smetti di richiedere che gli utenti cambino le loro password così frequentemente. La maggior parte delle linee guida suggerisce di non richiedere mai un cambiamento fino a quando non vi è una specifica necessità di cambiare (come in mai, tranne quando l'account è sospettato di essere compromesso). C'è qualche discussione su questo punto, ma alcuni amministratori arrivano solo a richiedere un cambiamento annuale.

Secondo : è stato a lungo incoraggiato a smettere di usare il termine "password" e usare il termine "passphrase". La lunghezza è molto "più strong" della complessità. Quindi, crea una frase: Word word word word. Ci sono caratteri superiori, inferiori e speciali (spazio e un punto). È perfetto? Assolutamente no! È strong "abbastanza" e user-friendly? Sì, per la maggior parte dei casi d'uso. Amministratori e dirigenti senior dovrebbero usare password di gran lunga migliori (vedi password manager sopra).

Terzo : [questo è il punto in cui la community mi punirà] richiede l'autenticazione Two Factor e if used , riduce i requisiti di lunghezza e complessità. Non ci avevo mai pensato fino a quando non ho insegnato la consapevolezza della sicurezza agli insegnanti di Special Needs che hanno avuto questa idea durante le lezioni. Può essere difficile per alcuni diversamente abili e molto giovani inserire una password complessa o lunga. Se 2FA è implementato correttamente, la password può essere molto semplice e tuttavia protetta da 2FA. Anche se qualcun altro ha bisogno di inserire la password per l'utente, il token 2FA lascia l'utente. Anche se non si allentano i requisiti di complessità, utilizzare 2FA ovunque sia possibile.

Tutte queste cose (ad eccezione della rilassante complessità delle password se si utilizza 2FA) sono state una guida comune alle password in tutto il mondo per un paio di anni:

Regno Unito:
link

USA:
link

Microsoft:
link

La sfida è "ciò che gli utenti ricorderanno", da qui la dipendenza dai post-it.

Dico agli utenti di scegliere un paio di oggetti sulle loro scrivanie e usarli per la loro password. Se chiedi a 5 persone di guardare una scrivania e scegliere ciò che spicca per loro, riceverai 5 risposte diverse. Ora includi le qualità di questi oggetti (colore, dimensione, memoria associata all'articolo) e indovinandoti diventa molto più difficile.

Inoltre, il contenuto dei desktop tende a spostarsi nel tempo. Molto è statico, ma c'è una leggera deriva nel tempo quando vengono aggiunti nuovi oggetti e quelli più vecchi vengono rimossi.

Per esempio, se ho una macchinina blu da una vacanza, un orologio d'argento che ho vinto in una lotteria, un fan bianco e un supporto in lattice di gomma piuma da una band che mi piace e il cui concerto ho visto a Zurigo, c'è una serie quasi illimitata di possibilità. Forse è BlueCarZurichConcert. Forse è ClockCarBand. Forse è BlueSilverBlack. Il punto è che l'utente può guardare la propria scrivania e avere una buona idea di quale sia la loro password, e qualcuno che cerca di indovinare avrà un'idea molto limitata su dove iniziare, anche se sapessero che la password era roba sul scrivania.

Se questo è qualcosa che deve essere ricordato, la migliore raccomandazione che ho visto è la codifica di una frase che si può facilmente ricordare. Ad esempio, "Il mio cane a cui Sally piace giocare al tiro alla fune" diventa Md $ LtPt0w, il che rende una password piuttosto strong. Tutto quello che l'utente deve fare è ricordare la frase e le regole di codifica.