Kullanıcıları güvenli olmayan şifreler için cezalandırmak [kapalı]


13

Güvensiz şifreleri seçen kullanıcıların haklarını (uzunluğa göre belirlenen bir şifrenin güvensizliği, kaç karakter türü (büyük / küçük harf, sayı, sembol vb.) Kullanılacağını ve kullanıp kullanamayacağını sınırlamayı düşünüyorum. gökkuşağı tablosunda yer alır) hesaplarının güvenliği ihlal edildiğinde ne kadar hasar verebileceğini sınırlamak için kullanılır.

Bu fikir için henüz bir başvurum yok, ancak bir forum veya başka bir şey yazdığımı söyleyin: 1234'ü şifre olarak kullanan kullanıcıların, göndermeden önce bir captcha doldurması veya titiz spam karşıtı önlemlere tabi tutulması gerekebilir. zaman aşımları veya Bayesian filtrelerinin içeriklerini reddetmesi Bu forum çok hiyerarşikse, moderatörler için "terfi" yapılmasına veya herhangi bir şekilde herhangi bir şekilde izin vermesine izin verdiyse, bu onların ya imtiyaz kazanmalarını engelleyebilir ya da onlara ayrıcalıklarına sahip olduklarını söyler, ancak daha güvenli bir değişiklik yapmadan onları kullanmalarına izin vermez parola.

Tabii ki bu, güvenliğin tek ölçüsü olamazdı, ancak aksi takdirde iyi güvenlik uygulamalarının yanında olabilir.

Ne düşünüyorsun? Bu sadece aşırıya kaçıyor mu, odak noktasını daha önemli güvenlik uygulamalarından uzaklaştırıyor mu, yoksa riski sınırlamak ve kullanıcıları daha güvenli parolalar kullanmaya teşvik etmek için iyi bir yol mu (ve umarım iyi güvenlik uygulamaları kullandığınız kişileri ikna etmek)?


24
Yanlış şifreleri olan kullanıcıların sisteminize erişmesini bile kısıtlayabildiğinizde bunun yararı nedir?
Pete

12
Çoğu kişi, herhangi bir kısıtlamadan bağımsız olarak "letmein" i kullanmaya devam edecektir. Bir parola oluştururken / değiştirirken parola kurallarını uygulayın veya kullanmayın.
John Straka

3
@Carson Myers: Cat6 kablosundan moda alırsanız değil: D
Piskvor binadan ayrıldı

13
İlk olarak, ne kullanıcıları? Bir forumda yayınlanan bir görüntüyü görmek için giriş gerektiren web sitelerinden bıktım, sonra parolanın basamaklı ve özel karakterlerle 10 karakterli ve alt çizgi ve sayı OLMADAN karışık harfli olmasını gerektirir. Parola gereksinimlerini değerle orantılı yapın korumalı veri.
SF.

6
Florida'da kablolu TV faturalarını geç ödeyen insanlar bazen bir kanalla sınırlı kalıyordu. CSPAN. Onlar için çalıştı. <shrug>
Mike Sherrill 'Cat Recall'

Yanıtlar:


35

YAGNI , KISS , DRY , 10 saniyelik kural ve "[u] kullanıcıları SİZİN umrunda değil" gerçeği muhtemelen tek bir çözüme daraltmalıdır: Yapmayın.

  • Güvenilir ve güvenli olmak için çok fazla teste ihtiyaç duyan daha fazla geliştirme çalışması .
  • Muhtemelen sitenin güvenliğini herhangi bir şekilde azaltır. Korkunç bir şifre ile ayrıcalık yükselmesine yol açan bazı hataların olasılığı çok büyük.
  • Geliştirici, test cihazı, bakımcı, DBA, sistem yöneticisi ve kullanıcı için karmaşıklığı artırır.
  • Ne kadar karmaşık olursa, kendinizi bir şekilde tekrarlamaktan o kadar zordur.
  • Kullanıcılar, bilgilerinizi okumak ve takip etmek için dikkat süresine sahip değildir. İdeal bir seviyeye gelene kadar değil, girişi kabul edene kadar kayıt formunu değiştirmek için kullanılırlar.
  • Kullanıcılar sadece umurunda değil.

güçlü noktalar, hepsi, belki KURU hariç. Neden KURU? Ayrıca, öyle olmak zorunda değildir o karmaşık, vb bütün "MOD promosyon" sadece birkaç ilave örnekler oldu. Çoğu web sitesi zaten güvensiz şifreleri tespit ettiğinden ve birçok yaygın platform (Wordpress akla geliyor) zaten güvensiz şifrelerle kaydolmanıza izin verdiği için, bu kullanıcılar için captcha'lar eklemek bu endişelerin tümünü gündeme getiriyor mu? Bu sinir bozucu olabilir, ancak diğer alternatifler kullanıcıları tamamen uzaklaştırır veya içeri girmesine ve daha fazla spam riskine neden olur. Örneğin.
Carson Myers

3
+1 Bağlantının kullanımı için. İyi site iyi. Bir UI / UX sitesi için ironik bir şekilde çirkin.
StuperUser

4
+1 Kullanıcılar sizi umursamıyor. Bazı aptal blog / Soru-Cevap sitesi ve karmaşık bir kullanıcı adı / pwd combo hatırlamak zorunda ben sadece kullanmayacağım.
ElGringoGrande

@ElGringoGrande Mutlaka aptalca bir şey için önermiyorum, daha ziyade "tüm şifrelere izin ver" ve "tüm kötü şifreleri reddet" arasında, her yöntemi kullanan çok sayıda site var. İyi değil, haha
Carson Myers

13

Kayıt değişikliğinde güvenli bir parola zorlayın veya OpenId kullanın (Jeff Atwood'un 2c: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ). Sonra daha ilginç bir işleve odaklanın.

Bir kere, kullanıcılar güvenli şifreler oluşturmak veya OpenId'lerini kullanmak zorunda kalıyorlar, bu yüzden onlar için basit.


OpenId'in bu tür şeyler için harika olduğunu kabul ediyorum, ancak çoğu kullanıcının bu şeylerden herhangi birine alışık olduğunu düşünmek konusunda taraflı olabileceğinizi düşünüyorum. Tanıdığım çoğu insan OpenId'i daha önce hiç duymamış ve daha da güvenli olmayan şifreler kullanmıştır
Carson Myers

1
İyi bir nokta. SE'den önce OpenId kullanmadım, ancak karmaşıklık eksikliğinden dolayı şifreleri reddetmiştim. Bir şeyi basit ve güvenli tutmak arasındaysa, kullanıcılarınızı eğitme sorumluluğu size ait olsa bile güvenlik önce gelir. Onları parola karmaşıklıklarına göre sorumlulukları konusunda eğitmek için çaba harcamanız gerekir, bunları güvenlik konusunda eğitmek / ortak bir girişi teşvik etmek için kullanmak daha iyidir.
StuperUser

ortak bir giriş idealdir, ancak uygulama teknik olarak teknik değilse, kullanıcıların iyi bir kısmı sadece aynı şifreyi kullanmayı seçecektir (veya mevcut değilse bırakın). Örneğimde, kullanıcıları geri çevirip (şifrelerini reddederek) ya da görsel bir deneyim (bu işlemi yapmanıza izin veremeyiz çünkü kötü şifrenizin kötü şifrelerin oluşturduğu sorunları göstermek için
Carson Myers

Çoğu kullanıcının bir facebook veya hotmail veya Gmail hesabı olacaktır (birçok sitede kimlik bilgilerini almak için bir posta hesabı gereklidir), bu da kaydolma / giriş için bunların nasıl kullanılacağını açık hale getirebilir.
StuperUser

Ben facebook bağlamak vb unuttum sanırım
Carson Myers

12

İlk etapta kötü olduğunu düşündüğünüz parolalara neden izin verin? Sorunu kaynağında durdurmak, hangi parola sınıflarının hangi rollerle eşleştiğini anlamaya çalışırken size çok fazla zaman kazandıracaktır. Bir yönetici, tanım gereği, tam haklara sahip olacağından, onu kısıtlayacak bir şifre girmemesini sağlamak için zaten işlevselliğe ihtiyacınız olacaktır.

Cevabım gerçekten KISS'e geliyor .


1
Bu bir çözüm değildir, çünkü bu, kullanıcıyı güvenlik politikanızı daha da bozan karşı önlemleri benimsemeye eğilimlidir.
deadalnix

@deadalnix nasıl yani? Bence tüm fikri terk etmeyi ve sadece kötü şifreleri reddetmeyi söylüyor, bu yüzden fikrimin neden gerekenden daha fazla tahrişe neden olabileceğine dair bir örnek
Carson Myers

@deadalnix ne demek istiyorsun? Bir kullanıcı güvenli bir şifreye karşı hangi önlemleri alır?
StuperUser

7
@StuperUser: Bu, en önemlisi: bir güvenlik açığını diğeri için değiştirme.
Piskvor binadan ayrıldı

1
@StupidUser: Bir kullanıcı her site için aynı şifreyi tekrar kullanıyorsa ve herhangi bir sayı içermediği için "şifremi" kabul edilemez olduğu söylenirse, sadece "
şifremi1

7

Bir kullanıcı olarak, bu beni muhtemelen sitenizi kullanmamaya ikna eder. Cidden, bankam bana çevrimiçi bankacılık için 6 haneli bir kodun tamamen güvenli olduğunu söylüyor, ancak daha az bilinen bir bloga yorum yazmak istediğimde, en az 8 üst içeren benzersiz bir şifre hatırlamam gerekiyor - ve küçük harf karakterler, bir rakam, özel bir karakter ve yalnızca unicode dizisini ezbere biliyorsanız girilebilen bir Yunan veya Kiril sembolü. Ve düzenli olarak değiştirin.

Beni yanlış anlamayın, güvenlik önemlidir. Ancak, birisinin sitenize erişmek için şifrelerini kırmaya çalışacağına inanmak için gerçekten güçlü bir nedeniniz yoksa kullanıcılarınızı rahatsız etmemelisiniz. Siteniz FBI ağına VPN erişimi sağlıyorsa, rahatsız edin. Ancak, e-posta adresine sahip herhangi birinin kaydolabileceği bir kullanıcı forumu ise, bunun anlamı nedir?


Birincisi, bir topluluk sitesinden bahsediyorsak, spam bir sorun olabilir (ve katıldığım bazı projelerde gerçekten var). IMO, şifrelerini tamamen reddetmek için daha fazla kullanıcıyı uzaklaştıracak ve eğer captcha'ları (nadir değil) kullanarak spam'ı hafifletecek olursak, buna neden olabilecek kullanıcılara daha fazla rahatsızlık verebiliriz, değil mi?
Carson Myers

Ayrıca, sanırım küçükseniz mola vermeye çalışmak nadirdir. Birkaç küçük ve orta ölçekli çevrimiçi toplulukta yer aldım ve bu her zaman bir sorundu. Bu ServerFault sorusu bunu destekliyor gibi görünüyor .
Carson Myers

5
spam gönderenler neden daha kısa şifreler kullanırlar? Yeni bir hesap oluşturabilmeleri için neden diğer kişilerin şifrelerini kırmaya çalışırlar? Burada uzun parolaların avantajını görmüyorum.
nikie

Hiçbir fikrim yok, biraz önce geldim ve incelemeye nasıl geldiğini görmeye karar verdim :) iyi değil, öyle görünüyor ...
Carson Myers

1
Cevabınızı çok beğendim, çünkü bu fikri uygulamayı düşünmeyi bile düşünüyor: güvenli olmayan veriler içeren site için gereksiz güvenlik oluşturma.
Tundey

6

Daha iyi çözüm: gülen yüzler.

Ciddiyim! "Dürtme: Sağlık, Zenginlik ve Mutlulukla İlgili Kararları İyileştirme" gibi davranışsal ekonomi kitaplarını okumak beni birkaç şeyden ikna etmişti:

  1. Herkesi akıllıca kararlar almaya zorlayamazsınız.
  2. İnsanlar seçim yapmakta özgür olmakla birlikte, pek çok seçeneği sevmezler.
  3. Bununla birlikte, basit hilelerle seçimlerini daha iyi için önemli ölçüde etkileyebilirsiniz.

Bu ilkelerin durumunuz için geçerli olduğunu görüyorum:

  1. Kullanıcıları güvensiz parolalara dayalı olarak kısıtlamak büyük olasılıkla onları hayal kırıklığına uğratacak ve karıştıracaktır ... özellikle iletişim kutularında dikkatlice yazılan açıklamaları okumayan kişilerin çoğunluğu için ve Yardım Masası'nı " iş."
  2. Parola oluştururken, kullanıcıların özel karakterlerin ve kullanabildikleri tüm olasılıkların bir listesini görmelerine gerek yoktur. Sadece girişleri gereksinimleri karşılamıyorsa biraz karmaşıklık eklediklerini gösteren küçük bir pop-up göstermek daha iyidir.
  3. İnsanlar sosyal ipuçlarından güçlü bir şekilde etkilenir - hatta küçükler bile davranışlarını onayladığımızı gösteren mutlu yüzler, ya da yapmazsak kaşlı yüzler gibi. Daha iyi tasarlanmış web sitelerinden bazıları , kullanıcı (önerilen) şifresini ve onayını yazarken , Yeterli değil :( İyi iş için yeşile ! :) için kırmızıdan değişen renkli bir ilerleme çubuğu gösterecektir . Bu kullanıcı arayüzü, standartları karşılamaları için bazı sosyal baskılar veriyor - çubuğun yeşile dönmesini sağlamak veya kaşlarını bir gülümsemeye dönüştürmek - kendileri için, renk değişiklikleri.

2
İlk düşüncem, kullanıcıların şifrelerinde gülen yüz kullanmasını önermiş olmanızdı.
aslum

4
@aslum: Aslında, şifrelerdeki gülen yüzler o kadar da kötü bir fikir değil. Neredeyse hepsi alfasayısal olmayan karakterlerden oluşur, bu nedenle aksi takdirde zayıf bir parolanın sonuna bir :) atmak, sadece arama alanını artırarak önemli ölçüde daha güçlü hale getirir.
afrazier

@afrazier: bu yaygın bir uygulama haline gelmedikçe ve karakter listesine eklenmedikleri sürece, değil mi?
serv-inc

4

Yığmak için değil, ama bunu "Kötü Fikir" altında dosyalamak için başka bir neden düşündüm Henüz görmedim - müşteri desteği.

Bu, arkasında müşteri destek temsilcileri bulunan bir ürünse, bundan pek hoşlanmayacaklar. Desteğin altında yatan varsayımlardan biri, kullanıcı deneyimini anlamaları ve tahmin edebilmeleridir - normal bir kullanıcıya yardım ediyorlarsa, Sayfa 1, 3 ve 4'e, X, Y, Z yapabildikleri bağlantılara sahip olmalıdır. , vb.

Şimdi, izlemeleri gereken başka bir değişken veriyorsunuz. Kullanıcı Sayfa 4 bağlantısını görmezse, aptalca bir şey yaptıkları için mi? Yoksa parolaları berbat olduğu ve sisteminizin erişimine izin vermeyerek onları cezalandırdığı için mi? Bekle ... saçmalýk, kötü bir ţifre için verilen cezalardan birine eriţimi reddediyor mu yoksa düţünüyor muyum? Bir bakayım, sadece bir dakika ... tamam, büyük ve küçük harfleri karıştırmayan bir parola için, çift sayılı sayfalara erişime izin verildiğini, ancak salt okunur olarak kısıtlandığını söylüyor ... tamam, efendim, şifreniz, büyük harflerden mi yoksa küçük harflerden mi oluşuyor? Durum. Sadece harfi yazdığınızda, bu küçük harftir; vardiya kullandığınızda, o zaman büyük harf olur. Davayı şifrenizde karıştırdınız mı? Sisteme giriş yapmak için kullandığınız şifre. Az önce kullandığın. Tamam, Düzenle'ye gidin, ardından Tercihler'i ve ardından Güvenlik'i seçin. "Kayıtlı Şifreler" i seçin ... hayır efendim, şifrelerinizi buradan göremiyorum ....

Evet. Bunu yapma.


2

Parolaları kısıtlayın veya zayıf parola riskleri konusunda kullanıcıları bilgilendirin. Bir kullanıcı verilerini umursamıyorsa, başkalarının erişimini kısıtlamak isteyebilirsiniz. Belki dikkatsiz şifre uygulamalarını takip edenler ayıklanırsa kullanıcılar daha fazla güvende hissederler. Klavyenin altında yapışkan bir notla sonuçlanacak veya dizüstü bilgisayara bantlanacaksa daha güçlü bir şifre gerektirmenin anlamı nedir (Bu şeyleri yapamıyorum; bunun olduğunu gördüm.).


Sorumun bir kısmı, zayıf parolalar kullandıklarında kullanıcıların birbirleri üzerindeki etkilerini sınırlamaktı, bu yüzden onları doğrudan göndermeyin, ancak kötü uygulamalarını başkalarının acılarına dönüştürmediğinizden emin olun. Bu uzun tartışmadan sonra buna değmez gibi görünüyor. Yine de eğlenceli bir fikir, sanırım.
Carson Myers

2

ve gökkuşağı masasına yerleştirilip yerleştirilemeyeceği

Gökkuşağı tablosunu değil, sözlük demek istediniz. Sözlük saldırısı, şifreyle eşleşiyorsa sözlüğün tüm kelimelerini test etmeye çalışır. Bu saldırı 5 denemeyle düzeltilebilir ve x dakika süreyle engellenebilir ...

Gökkuşağı tablosu yalnızca şifreyi ve saldırganın karma değerini biliyorsa kullanılır. O sadece "12345" ya da benzer bir şey olsaydı gökkuşağı tabloda karma bulabilirsiniz.

Sadece gidiş gelişi tamamlamak için: Gökkuşağı masasını işe yaramaz hale getirmek için şifreleri tuzlamanız gerekir. Ve her şifre için benzersiz bir tuz kullanın, sadece herkes için değil. Bunu yaparsanız, saldırganın erişmek istediğiniz her hesap için benzersiz tuz içeren bir gökkuşağı tablosu oluşturması gerekir. Akıllıca sizin tarafınızdan yapılır, bir nesil yarım saniye sürebilir böylece karma çoklu karma algoritması ile karma yapabilirsiniz. Bunu yaptıysanız, web sitenizdeki bir hesaba erişmek günler değerinde olmalı, muhtemelen bu hesaba bir eşleşme bulmak için hash üretme ayı olmalı ... bu kadar uzun sür.

Karma zamanı: Bir giriş mekanizması için 500 ms bekleme süresini düşünün. Bence bu kabul edilebilir ... (bir hatırlatma: SSL için yaklaşık bir saniye el sıkışır)


Evet, sözlük demek istedim, teşekkürler. Ve kesinlikle diğer güvenlik biçimlerinin gerekli olduğu konusunda haklısınız
Carson Myers
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.