Bad planning che causa password deboli

Naviga le tue risposte
2

Il dipartimento atletico della mia università ha una pagina facebook e su di esso ha detto che "le prime 500 persone che si registreranno per questo evento avranno t-shirt gratis". Al momento della registrazione si deve creare un account con una password, in modo che tutti i programmi per cui si registrano (ora e in futuro) verranno fatturati. Dal momento che tutti sono così in fretta sono sicuro che ci sono un sacco di password deboli. Questo è un obiettivo praticabile per un aggressore? Cosa potrebbe essere fatto in modo diverso? Promuovere "registrarsi rapidamente!" è una pessima idea che ho capito.

    
posta Celeritas 21.08.2012 - 08:58
fonte

2 risposte

4

Ci sono due opzioni forti:

  1. Requisiti di password complessi. Ciò annulla il problema, forzando l'utente a utilizzare una password complessa. Tuttavia, ridurrà i tassi di conversione se le persone si sentono frustrate.
  2. Single sign-on. Ciò implica l'utilizzo di un servizio di terze parti (ad es. Facebook, Twitter, Google, OpenID, ecc.) come servizio di accesso, ovvero non è necessario creare un nuovo account.

Dato che la competizione è in corso su Facebook, penso che il single sign-on sia la scelta migliore.

Tuttavia, per favore assicurati di richiedere il numero minimo assoluto di privilegi necessari dall'account dell'utente. Ogni volta che utilizzo un'app che vuole utilizzare il mio account Twitter o Facebook, e dice "Può pubblicare tweet per te" o "Può vedere le tue pagine preferite" quando tutto ciò che voglio è postare un commento, non mi preoccupo. È un'intrusione inutile.

    
risposta data 21.08.2012 - 10:04
fonte
1

Affidati a Facebook per l'autenticazione. (Io uso esclusivamente il single sign-on.)

Le password deboli non sono la tua principale preoccupazione, in realtà. Le persone possono sempre cambiare la password in seguito. (Non lo faranno, ovviamente, ma allora? Chi si preoccuperebbe di usare una password sicura per un dipartimento di atletica, anche se è per qualcosa di più di un T-shift gratuito?)

Il vero problema è che le persone riutilizzeranno una password esistente . L'applicazione è stata probabilmente lanciata insieme in fretta e sembra pronta per essere utilizzata sempre più nel tempo. Quanto scommetti che non perderà mai le password? Non scommetterei la mia maglietta su di essa. Meno memorizzi le password, meglio è.

(Espansione sui consigli di CodesInChaos (e in parte Polynomial), perché non hanno dato il vero motivo per usare SSO.)

    
risposta data 21.08.2012 - 11:54
fonte

Leggi altre domande sui tag

La password dell'amministratore del router è stata modificata, come è successo e come impedire [chiuso] Password nella protezione dei dispositivi di rete