Kullanıcıları güvenli olmayan şifreler için cezalandırmak [kapalı]

Güvensiz şifreleri seçen kullanıcıların haklarını (uzunluğa göre belirlenen bir şifrenin güvensizliği, kaç karakter türü (büyük / küçük harf, sayı, sembol vb.) Kullanılacağını ve kullanıp kullanamayacağını sınırlamayı düşünüyorum. gökkuşağı tablosunda yer alır) hesaplarının güvenliği ihlal edildiğinde ne kadar hasar verebileceğini sınırlamak için kullanılır.

Bu fikir için henüz bir başvurum yok, ancak bir forum veya başka bir şey yazdığımı söyleyin: 1234'ü şifre olarak kullanan kullanıcıların, göndermeden önce bir captcha doldurması veya titiz spam karşıtı önlemlere tabi tutulması gerekebilir. zaman aşımları veya Bayesian filtrelerinin içeriklerini reddetmesi Bu forum çok hiyerarşikse, moderatörler için "terfi" yapılmasına veya herhangi bir şekilde herhangi bir şekilde izin vermesine izin verdiyse, bu onların ya imtiyaz kazanmalarını engelleyebilir ya da onlara ayrıcalıklarına sahip olduklarını söyler, ancak daha güvenli bir değişiklik yapmadan onları kullanmalarına izin vermez parola.

Tabii ki bu, güvenliğin tek ölçüsü olamazdı, ancak aksi takdirde iyi güvenlik uygulamalarının yanında olabilir.

Ne düşünüyorsun? Bu sadece aşırıya kaçıyor mu, odak noktasını daha önemli güvenlik uygulamalarından uzaklaştırıyor mu, yoksa riski sınırlamak ve kullanıcıları daha güvenli parolalar kullanmaya teşvik etmek için iyi bir yol mu (ve umarım iyi güvenlik uygulamaları kullandığınız kişileri ikna etmek)?

YAGNI , KISS , DRY , 10 saniyelik kural ve "[u] kullanıcıları SİZİN umrunda değil" gerçeği muhtemelen tek bir çözüme daraltmalıdır: Yapmayın.

• Güvenilir ve güvenli olmak için çok fazla teste ihtiyaç duyan daha fazla geliştirme çalışması .
• Muhtemelen sitenin güvenliğini herhangi bir şekilde azaltır. Korkunç bir şifre ile ayrıcalık yükselmesine yol açan bazı hataların olasılığı çok büyük.
• Geliştirici, test cihazı, bakımcı, DBA, sistem yöneticisi ve kullanıcı için karmaşıklığı artırır.
• Ne kadar karmaşık olursa, kendinizi bir şekilde tekrarlamaktan o kadar zordur.
• Kullanıcılar, bilgilerinizi okumak ve takip etmek için dikkat süresine sahip değildir. İdeal bir seviyeye gelene kadar değil, girişi kabul edene kadar kayıt formunu değiştirmek için kullanılırlar.
• Kullanıcılar sadece umurunda değil.

Kayıt değişikliğinde güvenli bir parola zorlayın veya OpenId kullanın (Jeff Atwood'un 2c: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ). Sonra daha ilginç bir işleve odaklanın.

Bir kere, kullanıcılar güvenli şifreler oluşturmak veya OpenId'lerini kullanmak zorunda kalıyorlar, bu yüzden onlar için basit.

İlk etapta kötü olduğunu düşündüğünüz parolalara neden izin verin? Sorunu kaynağında durdurmak, hangi parola sınıflarının hangi rollerle eşleştiğini anlamaya çalışırken size çok fazla zaman kazandıracaktır. Bir yönetici, tanım gereği, tam haklara sahip olacağından, onu kısıtlayacak bir şifre girmemesini sağlamak için zaten işlevselliğe ihtiyacınız olacaktır.

Cevabım gerçekten KISS'e geliyor .

Bir kullanıcı olarak, bu beni muhtemelen sitenizi kullanmamaya ikna eder. Cidden, bankam bana çevrimiçi bankacılık için 6 haneli bir kodun tamamen güvenli olduğunu söylüyor, ancak daha az bilinen bir bloga yorum yazmak istediğimde, en az 8 üst içeren benzersiz bir şifre hatırlamam gerekiyor - ve küçük harf karakterler, bir rakam, özel bir karakter ve yalnızca unicode dizisini ezbere biliyorsanız girilebilen bir Yunan veya Kiril sembolü. Ve düzenli olarak değiştirin.

Beni yanlış anlamayın, güvenlik önemlidir. Ancak, birisinin sitenize erişmek için şifrelerini kırmaya çalışacağına inanmak için gerçekten güçlü bir nedeniniz yoksa kullanıcılarınızı rahatsız etmemelisiniz. Siteniz FBI ağına VPN erişimi sağlıyorsa, rahatsız edin. Ancak, e-posta adresine sahip herhangi birinin kaydolabileceği bir kullanıcı forumu ise, bunun anlamı nedir?

Daha iyi çözüm: gülen yüzler.

Ciddiyim! "Dürtme: Sağlık, Zenginlik ve Mutlulukla İlgili Kararları İyileştirme" gibi davranışsal ekonomi kitaplarını okumak beni birkaç şeyden ikna etmişti:

1. Herkesi akıllıca kararlar almaya zorlayamazsınız.
2. İnsanlar seçim yapmakta özgür olmakla birlikte, pek çok seçeneği sevmezler.
3. Bununla birlikte, basit hilelerle seçimlerini daha iyi için önemli ölçüde etkileyebilirsiniz.

Bu ilkelerin durumunuz için geçerli olduğunu görüyorum:

1. Kullanıcıları güvensiz parolalara dayalı olarak kısıtlamak büyük olasılıkla onları hayal kırıklığına uğratacak ve karıştıracaktır ... özellikle iletişim kutularında dikkatlice yazılan açıklamaları okumayan kişilerin çoğunluğu için ve Yardım Masası'nı " iş."
2. Parola oluştururken, kullanıcıların özel karakterlerin ve kullanabildikleri tüm olasılıkların bir listesini görmelerine gerek yoktur. Sadece girişleri gereksinimleri karşılamıyorsa biraz karmaşıklık eklediklerini gösteren küçük bir pop-up göstermek daha iyidir.
3. İnsanlar sosyal ipuçlarından güçlü bir şekilde etkilenir - hatta küçükler bile davranışlarını onayladığımızı gösteren mutlu yüzler, ya da yapmazsak kaşlı yüzler gibi. Daha iyi tasarlanmış web sitelerinden bazıları , kullanıcı (önerilen) şifresini ve onayını yazarken , Yeterli değil :( İyi iş için yeşile ! :) için kırmızıdan değişen renkli bir ilerleme çubuğu gösterecektir . Bu kullanıcı arayüzü, standartları karşılamaları için bazı sosyal baskılar veriyor - çubuğun yeşile dönmesini sağlamak veya kaşlarını bir gülümsemeye dönüştürmek - kendileri için, renk değişiklikleri.

Yığmak için değil, ama bunu "Kötü Fikir" altında dosyalamak için başka bir neden düşündüm Henüz görmedim - müşteri desteği.

Bu, arkasında müşteri destek temsilcileri bulunan bir ürünse, bundan pek hoşlanmayacaklar. Desteğin altında yatan varsayımlardan biri, kullanıcı deneyimini anlamaları ve tahmin edebilmeleridir - normal bir kullanıcıya yardım ediyorlarsa, Sayfa 1, 3 ve 4'e, X, Y, Z yapabildikleri bağlantılara sahip olmalıdır. , vb.

Şimdi, izlemeleri gereken başka bir değişken veriyorsunuz. Kullanıcı Sayfa 4 bağlantısını görmezse, aptalca bir şey yaptıkları için mi? Yoksa parolaları berbat olduğu ve sisteminizin erişimine izin vermeyerek onları cezalandırdığı için mi? Bekle ... saçmalýk, kötü bir ţifre için verilen cezalardan birine eriţimi reddediyor mu yoksa düţünüyor muyum? Bir bakayım, sadece bir dakika ... tamam, büyük ve küçük harfleri karıştırmayan bir parola için, çift sayılı sayfalara erişime izin verildiğini, ancak salt okunur olarak kısıtlandığını söylüyor ... tamam, efendim, şifreniz, büyük harflerden mi yoksa küçük harflerden mi oluşuyor? Durum. Sadece harfi yazdığınızda, bu küçük harftir; vardiya kullandığınızda, o zaman büyük harf olur. Davayı şifrenizde karıştırdınız mı? Sisteme giriş yapmak için kullandığınız şifre. Az önce kullandığın. Tamam, Düzenle'ye gidin, ardından Tercihler'i ve ardından Güvenlik'i seçin. "Kayıtlı Şifreler" i seçin ... hayır efendim, şifrelerinizi buradan göremiyorum ....

Evet. Bunu yapma.

Parolaları kısıtlayın veya zayıf parola riskleri konusunda kullanıcıları bilgilendirin. Bir kullanıcı verilerini umursamıyorsa, başkalarının erişimini kısıtlamak isteyebilirsiniz. Belki dikkatsiz şifre uygulamalarını takip edenler ayıklanırsa kullanıcılar daha fazla güvende hissederler. Klavyenin altında yapışkan bir notla sonuçlanacak veya dizüstü bilgisayara bantlanacaksa daha güçlü bir şifre gerektirmenin anlamı nedir (Bu şeyleri yapamıyorum; bunun olduğunu gördüm.).

ve gökkuşağı masasına yerleştirilip yerleştirilemeyeceği

Gökkuşağı tablosunu değil, sözlük demek istediniz. Sözlük saldırısı, şifreyle eşleşiyorsa sözlüğün tüm kelimelerini test etmeye çalışır. Bu saldırı 5 denemeyle düzeltilebilir ve x dakika süreyle engellenebilir ...

Gökkuşağı tablosu yalnızca şifreyi ve saldırganın karma değerini biliyorsa kullanılır. O sadece "12345" ya da benzer bir şey olsaydı gökkuşağı tabloda karma bulabilirsiniz.

Sadece gidiş gelişi tamamlamak için: Gökkuşağı masasını işe yaramaz hale getirmek için şifreleri tuzlamanız gerekir. Ve her şifre için benzersiz bir tuz kullanın, sadece herkes için değil. Bunu yaparsanız, saldırganın erişmek istediğiniz her hesap için benzersiz tuz içeren bir gökkuşağı tablosu oluşturması gerekir. Akıllıca sizin tarafınızdan yapılır, bir nesil yarım saniye sürebilir böylece karma çoklu karma algoritması ile karma yapabilirsiniz. Bunu yaptıysanız, web sitenizdeki bir hesaba erişmek günler değerinde olmalı, muhtemelen bu hesaba bir eşleşme bulmak için hash üretme ayı olmalı ... bu kadar uzun sür.

Karma zamanı: Bir giriş mekanizması için 500 ms bekleme süresini düşünün. Bence bu kabul edilebilir ... (bir hatırlatma: SSL için yaklaşık bir saniye el sıkışır)